VOICE+IP Germany - Workshop DNSSEC-Testbed Frankfurt 04. November 2009

Agenda DENIC – Kurzvorstellung DNS – Grundlagen und Sicherheitsaspekte DNSSEC – Funktionsweise DNSSEC – Vor- und Nachteile DNSSEC – Testbed Zusammenfassung und Diskussion

Bundesweit zentrale Registrierung von .de und ENUM-Domains DENIC eG - Aufgaben Bundesweit zentrale Registrierung von .de und ENUM-Domains Betrieb der Nameserver Betrieb des Registrierungssystems und der Domaindatenbank Bereitstellung von Informationsdiensten wie whois Einrichten von DISPUTEs bei Domainstreitigkeiten

DENIC eG – Entwicklung Domainstand zum 01. Oktober 2009: 13.076.820

DENIC eG - NSL-Standorte 2010 (IPv4) Ffm, Amsterdam Amsterdam, Ffm Stockholm Berlin Paris, London Wien Ulm Hongkong Los Angeles Beijing Miami Seoul Sao Paulo DECIX, KleyReX B-CIX, E-CIX, BER, HKIX, NOTA Any2 VIX PTTMetro IPv6: Unicast von Frankfurt/Amsterdam, Vienna, man könnte v6 und v4 mischen Legende: Unicast Standorte, gleiche Farbe entspricht Partnerstandorten Anycast Standorte, gleiche Farbe indiziert gleiche Wolke a.nic (grün) bzw. z.nic (gelb) 16 Standorte, 10 Exchanges

DENIC eG – Internationaler Vergleich Anzahl Domains 82.447.376 12.545.589 12.474.355 7.904.894 7.837.483 5.285.668 3.523.290 2.991.340 2.151.245 2.035.440 13.076.820 10.000.000 20.000.000 30.000.000 40.000.000 50.000.000 60.000.000 70.000.000 80.000.000 90.000.000 .com .de .cn (Stand 07/09) .net .uk .org .info .nl .eu .ru .biz Recherche DENIC, Stand 1. Oktober 2009

DENIC eG - Historie Ende Erster freiwilliger Nameserverdienst an der Uni Dortmund 80er 1993 „Interessenverbunds Deutsches Network Information Center“ Ausschreibung des Nameserverdienstes 1994 Aufnahme des Betriebs an der Uni Karlsruhe 1996 Gründung der DENIC eG 1997 Aufnahme des Geschäftsbetriebs in Frankfurt/Main. Der technische Betrieb blieb zunächst in Karlsruhe und folgte 1999 2006 ENUM für .9.4.e164.arpa geht in die produktive Phase 2009 Start des DNSSEC-Testbeds für Deutschland

DENIC – Kurzvorstellung DNS – Grundlagen und Sicherheitsaspekte DNSSEC – Funktionsweise DNSSEC – Vor- und Nachteile DNSSEC – Testbed Zusammenfassung und Diskussion

Die Hierarchie des DNS: DNS – Grundlagen und Sicherheitsaspekte Die Hierarchie des DNS:

DNS – Grundlagen und Sicherheitsaspekte mail.example.TLD 1 2 TLD 3 4 5 7 6 example.TLD Internet-Anwendung Resolver Zone

DNS – Grundlagen und Sicherheitsaspekte DNS-Datenfluss:

DNS – Grundlagen und Sicherheitsaspekte Bedrohungen des DNS-Datenflusses:

DNS – Grundlagen und Sicherheitsaspekte Beispiel DNS Spoofing / Cache Poisoning: Idee des Angriffs: Einpflanzung einer falschen IP-Adressauflösung für einen bestimmten Hostnamen Jede DNS-Anfrage für diesen Host liefert dann bis auf weiteres diese falsche IP-Adresse zurück. möglich, weil: die Echtheit der Daten im DNS grundsätzlich angenommen wird die Adressinformationen über Netzwerk ausgetauscht werden aufgelöste Adressen im Cache des DNS-Servers gehalten werden

DNS – Grundlagen und Sicherheitsaspekte Beispiel DNS Spoofing / Cache Poisoning: Angreifer täuscht vor, ein bestimmter Server zu sein um gefälschte Daten zu verbreiten Angreifer antwortet schneller als das Original - dazu muß er Die Adresse des Ziels kennen Die Anfrage kennen Die Parameter der Anfrage kennen Opfer erhält gefälschte Adressinformationen und wird z.B. auf eine nachgemachte Online Banking Webseite umgelenkt Passwörter oder andere Zugangscodes können ermittelt werden

Mail oder Webseite mit xx.foo.com DNS – Grundlagen und Sicherheitsaspekte Caching Resolver Query xx.insecure.com DNS Answer 1.2.3.4 DNS Server Query xx.insecure.com DNS Answer 6.7.8.9 DNS Answer 6.7.8.9 DNS Answer 6.7.8.9 DNS Answer 6.7.8.9 DNS Answer 6.7.8.9 Mail oder Webseite mit xx.foo.com Am 6. August 2008 wurde auf der Blackhat-Konferenz eine deutliche „Verbesserung“ eines DNS-Cache-Poisoning-Angriffs vorgestellt. In den davor liegenden sechs Monaten hatten viele DNS-Softwarehersteller eine Verbesserung („Quellportrandomisierung“) erarbeitet, die den status quo ante wiederherstellen half, das Problem jedoch nicht dauerhaft bekämpfte. Beispiel: DNS Spoofing / Cache Poisoning

DENIC – Kurzvorstellung DNS – Grundlagen und Sicherheitsaspekte DNSSEC – Funktionsweise DNSSEC – Vor- und Nachteile DNSSEC – Testbed Zusammenfassung und Diskussion

Sicherheit durch Authentifizierung DNSSEC – Funktionsweise Caching Resolver Query xx.secure.com DNS Answer 1.2.3.4 DNS Server Query xx.secure.com Sicherheit durch Authentifizierung DNS Answer 1.2.3.4 DNS Answer 6.7.8.9 DNS Answer 6.7.8.9 DNS Answer 6.7.8.9 DNS Answer 6.7.8.9 DNS Answer 6.7.8.9

DNSSEC-Grundbausteine: DNSSEC – Funktionsweise DNSSEC-Grundbausteine: DNS-Zonen sind die Datenquellen Ein Public-Key(-Paar) pro Zone Zonenverwalter unterschreibt alle Records Trust Chain folgt der Delegationskette Elternzone unterschreibt Schlüssel der Kindzonen Schlüssel (Trust Anchor) der Root-Zone wird verteilt

DNSSEC – Funktionsweise DNSSEC-Trust Chain:

Was kann DNSSEC leisten? DNSSEC – Funktionsweise Was kann DNSSEC leisten? Das DNS-Protokoll enthält derzeit keine Maßnahmen zum Schutz seiner transportierten Daten. Insbesondere enthält es keine Sicherung der Daten gegen Veränderungen auf dem Transportweg oder in den durchlaufenden Servern und Caches. DNSSEC bietet eine Quellenauthentisierung und damit die Sicherung des Pfades zwischen DNS-Servern und DNSSEC-fähigen Klienten, wobei auch dazwischen liegende Server und Resolver mit ihren Caches in die Sicherheitskette eingeschlossen sind. Anhand der verwendeten Signatur lässt sich prüfen, ob die beim Resolver eintreffenden Daten vollständig und unverändert sind.

DNSSEC – Funktionsweise DNSSEC gewährleistet Quellenauthenzität und Integrität der DNS-Daten und bietet dadurch Schutz vor folgenden derzeit bekannte Angriffen: Cache Poisoning Zonenfile-Modifikation Kompromittierung eines Nameservers „Untreue“ Secondaries

DENIC – Kurzvorstellung DNS – Grundlagen und Sicherheitsaspekte DNSSEC – Funktionsweise DNSSEC – Vor- und Nachteile DNSSEC – Testbed Zusammenfassung und Diskussion

DNSSEC – Vor- und Nachteile Dreiecksverhältnis: Registrierungsstelle (DENIC) Registrar/Registrant (DNS Operator) Resolver-Operator (ISP) Internetnutzer

DNSSEC – Vor- und Nachteile Wie sieht das Dreiecksverhältnis aus? Registrierungsstelle: Registry benötigt entsprechende Nachfrage von Registraren und Konsumenten für den wirtschaftlichen Betrieb Resolver-Operator (ISP): Validierung und/oder Trust Anchor Management nur wirtschaftlich bei aus-reichender Anzahl Zonen, die DNSSEC unterstützen Registrar: Registrar benötigt eine Nachfrage von Registranten/Domaininhabern, um wirtschaftlich zu sein. Registrant ist auf die Veröffentlichung seines Schlüssels durch den Registrar angewiesen

DNSSEC – Vor- und Nachteile CONS Kritische Masse zum erfolgreichen Betrieb notwendig Datenpflegemodell wird dynamisch Komplexität erhöht sich Signaturen vergrößern Datenmengen PROS Wirkt proaktiv gegen Cache Poisoning an der Wurzel Einzige bekannte, verfügbare, standardisierte Gegenmaßnahme ICANN und Verisign haben die Signierung der DNS-Rootzone zum 1. Juli 2010 angekündigt.

DENIC – Kurzvorstellung DNS – Grundlagen und Sicherheitsaspekte DNSSEC – Funktionsweise DNSSEC – Vor- und Nachteile DNSSEC – Testbed Zusammenfassung und Diskussion

DNSSEC-Testbed: Zielsetzung und Gesamtsicht Zielsetzung des Testbeds: Erprobung von DNSSEC unter realistischen Einsatzbedingungen Ermittlung der technischen und operativen Reife Protokoll ist stabil Operative Details sind aber z.T. offen Test der Akzeptanz im Markt

DNSSEC-Testbed: Zielsetzung und Gesamtsicht Gesamtsicht des Testbeds: Initiative von DENIC, eco und BSI Kickoff am 2. Juli 2009 in Frankfurt (DENIC) Nächste Veranstaltung: Januar 2010, Frankfurt Studie zu SoHo/DSL-Router (BSI) Juli-Dezember 2009

DNSSEC-Testbed: Roadmap Testbed Phase 0 - DNS Betrieb des Setups mit unsignierter de-Zone Testbed Phase 1 – DNSSEC Betrieb signierte de-Zone Testbed Phase 2 – DNSEC +DS Betrieb signierte de-Zone incl. DS-Records Übergabe Schlüsselmaterial KSK Rollover Entscheidung über Produktionsbetrieb nach dem Testbed

DNSSEC-Testbed: Infrastruktur Infrastruktur des Testbeds: eigenständige Infrastruktur zur Beantwortung von DNS-Querys existiert parallel zur Nameserver-Infrastruktur für die de-Zone drei dedizierte Nameserver-Standorte in Europa und Asien gemäß Standortspezifikation der neuesten Generation der DENIC Nameserver-Infrastruktur redundante Nameserver Hardware redundante Anbindung an gut vernetzten Internet-Exchanges Unterschiedliche Nameserver-Software (BIND, NSD) Out-of-band-Management => leistungsfähige, sichere und hochverfügbare Infrastruktur mit Produktionsqualität

DNSSEC-Testbed: Daten Die Daten des Testbeds sind eine 1:1 Kopie der de-Zone: NSEC3 Opt-Out (-> BIND, Unbound, [Nominum]) wirkt „zone walking“ entgegen begrenzt das Zonenwachstum Zonenaktualisierungen anfangs 1-2 Versionen pro Tag (statt 12) kontinuierliche Frequenzerhöhung (folgt der neuen de-Infrastruktur) DS-Records ab März 2010

DNSSEC-Testbed: Zugang zum Testbed Resolver-Operator (ISP): Einsatz DNSSEC- und NSEC3-fähiger SW Konfiguration des DE-Trust-Anchors Ggf. Auch weitere TAs Umlenkung der Querys für DE in Richtung Testbed Stub/forward-Zonen Aktive Mitwirkung durch Verkehrsbeobachtung, Statistiken Teilnahme an Diskussionen, Fehlersuche

DNSSEC-Testbed: Zugang zum Testbed DNS-Operator: Einsatz DNSSEC auch Key-Managementwerkzeuge Schlüsselerzeugung und –verwaltung Prozess für die Re-Signierung DNSSEC-“fähiger“ Registrar Registriert Schlüssel bei der DENIC für das Testbed

DNSSEC-Testbed: Zu klärende Fragen Key-Rollover (Child Zone) Key-Rollover DE EDNS-Infrastrukturverträglichkeit (CPE-Devices) BSI-Studie Auswirkungen auf TCP-Last Provider-/Operatorwechsel ...

Testbed: Teilnahme Wer kann am Testbed teilnehmen? Registrar Domaininhaber DNS-Operator (autoritativ) Resolver-Operator (Endnutzer) Anmeldung für die Teilnahme am Testbed und für die Mailingliste: http://www.denic.de/dnssec

DENIC – Kurzvorstellung DNS – Grundlagen und Sicherheitsaspekte DNSSEC – Funktionsweise DNSSEC – Vor- und Nachteile DNSSEC – Testbed Zusammenfassung und Diskussion

Zusammenfassung Sicherheitsrisiken im Internet wie Cache-Poisoning, DNS-Umleitungen und Spoofing sind bekannt, zunehmend zugänglich und erfolgversprechend. Als vorbeugende Gegenmaßnahme existiert mit DNSSEC ein ausgereiftes Protokoll. Die Einführung des Protokolls wird durch seine Komplexität und Kosten infrage gestellt. Erst mit zunehmender Akzeptanz entsteht auch ein ausgereiftes Umfeld für Einführung, Betrieb und Nutzung des Protokolls. Im "DNSSEC-Testbed für Deutschland", einer Initiative von DENIC, eco und BSI, werden in einer konzertierten Aktion die operative Umsetzbarkeit und die wirtschaftliche Akzeptanz unter möglichst breiter Beteiligung mit realitätsnahen Bedingungen ermittelt.

Kaiserstrasse 75-77, 60329 Frankfurt am Main Phone: +49 69 27235 272 Fax: +49 69 27235 235 Mail: dbs@denic.de Internet: www.denic.de Kaiserstrasse 75-77, 60329 Frankfurt am Main