dnssec on-line tools - wunca.uni.net.th · unbound (nlnet labs) ......
TRANSCRIPT
DNSsecOn-Line Toolsผศ.ดร. พีรวฒัน์ วฒันพงศ์
ภาควชิาวิศวกรรมคอมพิวเตอร์ คณะวศิวกรรมศาสตร์(บางเขน) ม.เกษตรศาสตร์
รอง ผอ. ส านกับริการคอมพิวเตอร์ ม.เกษตรศาสตร์
1
ท ำไมตดัสนิใจใช ้DNSsec ???
ป้องกนั user จำกกำรถกูท ำ ‘DNS Spoofing’
จะเกดิอะไรขึน้ ถำ้อำจำรยใ์นมหำ’ลยัทำ่น ตอ้งกำรใช ้gmail.com แต.่.. ไดเ้บอร ์IP ของ server ใน...
2
ตอ้งท ำอะไรบำ้ง ???
ตอ้งลงทนุตดิตัง้ DNSsec Server
ตอ้งบงัคบัให ้user ใชง้ำน DNS ผำ่น DNSsec Server เทำ่นัน้
ตอ้งเฝ้ำดสูม ำ่เสมอ
ตอ้งตดิตำมขำ่วทีก่ระทบกบัระบบ DNS
3
เลอืกใช ้DNSsec Server
Authoritative (Non-Recursive) Server
BIND (ISC)
NSD (NLnet Labs)
Knot DNS (CZ.NIC)
PowerDNS
Caching (Recursive) Server
BIND (ISC)
Unbound (NLnet Labs)
PowerDNS
4
หำ้มหลับยำม !!
ตรวจ Chain-of-Trust สม ำ่เสมอ
ตรวจ Primary DNS Server สม ำ่เสมอ
ตรวจ Recursive Server สม ำ่เสมอ
ตรวจ ฐำนขอ้มลู DNS สม ำ่เสมอ
ตดิตำมขำ่ว เกีย่วกบั DNS สม ำ่เสมอ
5
หำ้มหลับยำม !!
ตรวจ Chain-of-Trust สม ำ่เสมอ
6
Chain-of-Trust On-Line Testhttp://dnsviz.net/
7
Chain-of-Trust On-Line Testhttp://dnssec-debugger.verisignlabs.com/
8
หำ้มหลับยำม !!
ตรวจ Primary DNS Server สม ำ่เสมอ
9
DNSsec On-Line Testhttps://www.dnssec-deployment.org/
10
DNSsec On-Line Testhttps://www.nic.cz/en/
11
หำ้มหลับยำม !!
ตรวจ Recursive Server สม ำ่เสมอ
12
‘Validation’ On-Line Testhttps://www.nic.cz/en/
13
DNSsec ‘Validating’ Stat Pageshttps://stats.labs.apnic.net/ecdsa/TH
14
‘Validating’ Stat -- KU 15
หำ้มหลับยำม !!
ตรวจ ฐำนขอ้มลู DNS สม ำ่เสมอ
16
On-Line Test สำรพัดโรคhttp://www.dnsinspect.com/
17
หำ้มหลับยำม !!
ตดิตำมขำ่ว เกีย่วกบั DNS สม ำ่เสมอ
18
2017 Root KSK Roll-Over 19
Key Size On-Line Testhttp://keysizetest.verisignlabs.com/
20
อะไรคอื ECDSA ???
เป็น Algorithm เขำ้รหสัใหม่
หมำยเลข 13 ในมำตรฐำน DNS
ขนำดเล็กกวำ่ ควำม ‘เหนียว’สงูกวำ่
เริม่มกีำรใชง้ำน เพรำะกงัวลเรือ่ง ‘ขนำด’ ค ำตอบ query
(Standard) Ethernet MTU = 1,500 bytes
IPv6 ‘หำ้มท ำ’ packet fragmentation
Query (เกอืบ)ทัง้หมด ถำม-ตอบโดยใช ้UDP
ถำ้ค ำตอบเกนิ UDPv6 !!!
21
ECDSA On-Line Testhttps://www.nic.cz/en/
22
แหลง่ตดิตำมขำ่ว
APNIC
https://blog.apnic.net/tag/dns/
https://blog.apnic.net/tag/dnssec/
Internet Society
http://www.internetsociety.org/deploy360/dnssec/
23
ควำมมันล ำดบัถัดไป
DANE / TLSA
DNS-based Authentication of Named Entities
https://blog.apnic.net/2017/01/06/lets-encrypt-dane/
24
Contact
[email protected] (preferred)
Phone
02 797 0999 x1417 (วศ.คต.มก.)
02 562 0951-6 x2903 (สบค.มก.)
Fax
02 579 6245 (วศ.คต.มก.)
02 562 0951 (สบค.มก.)
25