správa a zabezpečení dns - caletkařej.caletka.cz/dl/slidy/20151214-cesnet... · obsah...
TRANSCRIPT
![Page 1: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/1.jpg)
.
...... Správa a zabezpečení DNS
Ondřej Caletka
14. prosince 2015
Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 1 / 41
![Page 2: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/2.jpg)
Obsah
...1 O službě DNS
...2 Provozování rekurzivních serverů
...3 Provozování autoritativních serverů
...4 Údržba a kontrola dat
...5 Útoky zneužívající DNS
...6 DNSSEC jako bezpečné uložiště
...7 Passive DNS
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 2 / 41
![Page 3: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/3.jpg)
O službě DNS
stub resolver rekurzivní resolver autoritativní server
ROOT
.
TLD
cz.
SLDwww.cesnet.cz.
www.cesnet.cz?
www.cesnet.c
z?
www.cesnet.cz?
www.cesnet.cz?
cz. NS
cesnet.cz. NS
www.cesnet.cz.!
www.cesnet.cz.!
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 3 / 41
![Page 4: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/4.jpg)
Tři druhy DNS nodů
stub resolver knihovní funkce operačního systémus minimální cachev GNU C knihovně nepříliš robustní
rekurzivní resolver řeší dotazy a kešuje odpovědiagresivní cache řízená TTL hodnotamivalidace DNSSEC datrobustní řešení nedostupnostiautoritativních serverů
autoritativní server poskytuje datapouze ta, která má v databázi
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 4 / 41
![Page 5: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/5.jpg)
Rekurzivní servery
malá diverzita v implemetacích:BINDUnboundPowerDNS recursor − neumí DNSSECDnsmasq je ve skutečnosti jen forwarder
nutno zapnout validaci DNSSECdělají to velcí operátoři, není se čeho bátne všechny validátory podporují ECDSA podpisynutno omezit povolené IP adresy pro dotazya implementovat BCP 38 ve své síti
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 5 / 41
![Page 6: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/6.jpg)
Problém řetězení resolverů s DNSSECproblematická validace žolíkových doménzejména, je-li forwardováno na zastaralý BINDautomatizovaný test nahttp://wildcarddnssec.jdem.cz/
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 6 / 41
![Page 7: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/7.jpg)
Kompatibilita validátoru s ECDSA
$ go run alg_rep.go -r adns1.cesnet.czZone dnssec-test.org. Qtype DNSKEY Resolver [adns1.cesnet.cz]debug=false verbose=false Prime= V
DS : 1 2 3 4 | 1 2 3 4ALGS : NSEC | NSEC3alg-1 : - - - - | x x x x => RSA-MD5 OBSOLETEalg-3 : V V - - | x x x x => DSA/SHA1alg-5 : V V - - | x x x x => RSA/SHA1alg-6 : x x x x | V V - - => RSA-NSEC3-SHA1alg-7 : x x x x | V V - - => DSA-NSEC3-SHA1alg-8 : V V - - | V V - - => RSA-SHA256alg-10 : V V - - | V V - - => RSA-SHA512alg-12 : - - - - | - - - - => GOST-ECCalg-13 : - - - - | - - - - => ECDSAP256SHA256alg-14 : - - - - | - - - - => ECDSAP384SHA384V == Validates - == Answer x == Alg Not specifiedT == Timeout S == ServFail O == Other ErrorDS algs 1=SHA1 2=SHA2-256 3=GOST 4=SHA2-384
https://github.com/ogud/DNSSEC_ALG_Check
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 7 / 41
![Page 8: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/8.jpg)
Root DNSSEC KSK rollover
podpis kořenové zóny před pěti lety – 15. 7. 2010rolování kořenového klíče podle potřeby, nebojednou za pět letvyžaduje aktualizaci trust anchor ve všechvalidátorechproběhne automaticky ve většině případů (RFC 5011)testovací prostředí na http://keyroll.systems/podrobnosti rolování zatím nejsou stanoveny
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 8 / 41
![Page 9: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/9.jpg)
Vysoká dostupnost rekurzivních serverůhodí se zejména v kombinaci s GNU stub resolverem
tradiční HA pomocí linux-HA, pacemaker…anycasting v rámci vlastní sítězabezpečí i proti výpadku routeru
CESNET2
OSPF
R1 R2
ns-node2
192.0.2.6/30
dummy0:
192.0.2.53/32
OSPF
ns-node1
192.0.2.2/30
dummy0:
192.0.2.53/32
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 9 / 41
![Page 10: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/10.jpg)
Autoritativní servery
Mnoho slušných implemetací:BINDNSDKnot DNSYADIFAPowerDNS
Klíčové vlastnosti:podpora DNSSEC včetně NSEC3 a ECDSApodpora dynamického DNS(ne-)podpora kombinace autoritativníhoa rekurzivního serveru
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 10 / 41
![Page 11: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/11.jpg)
DNSSEC na autoritativních serverech
Možné přístupy:...1 online podepisování
DNS server drží privátní klíčepodepisuje buď po načtení, nebo v reakci na dotazsnadná spolupráce s dynamic DNSmožné problémy s přenosem na sekundární servery
...2 externí podepisováníDNS server má k dispozici zónu včetně předemvytvořených podpisůprivátní klíče jsou potřeba pouze při změně dathotové produkty jako OpenDNSSEC
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 11 / 41
![Page 12: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/12.jpg)
Dynamické IPv6 záznamyběžná praxe v IPv4: vygenerování záznamů prokaždou IP adresupro IPv6 nemožné, zóna pro /64 zabere stovky EiB(260)řešením je dynamické generování, podporovanév Knot DNS 1.5+vyžaduje podporu ve všech autoritativních serverechzóny
.Příklad..
......
example.cz {file "/etc/knot/empty.zone";query_module {
synth_record "forward dyn- 60 2001:db8:1::/64";synth_record "forward dyn- 60 192.0.2.0/24";
}}
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 12 / 41
![Page 13: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/13.jpg)
Zónové přenosyúplné (AXFR) a inkrementální (IXFR)rychlé notifikace zprávami NOTIFYochrana celistvosti zpráv pomocí TSIGnutno zvyšovat sériové číslo zónyprincip skrytý master − veřejný slave
hidden master public slave
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 13 / 41
![Page 14: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/14.jpg)
Časování a synchronizace
odpovědi serverů kešovány po TTL daného záznamunegativní odpovědi kešovány podle hodnotySOA minimumnesynchronnost serverů vede ke split-brain:o odpovědi rozhoduje náhoda
.Za jak dlouho se změna nejpozději projeví?..
......
s NOTIFY bez NOTIFYnový SOA minimum SOA minimum + SOA refresh
změna TTL starého TTL starého + SOA refresh
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 14 / 41
![Page 15: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/15.jpg)
Proč nepoužívat obskurní DNS servery.
......
$ host www.skvelabanka.czwww.skvelabanka.cz has address 192.0.2.7Host www.skvelabanka.cz not found: 3(NXDOMAIN)
$ host www.skvelabanka.czHost www.skvelabanka.cz not found: 3(NXDOMAIN)
programátor nepředpokládal, že se někdo zeptá naMX záznam pro www.skvelabanka.czjeho implementace na takový dotaz vracelaNXDOMAIN s TTL = 1 hodinaBIND takovou odpověd nakešoval a po dobu TTLnevracel žádná data pro www.skvelabanka.cz
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 15 / 41
![Page 16: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/16.jpg)
Proč nekombinovat autoritativnía rekurzivní server na jedné IP adrese
malá škála dostupného DNS software(BIND a PowerDNS - ale bez DNSSEC)nemožnost DNSSEC validace vlastních dat(data z disku se nikdy nevalidují)špatná data z oddelegovaných, ale nezrušených zón
.
......
„Veškerá pošta nám už chodí na nový server, kroměpošty od našeho bývalého registrátora. Ta chodí stále nastarý server.“
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 16 / 41
![Page 17: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/17.jpg)
On-line kontrolyhttp://dnsviz.nethttp://dnscheck.labs.nic.cz
ces.net
(2013-09-27 15:24:13 UTC)
.
(2013-09-27 13:10:47 UTC)net
(2013-09-27 13:48:05 UTC)
ces.net/SOAces.net/MX
DNSKEY
alg=10, id=24360
DNSKEY
alg=10, id=60313
DNSKEY
alg=10, id=3782
DNSKEY
alg=10, id=890
DNSKEY
alg=10, id=27793
DS
digest algs=1,2
DNSKEY
alg=8, id=19036
DNSKEY
alg=8, id=59085DNSKEY
alg=8, id=55565
DNSKEY
alg=8, id=35886
DS
digest alg=2
DNSKEY
alg=8, id=49656
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 17 / 41
![Page 18: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/18.jpg)
Pravidelné údržby DNS serverů
kontrola, že jsou zóny stále nadelegoványkontrola shody delegace s NS záznamy v zóně
.Vlastní řešení http://ldnshealth.jdem.cz..
......
xargs ./dnsservercheck.py server.example.com < list_of_domains.txtexample.cz: server server.example.com. not in delegation nor zone apexexample.com: server server.example.com. delegated, but not in zone apexexample.net: server server.example.com. not in delegation nor zone apex
List of domains, which should be deleted from server config:example.czexample.net
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 18 / 41
![Page 19: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/19.jpg)
Útoky zneužívající DNS
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 19 / 41
![Page 20: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/20.jpg)
Potírání zesilujících útoků
implementujte BCP 38 (a nuťte ostatní)neotvírejte rekurzivní servery do světaa zkontrolujte taky NTP servery a zařízení se SNMP ☺na autoritativních serverech zapněte RRL
.Response Rate Limiting..
......
Obecná technika limitování odpovědí autoritativních serverůna opakující se dotazů ze stejné adresy. Implementovánonativně v Knot DNS a NSD, existují patche pro BIND 9.
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 20 / 41
![Page 21: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/21.jpg)
Omezení velikosti UDP odpovědi
rozšíření EDNS0 zvětšuje délku UDP zpráv nad 512 Bobykle na 4096 Bomezením velikosti k ~1 kB snížíme účinnostzesilujícího útokutaké se tím zlepší situace resolverům s nefunkčnímPath MTU Discoverypříliš nízká hodnota může naopak rozbít resolverybez TCP konektivity
obzvláště při použití DNSSECtakto postižených uživatelů je ~2 % (měření Geoffa Hustona)
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 21 / 41
![Page 22: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/22.jpg)
Útok náhodnými dotazy – princip
nová forma útoku zneužívající otevřené rekurzivníresolverypro rekurzivní resolver připomíná Slowloris útokpostihuje zároveň rekurzivní i autoritativní serveryútočící botnet pokládá dotazy ve stylu<random string>.www.obet.comdotaz je vždy přeposlán autoritativnímu serveruautoritativní server se buď pod náporem zhroutí,nebo zasáhne rate limitingrekurzivní server čeká na odpověď a zkouší dotazyopakovat
http://www.root.cz/clanky/utok-na-dns-nahodnymi-dotazy/
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 22 / 41
![Page 23: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/23.jpg)
Náhodné dotazy – důsledky a obrana.Důsledky..
......
zahlcení serverů dotazyDoS rekurzivních resolverů, např. BIND:
maximum 1000 současně probíhajících rekurzíkaždá rekurze používá jeden file descriptorpro víc než ~4000 rekurzí přestává být spolehlivý
.Obrana..
......
definování prázdných SLD zón obětí na rekurzoruriziko zablokování významných domén jakoin-addr.arpa, nebo co.uk
volba ratelimit v Unbound, fetches-per-serverv BIND
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 23 / 41
![Page 24: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/24.jpg)
DNSSEC jako bezpečné uložiště
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 24 / 41
![Page 25: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/25.jpg)
Problém důvěryhodnosti PKI modelu
mnoho důvěryhodných certifikačních autoritrůzné úrovně ověření, stejný cílový efekt
důkladné ověření (extended validation, €€€)základní oveření (organization validation, €€)bez ověřování identity (Domain control Validation, €)
kterákoli autorita může kterýkoli certifikátna druhou stranu
nízký počet vydaných falešných certifikátůvelmi účinné útoky bez nutnosti falešných certifikátů(phishing, rom-0,…)
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 25 / 41
![Page 26: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/26.jpg)
Certificate pinning s DANE
možnost určit, který certifikát má být pro dané jménoplatnývyžaduje DNSSECčtyři typy použití (usage) TLSA záznamu0 kontrola certifikační autority1 kontrola koncové entity2 vložení certifikační autority3 vložení koncové entity
.Příklad TLSA záznamu........_443._tcp.www IN TLSA 3 1 1 5C4…6099
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 26 / 41
![Page 27: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/27.jpg)
DANE jako zvýšení zabezpečení PKIX
omezení množiny povolených certifikačních autorit(Usage: 0), nebo certifikátů (Usage: 1)vynucení certifikační autority s přísnou politikouPKIX validace je stále nutná
Tip: Umístěte do DNS otisk certifikátu své nejbližšíautority. Tu pak pomocí CNAME odkazujte ze všech svýchslužeb..
......
terenasslca2 IN TLSA 0 0 1 2FF183…BE43_443._tcp.www IN CNAME terenasslca2_443._tcp.www2 IN CNAME terenasslca2_143._tcp.imap IN CNAME terenasslca2
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 27 / 41
![Page 28: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/28.jpg)
DANE jako alternativa k PKIX
vynucení konkrétní autority (Usage: 2), nebocertifikátu (Usage: 3), bez vazby na PKImožnost ušetřit za DV certifikátyv režimu vkládání nové autority je nutné, aby serverkořenový certifikát posílal během handshakezatím spíše nepoužitelné, málo validujících klientů
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 28 / 41
![Page 29: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/29.jpg)
DANE pro bezpečné předávání pošty
PKIX neumožňuje šifrované předávání poštyčasto nevalidní certifikátnezabezpečená vazba doména → MX záznamnení k dispozici uživatel, který by odsouhlasil varování
DNSSEC a DANE dokáží bezpečnost vynutitbezpečená vazba doména → MX záznamotisk certifikátu v DNS, nezávislost na PKIzpětně kompatibilní bez možnosti downgrade útoků
bez TLSA: oportunistické šifrování bez kontrolys TLSA: šifrování vynucenoselhání DNSSEC: zpráva odložena
podporováno v Postfixu od verze 2.11
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 29 / 41
![Page 30: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/30.jpg)
Validace TLSA záznamůrozšíření od CZ.NIC pro prohlížečeneovlivňuje chování prohlížeče, neumí nahradit PKIXodhalí sítě, které rozbíjejí DNSSEC
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 30 / 41
![Page 31: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/31.jpg)
SSHFP záznamy pro bezpečné SSH
SSH standardně vede seznam známých serverůDNS záznam typu SSHFP umožňuje ukládat otiskyserverových klíčů do DNSvalidující klient pak ověří identitu serveruautomaticky
.Vytvoření záznamu........$ ssh-keygen -r server.example.com.Zapnutí validace........$ echo 'VerifyHostKeyDNS yes' >> ~/.ssh/config
http://www.root.cz/clanky/dnssec-jako-bezpecne-uloziste-ssh-klicu/
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 31 / 41
![Page 32: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/32.jpg)
Passive DNS
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 32 / 41
![Page 33: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/33.jpg)
Myšlenka passive DNS
Sbírat veřejná DNS data na rekurzivních DNSserverechZjišťovat, na co se lidé ptajíNezjišťovat, kdo se ptá (ochrana soukromí)Ukládat do databáze spolu s časovou značkouZískat tak informace o historii DNS datMít možnost pokládat inverzní DNS dotazy
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 33 / 41
![Page 34: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/34.jpg)
Dva přístupy k passive DNS
...1 Zachytávání před rekurzivním serveremzaznamenávání každé uživatelské aktivitypřesné sledování četnosti dotazů
...2 Zachytávání za rekurzivním serveremmenší objem dat díky cacheimplicitní ochrana soukromí
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 34 / 41
![Page 35: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/35.jpg)
Passive DNS za rekurzivním serveremstub resolver rekurzivní resolver autoritativní server
ROOT.
TLDcz.
SLDwww.cesnet.cz.
www.cesnet.cz?
www.cesnet.c
z?
www.cesnet.cz?
www.cesnet.cz?
cz. NS
cesnet.cz. NS
www.cesnet.cz.!
www.cesnet.cz.!
pDNSDB
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 35 / 41
![Page 36: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/36.jpg)
Technické provedení
senzor sbírá DNS provoz pomocí PCAP knihovnyv blízkosti DNS serveruje možné jej buď spustit na stejném stroji jako DNSserver, nebo klonovat data switchidata se zapisují do binárních souborů po minutáchsoubory jsou posílány pomocí SCP do databáze
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 36 / 41
![Page 37: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/37.jpg)
Webové rozhraní [email protected]
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 37 / 41
![Page 38: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/38.jpg)
Příklady použití
Odhalení řídicích serverů botnetů, ve spoluprácis NetFlow také odhalení infikovaných stanicOdpověď na otázky:
jde o zneužití legitimní služby, nebo o cílený hostingškodlivého obsahu?jaké další weby jsou hostovány na stejné IP adrese?
Kontrola neoprávněného využití adresního prostoru(například sítě CESNET2)Výzkum nad globálními DNS daty
které domény jsou hostovány pouze na územíjednoho státu?jak často se mění data v různých doménách?
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 38 / 41
![Page 39: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/39.jpg)
Přístup k databázi
přístup k pDNS databázi CERT.at je omezen pro:výzkumníkyCERT/CSIRT komunituprovozovatele senzorů
existuje návrh standardního formátu pro snadnoukombinaci dat z různých Passive DNS systémůzapojení dalších českých ISP je vítáno
☞ kontaktujte L. A. Kaplana – [email protected]
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 39 / 41
![Page 40: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/40.jpg)
Závěrem
DNS není jen UDP/53DNS není nejvíce 512 Bbez DNSSECu nelze bezpečně předávat e-maily
.Školení Principy a správa DNS a DNSSEC..
......
jednodenní školeníteorie a praxe správy DNS serverůprincip a implementace DNSSEC
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 40 / 41
![Page 41: Správa a zabezpečení DNS - Caletkařej.caletka.cz/dl/slidy/20151214-CESNET... · Obsah 1.OslužběDNS 2.Provozovánírekurzivníchserverů 3.Provozováníautoritativníchserverů](https://reader034.vdocuments.site/reader034/viewer/2022050217/5f6385b21c270f368637de03/html5/thumbnails/41.jpg)
Závěr
Děkuji za pozornost
Ondřej [email protected]://Ondřej.Caletka.cz
Ondřej Caletka (CESNET, z. s. p. o.) Správa a zabezpečení DNS 14. prosince 2015 41 / 41