Domeny Internetowe Zbigniew Jasioski
DNS • Domain Name System • Rozproszona baza danych – Informacje o komputerach w sieci znajdują się na wielu serwerach DNS rozproszonych po całym świecie (.pl to: 6 serwerów unicast, 2 serwery anycast )
• Główne zastosowanie: mapowanie nazw domenowych na adresy IP hostów • Doskonałe środowisko do przechowywania innych informacji, np. danych teleadresowych – ENUM • Duża niezawodnośd – Osiągnięta dzięki nadmiarowości serwerów DNS (minimalnie dwa)
• Doskonała skalowalnośd
Mapa serwerów
http://www.dns.pl/map.html
Struktura DNS root
””
C:\
ccTLD
Moje dokumenty
poziom I
pl
de
com
org
arpa
gTLD Zdjęcia
priv
poziom II
etykieta
max 127
węzeł kowalscy.jpg
poziom III
kowalscy
zdjecia C:\Moje dokumenty\Zdjęcia\kowalscy.jpg
zdjecia.kowalscy.priv.pl
Domena jest poddrzewem przestrzeni nazw domen
max 63 0-9,a-z,-
Domeny IDN (Internationalized Domain Name)
www.różyczka.pl www.xn--ryczka-bxa01i.pl „xn--” ASCII Compatible Encoding prefix
Internet
DNS • DNS ma już prawie 25 lat; wymyślony w 1986r • DNS (RFC 1034, RFC 1035) nie jest doskonały – Pierwsza luka odkryta w 1990r
• Wiele aplikacji zależy od DNS’u • Zagrożenia w DNS są dobrze znane – RFC 3833
• W sieci istnieją gotowe narzędzia do pobrania, umożliwiające przeprowadzenie różnych ataków na infrastrukturę DNS
Przechowywanie i utrzymywanie danych
Przegląd zagrożeo związanych z DNS modyfikacja pliku strefy
nieautoryzowana dynamcizne aktualizacja
dynamiczne aktualizacje
Zabezpieczenie serwera TSIG lub SIG0
podszywanie się pod serwer podstawowy modyfikacja pliku strefy zmodyfikowany plik strefy
plik strefy
serwer podstawowy
serwery zapasowe
Ochrona przesyłanych danych - DNSSEC
Rozwiązywanie nazw
cache poisoning spoofing
„Caching” serwer
cache poisoning spoofing
cache impersonation spoofing resolver
Przegląd zagrożen związanych z DNS
DNSSEC Experiences of .SE Anne-Marie Eklund Löwinder
Przepływ danych • Odpowiedzi przychodzą na ten sam port UDP z którego zostały wysłane • Sekcja ‘question’ duplikowana w odpowiedzi zgadza się z tą z zapytania • Query ID odpowiedzi zgadza się z QID zapytania • Sekcje ‘authority’ i ‘additional’ zawierają nazwy domenowe znajdujące się w domenie z zapytania
Przepływ danych • Problem: – QID = 16bit
• Obejście problemu: – Randomizacja portów
Przegląd zagrożeo związanych z DNS • Cache poisoning autorytatywny nameserver QID=1001, IP dla www.jakisbank.pl =10.0.0.1 ???
atakujący QID=1000, QID=1001, IP dla IP www.jakisbank.pl =10.1.1.1 ???
podatny nameserver CACHE: IP www.jakisbank.pl =10.1.1.1
Przegląd zagrożeo związanych z DNS • Kaminsky bug autorytatywny nameserver QID=1001 IP dla www123456.jakisbank.pl ??? QID=1001, Qu: www1234567.jakisbank.pl A? An: empty Au: jakisbank.pl NS ns1.jakisbank.pl Ad: ns1.jakisbank.pl A 10.0.0.1
atakujący IP dla www1234567.jakisbank.pl ??? QID=1001 QID=1000 Qu: www1234567.jakisbank.pl A? An: empty Au: jakisbank.pl NS ns1.jakisbank.pl Ad: ns1.jakisbank.pl A 10.1.1.1
podatny nameserver CACHE: jakisbank.pl NS ns1.jakisbank.pl ns1.jakisbank.pl A 10.1.1.1
Co nam daje DNSSEC • Zapewnia integralnośd odpowiedzi DNS • Daje możliwośd weryfikacji odpowiedzi negatywnych • Nie szyfruje danych w pakietach DNS
Jak działa DNSSEC • DNSSEC opiera się na kryptografii kluczy asymetrycznych • Zabezpieczona strefa posiada swój klucz prywatny i klucz publiczny • Klucz prywatny wykorzystywany jest do podpisywania danych przechowywanych w DNS • Klucz publiczny jest używany do weryfikacji podpisanych danych i jest publikowany w zabezpieczonej strefie
Nowe rekordy DNS • DNSKEY – rekord zawiera klucz publiczny do weryfikacji podpisów (rekordów RRSIG) • RRSIG – podpis grupy rekordów • NSEC/NSEC3 – umożliwia weryfikację informacji o nieistnieniu rekordu lub o braku zabezpieczeo • DS – wskazuje na klucz podpisujący dane w strefie podrzędnej
Łaocuch zaufania • Ufamy danym podpisanym przez ZSK • Możemy zaufad ZSK jeśli jest podpisany przez KSK • Ufamy KSK, jeśli jest wskazany przez rekord DS. w strefie nadrzędnej • Ufamy rekordowi DS ze strefy nadrzędnej jeśli jest podpisany przez klucz ZSK z tej strefy, itd. • Jeśli trafimy na klucz SEP (Secure Entry Point), któremu ufamy (jest zapisany w pliku konfiguracyjnym) to oznacza, że zbudowaliśmy łaocuch zaufania i dane są zweryfikowane poprawnie.
Łaocuch zaufania . (root) KSK ZSK
.pl
DS
KSK ZSK
com.pl
DS
KSK ZSK DS
Łaocuch zaufania „.”
DS
DS
pl
com
firma
DS
RRset
ZSK
ZSK
ZSK
ZSK
KSK
KSK
KSK
KSK ZSK - Zone Signig Key KSK - Key Signing Key kierunek podpisywania rekordów DNS wskazania rekordów DS na klucz w strefie podrzędnej
kierunek weryfikacji
DNSSEC – problemy techniczne • • • •
Zwiększony rozmiar odpowiedzi Większy plik strefy Weryfikowanie podpisów (obciążenie resolverów) Przechowywanie materiału kryptograficznego w bezpieczny sposób • Oprogramowanie wspierające DNSSEC’a • Narzędzia do zarządzania kluczami • Monitorowanie podpisanej strefy
DNSSEC – problemy administracyjne • Role (oficer bezpieczeostwa, operator) • Transfer domeny (między Registrarami wspierającymi DNSSEC’a) • Transfer domeny (zabezpieczonej DNSSEC’iem do Registrara, który nie wspiera) • Ujednolicony model między Registrarami • Implementacja DNSSEC’a u ISP • Specjalistyczna wiedza wymagająca szkoleo
Wdrożenie na świecie
DNSSEC IN EUROPE – Wim Degezelle, CENTR, 21st CENTR Admisnitrative workshop
Wdrożenie na świecie • W chwili obecnej 28 rekordów DS znajduje się w strefie root: .be (Belgium), .bg (Bulgaria), .biz, .br (Brazil), .cat (Catalan community), .ch (Switzerland), .cz (Czech Republic), .dk (Denmark), .edu, .eu (European Union), .fr (France), .info, .li (Liechtenstein), .lk (Sri Lanka), .museum, .na (Namibia), .nu (Niue), .org, .pm (Saint Pierre and Miquelon), .pr (Puerto Rico), .re (Reunion), .se (Sweden), .tf (French Southern Territories), .th (Thailand), .tm (Turkmenistan), .uk (United Kingdom), .us (United States)
Wdrożenie na świecie
http://secspider.cs.ucla.edu/ SecSpider the DNSSEC Monitoring Project
Narzędzia • DNSViz (http://dnsviz.net/) Sandia National Laboratories
Narzędzia • ZoneCheck (http://www.zonecheck.fr/), wersja command line oraz CGI/WEB, licencja GPL przygotowana przez Rejestr .fr • DNSCheck (http://dnscheck.iis.se/), wersja comman line orac CGI/WEB, licencja GPL przygotowana przez Rejestr .se • DNSSEC Validator (http://www.dnssecvalidator.cz/), plugin do FireFox’a przygotowana przez Rejestr .cz
Polska na na tle EU 1 2 3 4 5 6 7 8 9 10
.de .uk .nl .it .pl .fr .es .dk .be .se
14 001 252 8 966 685 4 103 345 2 050 327 1 975 717 1 883 216 1 257 239 1 101 074 1 091 862 1 060 405
Jak zarejestrowad nazwę domeny? • Krajowy Rejestr Domen (Registry) – .pl rejestracja 9,90 pln, przedłużenie 40 pln
• Od Rejestratora (Registrar) – .pl rejestracja od 1 pln
Warunki przystąpienia do programu partnerskiego • Wpłata zaliczki na konto pre-paid (10000 pln) • Posiadanie technicznych warunków umożliwiających bezpieczne przechowywanie informacji o abonentach nazw domen internetowych • Niewystępowanie nieuregulowanych należności, co najmniej na miesiąc przed podpisaniem porozumienia
[email protected]
Spory • Sąd Polubowny ds. Domen Internetowych przy Polskiej Izbie Informatyki i Telekomunikacji • Sąd Arbitrażowy przy Krajowej Izbie Gospodarczej w Warszawie • The World Intellectual Property Organization Arbitration and Mediation Center http://www.dns.pl/spory.html
Spory • • • •
2010 – 101 wniosków 2009 – 169 wniosków 2008 – 93 wnioski 2007 – 128 wniosków
Ciekawostki • Pierwsza zarejestrowana domena na świecie: symbolics.com • Najdłuższa polska domena: 31415926535897932384626433832795028841 9716939937510582097494459.pl • Milionowa zarejestrowana domena w .pl galeria.radom.pl
Pytania?
[email protected]
