domain name system security extension
DESCRIPTION
We explain how DNS and DNSSEC works, in German. The presentation was held on 14th of November 2013. It was made by students in the 3rd semester and presented in "Rechnernetze"-course. For best experience we ask you to download the presentation (otherwise you won't see any animations).TRANSCRIPT
Dmitrij Petrov, Artur Beikel, Samuel Abt, Betuelle Ndem a
Kedi
November 14, 2013
“…authentication of DNS data, …, and data integrity, but not availability or confidentiality”(Wikipedia)
Domain Name System Security Extensions (DNSSEC)
Dmitrij Petrov
Allgemein zu DNSGeschichteFunktionsweise
3 Typen von DNS Angriffen2 Beispiele aus dem Jahr 2013
DNSSECFunktionsweiseKeys (KSK, ZSK)
Implementierung Registrar und Registrant
Overview
Dmitrij Petrov
4 Generationen DNS(SEC)
1) RFC 1034(35) gelten als Anfang vom Protokoll (1987)
2) RFC 2136/2181/2308 „heutige Version“ (1997)a) NOTIFYb) Dynamic Updatesc) Incremental Zone Transfer (IXFR)
3) RFC 2535 erste Schritte zu DNSSEC (1999)
„One History of DNS“ von Ross Rader (2001) [2]
DNS Geschichte
Dmitrij Petrovhttp://blog.neustar.biz/dns-matters/the-evolution-of-dns-starting-from-the-beginning/[2] http://www.byte.org/blog/one-history-of-dns.pdf
Übersetzt Domainnamen in IP Adressen -> leicht zu merken (facebook.com == 31.13.81.81)
Erst in hosts-dateien, dann in Datenbankenüber 370 Root Name Server, die über 13 IP Adressen
erreichbar sind [1]
Verteilte Datenbank (jeder kann eigenen DNS haben) -> Extrem zuverlässig
Aber mit Redundanz (3 verschiedene Name Server fur e.g. domane.de)
Domain Name System
[1] http://goo.gl/maps/FYxDU[Rest] http://wiki.bravenet.com/How_the_domain_name_system_works http://www.netnod.se/sites/default/files/dns.png Dmitrij Petrov
In Cache Nicht in Cache
• IP wir an Browser abgegeben
• Frage an Root Name Server
• Frage an .com Name Server
• Frage an google.com Name Server
Ich mochte www.google.com besuchen, tippe URL ein
Browser wird URL in IP Adresse konvertierenDialog mit Name Server
Name Server (z.B.: bei ISP) kann IP Adresse zurückgeben
So (einfach) funktioniert es
Dmitrij Petrovhttp://technet.microsoft.com/en-us/library/bb962069.aspx
Dmitrij Petrovhttp://thecybersaviours.com/dns-changer-malware
3 Typen von DNS Angriffe
“DNS Cache poisoning attack”„inject“ bösartigen DNS-Daten in die rekursive DNS-Server, die
von vielen ISPs betrieben werdenDNSSEC hilft das zu sichern
Angriff an den autoritativen DNS Server
Angriff an den Registrator von Domänen und Änderung von autoritativen DNS-Server
Betuelle
Beispiel von Cache Poisoning Attack
http://www.cira.ca/assets/Uploads/_resampled/resizedimage600593-Cache-Poisoning2.jpg
Betuelle
Beispiele von 2 Angriffen
http://www.pcworld.com/article/2054120/googles-malaysia-site-latest-to-be-felled-in-dns-attacks.html http://rt.com/news/sea-hack-nyt-site-twitter-077/ Betuelle
DNS Security Extensions – Geschichte
1995: Diskussionen über Sicherheit von DNS
1999: Erste Implementierung von DNSSEC (RFC2535)
2001: Die Implementierung hatte Fehler Hatte Korrekturen zur Folge
2002/03/04: Funktionsfähig, Testen, Standardisieren
2005: Schweden (.se) unterschreibt als 1.Land die Zone
1.12.2009-1.6.2010 werden alle (13) Root-Server unterschrieben
Im 2011 Q1: .com .net .org Zonen unterschrieben
„ .de ist DNSSEC seit Mai 2011“ [2] http://cs.wikipedia.org/wiki/DNSSEC [2] http://www.denic.de/domains/dnssec.html Artur Beikel
Der Zonenschlüssel besteht aus einem Schlüsselpaar
Identifikation durch eine Nummer (Key Tag)
Beinhalten Gültigkeits- und Enddatum
DNSSEC
Public Key Private Key
Artur Beikel
Zone Signing Key
Funktionsweise
Artur Beikel
http://www.denic.de/domains/dnssec.html
Ohne DNSSEC
Mit DNSSEC
Keys – KSK and ZSK
Artur Beikel
Key Signing Key
signs
Zone Signing Key
Artur Beikel
“Each field must represent a fact about the key, the Whole Key and Nothing but the Key” (Bill Kent)
http://iiw.idcommons.net/DNSSEC http://www.pravinshetty.com/DbSys/Course/Semester12005/Lect03.ppt
Implementierung
Registrar
Registrant
DNSSEC
Samuel Abt
Implementierung: Registrar
Samuel Abt
TLD muss signiert sein
Public und Private Key
werden erzeugt
Private Key wird auf
Nameservern gespeichert
Public Key wird an NICs
gereicht
DNSKey wird in Resource
Records eingebunden
Registrar has to support DNSSEC
Delegate the implementation to the registrar
OR implement DNSSEC on your dedicated Nameserver
Recommended to change the ZSK and the KSK regularly
Implementation: Registrant
Samuel Abt
Samuel Abt
http://dnssec-debugger.verisignlabs.com/
Überprüfen
Fragen & Diskussion
http://www.slideshare.net/F789GH/domain-name-system-security-extensions