voice+ip germany - workshop dnssec-testbed frankfurt 04. november 2009
TRANSCRIPT
VOICE+IP Germany - Workshop DNSSEC-Testbed
Frankfurt 04. November 2009
2
Agenda
DENIC – KurzvorstellungDENIC – Kurzvorstellung
DNSSEC – Vor- und NachteileDNSSEC – Vor- und Nachteile
Zusammenfassung und Diskussion Zusammenfassung und Diskussion
DNS – Grundlagen und SicherheitsaspekteDNS – Grundlagen und Sicherheitsaspekte
DNSSEC – TestbedDNSSEC – Testbed
DNSSEC – FunktionsweiseDNSSEC – Funktionsweise
3
DENIC eG - Aufgaben
Bundesweit zentrale Registrierung von .de und ENUM-Domains
• Betrieb der Nameserver
• Betrieb des Registrierungssystems und der Domaindatenbank
• Bereitstellung von Informationsdiensten wie whois
• Einrichten von DISPUTEs bei Domainstreitigkeiten
4
DENIC eG – Entwicklung
Domainstand zum 01. Oktober 2009:
13.076.820
5
DENIC eG - NSL-Standorte 2010 (IPv4)
Legende: Unicast Standorte, gleiche Farbe entspricht Partnerstandorten
Anycast Standorte, gleiche Farbe indiziert gleiche Wolke a.nic (grün) bzw. z.nic (gelb)
Los Angeles
Miami
Sao Paulo
Seoul
HongkongBeijing
Paris, London
Ffm, Amsterdam
Stockholm
WienUlm
Berlin
Amsterdam, Ffm
16 Standorte, 10 Exchanges
6
Anzahl Domains82.447.376
12.545.589
12.474.3557.904.894 7.837.483
5.285.668 3.523.290 2.991.340 2.151.245 2.035.440
13.076.820
0
10.000.000
20.000.000
30.000.000
40.000.000
50.000.000
60.000.000
70.000.000
80.000.000
90.000.000
.com .de .cn
(Stand
07/09)
.net .uk .org .info .nl .eu .ru .biz
DENIC eG – Internationaler Vergleich
Recherche DENIC, Stand 1. Oktober 2009
7
Ende Erster freiwilliger Nameserverdienst an der Uni Dortmund80er
1993 „Interessenverbunds Deutsches Network Information Center“Ausschreibung des Nameserverdienstes
1994 Aufnahme des Betriebs an der Uni Karlsruhe
1996 Gründung der DENIC eG
1997 Aufnahme des Geschäftsbetriebs in Frankfurt/Main. Der technische Betrieb blieb zunächst in Karlsruhe und folgte
1999
2006 ENUM für .9.4.e164.arpa geht in die produktive Phase
2009 Start des DNSSEC-Testbeds für Deutschland
DENIC eG - Historie
8
DENIC – KurzvorstellungDENIC – Kurzvorstellung
DNSSEC – Vor- und NachteileDNSSEC – Vor- und Nachteile
Zusammenfassung und Diskussion Zusammenfassung und Diskussion
DNS – Grundlagen und SicherheitsaspekteDNS – Grundlagen und Sicherheitsaspekte
DNSSEC – TestbedDNSSEC – Testbed
DNSSEC – FunktionsweiseDNSSEC – Funktionsweise
9
DNS – Grundlagen und Sicherheitsaspekte
Die Hierarchie des DNS:
10
DNS – Grundlagen und Sicherheitsaspekte
Resolver
12
34
56
TLD
example.TLD
0
7
mail.example.TLD
ZoneInternet-Anwendung
11
DNS-Datenfluss:
DNS – Grundlagen und Sicherheitsaspekte
12
Bedrohungen des DNS-Datenflusses:
DNS – Grundlagen und Sicherheitsaspekte
13
Beispiel DNS Spoofing / Cache Poisoning:
• Idee des Angriffs: Einpflanzung einer falschen IP-Adressauflösung für einen bestimmten Hostnamen
• Jede DNS-Anfrage für diesen Host liefert dann bis auf weiteres diese falsche IP-Adresse zurück.
möglich, weil:
• die Echtheit der Daten im DNS grundsätzlich angenommen wird
• die Adressinformationen über Netzwerk ausgetauscht werden
• aufgelöste Adressen im Cache des DNS-Servers gehalten werden
DNS – Grundlagen und Sicherheitsaspekte
14
Beispiel DNS Spoofing / Cache Poisoning:
• Angreifer täuscht vor, ein bestimmter Server zu sein um gefälschte Daten zu verbreiten
• Angreifer antwortet schneller als das Original - dazu muß er
• Die Adresse des Ziels kennen• Die Anfrage kennen• Die Parameter der Anfrage kennen
• Opfer erhält gefälschte Adressinformationen und wird z.B. auf eine nachgemachte Online Banking Webseite umgelenkt
Passwörter oder andere Zugangscodes können ermittelt werden
DNS – Grundlagen und Sicherheitsaspekte
15
Beispiel: DNS Spoofing / Cache Poisoning
DNS Server
Query xx.insecure.com
Query xx.insecure.com
DNS Answer 1.2.3.4
Mail oder Webseite mit xx.foo.com
DNS Answer 6.7.8.9DNS Answer 6.7.8.9
DNS Answer 6.7.8.9DNS Answer 6.7.8.9
DNS Answer 6.7.8.9
Caching Resolver
Am 6. August 2008 wurde auf der Blackhat-Konferenz eine deutliche „Verbesserung“ eines DNS-Cache-Poisoning-Angriffs vorgestellt. In den davor liegenden sechs Monaten hatten viele DNS-Softwarehersteller eine Verbesserung („Quellportrandomisierung“) erarbeitet, die den status quo ante wiederherstellen half, das Problem jedoch nicht dauerhaft bekämpfte.
DNS – Grundlagen und Sicherheitsaspekte
16
DENIC – KurzvorstellungDENIC – Kurzvorstellung
DNSSEC – Vor- und NachteileDNSSEC – Vor- und Nachteile
Zusammenfassung und Diskussion Zusammenfassung und Diskussion
DNS – Grundlagen und SicherheitsaspekteDNS – Grundlagen und Sicherheitsaspekte
DNSSEC – TestbedDNSSEC – Testbed
DNSSEC – FunktionsweiseDNSSEC – Funktionsweise
17
DNS Server
Query xx.secure.com
Query xx.secure.comDNS Answer 1.2.3.4
DNS Answer 1.2.3.4
Sicherheit durch Authentifizierung
DNS Answer 6.7.8.9DNS Answer 6.7.8.9
DNS Answer 6.7.8.9DNS Answer 6.7.8.9
DNS Answer 6.7.8.9
Caching Resolver
DNSSEC – Funktionsweise
18
• DNS-Zonen sind die Datenquellen
• Ein Public-Key(-Paar) pro Zone
• Zonenverwalter unterschreibt alle Records
• Trust Chain folgt der Delegationskette
• Elternzone unterschreibt Schlüssel der Kindzonen
• Schlüssel (Trust Anchor) der Root-Zone wird verteilt
DNSSEC-Grundbausteine:
DNSSEC – Funktionsweise
19
DNSSEC-Trust Chain:
DNSSEC – Funktionsweise
20
• Das DNS-Protokoll enthält derzeit keine Maßnahmen zum Schutz seiner transportierten Daten. Insbesondere enthält es keine Sicherung der Daten gegen Veränderungen auf dem Transportweg oder in den durchlaufenden Servern und Caches.
• DNSSEC bietet eine Quellenauthentisierung und damit die Sicherung des Pfades zwischen DNS-Servern und DNSSEC-fähigen Klienten, wobei auch dazwischen liegende Server und Resolver mit ihren Caches in die Sicherheitskette eingeschlossen sind.
• Anhand der verwendeten Signatur lässt sich prüfen, ob die beim Resolver eintreffenden Daten vollständig und unverändert sind.
Was kann DNSSEC leisten?
DNSSEC – Funktionsweise
21
• Cache Poisoning
• Zonenfile-Modifikation
• Kompromittierung eines Nameservers
• „Untreue“ Secondaries
DNSSEC gewährleistet Quellenauthenzität und Integrität der DNS-Datenund bietet dadurch Schutz vor folgenden derzeit bekannte Angriffen:
DNSSEC – Funktionsweise
22
DNSSEC – Vor- und NachteileDNSSEC – Vor- und Nachteile
DENIC – KurzvorstellungDENIC – Kurzvorstellung
Zusammenfassung und Diskussion Zusammenfassung und Diskussion
DNS – Grundlagen und SicherheitsaspekteDNS – Grundlagen und Sicherheitsaspekte
DNSSEC – TestbedDNSSEC – Testbed
DNSSEC – FunktionsweiseDNSSEC – Funktionsweise
23
Registrierungsstelle(DENIC)
Registrar/Registrant(DNS Operator)
Resolver-Operator(ISP)
DNSSEC – Vor- und Nachteile
Dreiecksverhältnis:
Internetnutzer
24
Registrierungsstelle:
• Registry benötigt entsprechende Nachfrage von Registraren und Konsumenten für den wirtschaftlichen Betrieb
Resolver-Operator (ISP):
• Validierung und/oder Trust Anchor Management nur wirtschaftlich bei aus-reichender Anzahl Zonen, die DNSSEC unterstützen
Registrar:
• Registrar benötigt eine Nachfrage von Registranten/Domaininhabern, um wirtschaftlich zu sein.
• Registrant ist auf die Veröffentlichung seines Schlüssels durch den Registrar angewiesen
Wie sieht das Dreiecksverhältnis aus?
DNSSEC – Vor- und Nachteile
25
PROS
• Wirkt proaktiv
gegen Cache Poisoning an der Wurzel
• Einzige
bekannte, verfügbare, standardisierte
Gegenmaßnahme
CONS
• Kritische Masse zum erfolgreichen
Betrieb notwendig
• Datenpflegemodell wird dynamisch
• Komplexität erhöht sich
• Signaturen vergrößern Datenmengen
ICANN und Verisign haben die Signierung der DNS-Rootzone zum 1. Juli 2010 angekündigt.
DNSSEC – Vor- und Nachteile
26
DENIC – KurzvorstellungDENIC – Kurzvorstellung
DNSSEC – Vor- und NachteileDNSSEC – Vor- und Nachteile
Zusammenfassung und Diskussion Zusammenfassung und Diskussion
DNS – Grundlagen und SicherheitsaspekteDNS – Grundlagen und Sicherheitsaspekte
DNSSEC – TestbedDNSSEC – Testbed
DNSSEC – FunktionsweiseDNSSEC – Funktionsweise
27
• Erprobung von DNSSEC unter realistischen Einsatzbedingungen
• Ermittlung der technischen und operativen Reife
• Protokoll ist stabil
• Operative Details sind aber z.T. offen
• Test der Akzeptanz im Markt
DNSSEC-Testbed: Zielsetzung und Gesamtsicht
Zielsetzung des Testbeds:
28
• Initiative von DENIC, eco und BSI
• Kickoff am 2. Juli 2009 in Frankfurt (DENIC)
• Nächste Veranstaltung: Januar 2010, Frankfurt
• Studie zu SoHo/DSL-Router (BSI) Juli-Dezember 2009
DNSSEC-Testbed: Zielsetzung und Gesamtsicht
Gesamtsicht des Testbeds:
29
DNSSEC-Testbed: Roadmap
• Testbed Phase 0 - DNS
• Betrieb des Setups mit unsignierter de-Zone
• Testbed Phase 1 – DNSSEC
• Betrieb signierte de-Zone
• Testbed Phase 2 – DNSEC +DS
• Betrieb signierte de-Zone incl. DS-Records
• Übergabe Schlüsselmaterial
• KSK Rollover
• Entscheidung über Produktionsbetrieb nach dem Testbed
30
• eigenständige Infrastruktur zur Beantwortung von DNS-Querys
• existiert parallel zur Nameserver-Infrastruktur für die de-Zone
• drei dedizierte Nameserver-Standorte in Europa und Asien gemäß Standortspezifikation der neuesten Generation der DENIC Nameserver-Infrastruktur
• redundante Nameserver Hardware
• redundante Anbindung an gut vernetzten Internet-Exchanges
• Unterschiedliche Nameserver-Software (BIND, NSD)
• Out-of-band-Management
=> leistungsfähige, sichere und hochverfügbare Infrastruktur mit Produktionsqualität
DNSSEC-Testbed: Infrastruktur
Infrastruktur des Testbeds:
31
• NSEC3 Opt-Out (-> BIND, Unbound, [Nominum])
• wirkt „zone walking“ entgegen
• begrenzt das Zonenwachstum
• Zonenaktualisierungen
• anfangs 1-2 Versionen pro Tag (statt 12)
• kontinuierliche Frequenzerhöhung (folgt der neuen de-Infrastruktur)
• DS-Records ab März 2010
DNSSEC-Testbed: Daten
Die Daten des Testbeds sind eine 1:1 Kopie der de-Zone:
32
DNSSEC-Testbed: Zugang zum Testbed
• Einsatz DNSSEC- und NSEC3-fähiger SW
• Konfiguration des DE-Trust-Anchors
• Ggf. Auch weitere TAs
• Umlenkung der Querys für DE in Richtung Testbed
• Stub/forward-Zonen
• Aktive Mitwirkung durch
• Verkehrsbeobachtung, Statistiken
• Teilnahme an Diskussionen, Fehlersuche
Resolver-Operator (ISP):
33
• Einsatz DNSSEC
• auch Key-Managementwerkzeuge
• Schlüsselerzeugung und –verwaltung
• Prozess für die Re-Signierung
• DNSSEC-“fähiger“ Registrar
• Registriert Schlüssel bei der DENIC für das Testbed
DNSSEC-Testbed: Zugang zum Testbed
DNS-Operator:
34
DNSSEC-Testbed: Zu klärende Fragen
• Key-Rollover (Child Zone)
• Key-Rollover DE
• EDNS-Infrastrukturverträglichkeit (CPE-Devices)
• BSI-Studie
• Auswirkungen auf TCP-Last
• Provider-/Operatorwechsel
• ...
35
Testbed: Teilnahme
Wer kann am Testbed teilnehmen?
• Registrar
• Domaininhaber
• DNS-Operator (autoritativ)
• Resolver-Operator
• (Endnutzer)
Anmeldung für die Teilnahme am Testbed und für die Mailingliste:
http://www.denic.de/dnssec
36
DENIC – KurzvorstellungDENIC – Kurzvorstellung
DNSSEC – Vor- und NachteileDNSSEC – Vor- und Nachteile
Zusammenfassung und Diskussion Zusammenfassung und Diskussion
DNS – Grundlagen und SicherheitsaspekteDNS – Grundlagen und Sicherheitsaspekte
DNSSEC – TestbedDNSSEC – Testbed
DNSSEC – FunktionsweiseDNSSEC – Funktionsweise
37
Zusammenfassung
• Sicherheitsrisiken im Internet wie Cache-Poisoning, DNS-Umleitungen und Spoofing sind bekannt, zunehmend zugänglich und erfolgversprechend.
• Als vorbeugende Gegenmaßnahme existiert mit DNSSEC ein ausgereiftes Protokoll. Die Einführung des Protokolls wird durch seine Komplexität und Kosten infrage gestellt. Erst mit zunehmender Akzeptanz entsteht auch ein ausgereiftes Umfeld für Einführung, Betrieb und Nutzung des Protokolls.
• Im "DNSSEC-Testbed für Deutschland", einer Initiative von DENIC, eco und BSI, werden in einer konzertierten Aktion die operative Umsetzbarkeit und die wirtschaftliche Akzeptanz unter möglichst breiter Beteiligung mit realitätsnahen Bedingungen ermittelt.
38
Phone: +49 69 27235 272
Fax: +49 69 27235 235
Mail: [email protected]
Internet: www.denic.de
Kaiserstrasse 75-77, 60329 Frankfurt am Main