voice+ip germany - workshop dnssec-testbed frankfurt 04. november 2009

VOICE+IP Germany - Workshop DNSSEC-Testbed

Frankfurt 04. November 2009

2

Agenda

DENIC – KurzvorstellungDENIC – Kurzvorstellung

DNSSEC – Vor- und NachteileDNSSEC – Vor- und Nachteile

Zusammenfassung und Diskussion Zusammenfassung und Diskussion

DNS – Grundlagen und SicherheitsaspekteDNS – Grundlagen und Sicherheitsaspekte

DNSSEC – TestbedDNSSEC – Testbed

DNSSEC – FunktionsweiseDNSSEC – Funktionsweise

3

DENIC eG - Aufgaben

Bundesweit zentrale Registrierung von .de und ENUM-Domains

• Betrieb der Nameserver

• Betrieb des Registrierungssystems und der Domaindatenbank

• Bereitstellung von Informationsdiensten wie whois

• Einrichten von DISPUTEs bei Domainstreitigkeiten

4

DENIC eG – Entwicklung

Domainstand zum 01. Oktober 2009:

13.076.820

5

DENIC eG - NSL-Standorte 2010 (IPv4)

Legende: Unicast Standorte, gleiche Farbe entspricht Partnerstandorten

Anycast Standorte, gleiche Farbe indiziert gleiche Wolke a.nic (grün) bzw. z.nic (gelb)

Los Angeles

Miami

Sao Paulo

Seoul

HongkongBeijing

Paris, London

Ffm, Amsterdam

Stockholm

WienUlm

Berlin

Amsterdam, Ffm

16 Standorte, 10 Exchanges

6

Anzahl Domains82.447.376

12.545.589

12.474.3557.904.894 7.837.483

5.285.668 3.523.290 2.991.340 2.151.245 2.035.440

13.076.820

0

10.000.000

20.000.000

30.000.000

40.000.000

50.000.000

60.000.000

70.000.000

80.000.000

90.000.000

.com .de .cn

(Stand

07/09)

.net .uk .org .info .nl .eu .ru .biz

DENIC eG – Internationaler Vergleich

Recherche DENIC, Stand 1. Oktober 2009

7

Ende Erster freiwilliger Nameserverdienst an der Uni Dortmund80er

1993 „Interessenverbunds Deutsches Network Information Center“Ausschreibung des Nameserverdienstes

1994 Aufnahme des Betriebs an der Uni Karlsruhe

1996 Gründung der DENIC eG

1997 Aufnahme des Geschäftsbetriebs in Frankfurt/Main. Der technische Betrieb blieb zunächst in Karlsruhe und folgte

1999

2006 ENUM für .9.4.e164.arpa geht in die produktive Phase

2009 Start des DNSSEC-Testbeds für Deutschland

DENIC eG - Historie

8







9

DNS – Grundlagen und Sicherheitsaspekte

Die Hierarchie des DNS:

10


Resolver

12

34

56

TLD

example.TLD

0

7

mail.example.TLD

ZoneInternet-Anwendung

11

DNS-Datenfluss:


12

Bedrohungen des DNS-Datenflusses:


13

Beispiel DNS Spoofing / Cache Poisoning:

• Idee des Angriffs: Einpflanzung einer falschen IP-Adressauflösung für einen bestimmten Hostnamen

• Jede DNS-Anfrage für diesen Host liefert dann bis auf weiteres diese falsche IP-Adresse zurück.

möglich, weil:

• die Echtheit der Daten im DNS grundsätzlich angenommen wird

• die Adressinformationen über Netzwerk ausgetauscht werden

• aufgelöste Adressen im Cache des DNS-Servers gehalten werden


14

Beispiel DNS Spoofing / Cache Poisoning:

• Angreifer täuscht vor, ein bestimmter Server zu sein um gefälschte Daten zu verbreiten

• Angreifer antwortet schneller als das Original - dazu muß er

• Die Adresse des Ziels kennen• Die Anfrage kennen• Die Parameter der Anfrage kennen

• Opfer erhält gefälschte Adressinformationen und wird z.B. auf eine nachgemachte Online Banking Webseite umgelenkt

Passwörter oder andere Zugangscodes können ermittelt werden


15

Beispiel: DNS Spoofing / Cache Poisoning

DNS Server

Query xx.insecure.com

Query xx.insecure.com

DNS Answer 1.2.3.4

Mail oder Webseite mit xx.foo.com

DNS Answer 6.7.8.9DNS Answer 6.7.8.9


DNS Answer 6.7.8.9

Caching Resolver

Am 6. August 2008 wurde auf der Blackhat-Konferenz eine deutliche „Verbesserung“ eines DNS-Cache-Poisoning-Angriffs vorgestellt. In den davor liegenden sechs Monaten hatten viele DNS-Softwarehersteller eine Verbesserung („Quellportrandomisierung“) erarbeitet, die den status quo ante wiederherstellen half, das Problem jedoch nicht dauerhaft bekämpfte.


16







17

DNS Server

Query xx.secure.com

Query xx.secure.comDNS Answer 1.2.3.4

DNS Answer 1.2.3.4

Sicherheit durch Authentifizierung



DNS Answer 6.7.8.9

Caching Resolver

DNSSEC – Funktionsweise

18

• DNS-Zonen sind die Datenquellen

• Ein Public-Key(-Paar) pro Zone

• Zonenverwalter unterschreibt alle Records

• Trust Chain folgt der Delegationskette

• Elternzone unterschreibt Schlüssel der Kindzonen

• Schlüssel (Trust Anchor) der Root-Zone wird verteilt

DNSSEC-Grundbausteine:


19

DNSSEC-Trust Chain:


20

• Das DNS-Protokoll enthält derzeit keine Maßnahmen zum Schutz seiner transportierten Daten. Insbesondere enthält es keine Sicherung der Daten gegen Veränderungen auf dem Transportweg oder in den durchlaufenden Servern und Caches.

• DNSSEC bietet eine Quellenauthentisierung und damit die Sicherung des Pfades zwischen DNS-Servern und DNSSEC-fähigen Klienten, wobei auch dazwischen liegende Server und Resolver mit ihren Caches in die Sicherheitskette eingeschlossen sind.

• Anhand der verwendeten Signatur lässt sich prüfen, ob die beim Resolver eintreffenden Daten vollständig und unverändert sind.

Was kann DNSSEC leisten?


21

• Cache Poisoning

• Zonenfile-Modifikation

• Kompromittierung eines Nameservers

• „Untreue“ Secondaries

DNSSEC gewährleistet Quellenauthenzität und Integrität der DNS-Datenund bietet dadurch Schutz vor folgenden derzeit bekannte Angriffen:


22







23

Registrierungsstelle(DENIC)

Registrar/Registrant(DNS Operator)

Resolver-Operator(ISP)

DNSSEC – Vor- und Nachteile

Dreiecksverhältnis:

Internetnutzer

24

Registrierungsstelle:

• Registry benötigt entsprechende Nachfrage von Registraren und Konsumenten für den wirtschaftlichen Betrieb

Resolver-Operator (ISP):

• Validierung und/oder Trust Anchor Management nur wirtschaftlich bei aus-reichender Anzahl Zonen, die DNSSEC unterstützen

Registrar:

• Registrar benötigt eine Nachfrage von Registranten/Domaininhabern, um wirtschaftlich zu sein.

• Registrant ist auf die Veröffentlichung seines Schlüssels durch den Registrar angewiesen

Wie sieht das Dreiecksverhältnis aus?


25

PROS

• Wirkt proaktiv

gegen Cache Poisoning an der Wurzel

• Einzige

bekannte, verfügbare, standardisierte

Gegenmaßnahme

CONS

• Kritische Masse zum erfolgreichen

Betrieb notwendig

• Datenpflegemodell wird dynamisch

• Komplexität erhöht sich

• Signaturen vergrößern Datenmengen

ICANN und Verisign haben die Signierung der DNS-Rootzone zum 1. Juli 2010 angekündigt.


26







27

• Erprobung von DNSSEC unter realistischen Einsatzbedingungen

• Ermittlung der technischen und operativen Reife

• Protokoll ist stabil

• Operative Details sind aber z.T. offen

• Test der Akzeptanz im Markt

DNSSEC-Testbed: Zielsetzung und Gesamtsicht

Zielsetzung des Testbeds:

28

• Initiative von DENIC, eco und BSI

• Kickoff am 2. Juli 2009 in Frankfurt (DENIC)

• Nächste Veranstaltung: Januar 2010, Frankfurt

• Studie zu SoHo/DSL-Router (BSI) Juli-Dezember 2009

DNSSEC-Testbed: Zielsetzung und Gesamtsicht

Gesamtsicht des Testbeds:

29

DNSSEC-Testbed: Roadmap

• Testbed Phase 0 - DNS

• Betrieb des Setups mit unsignierter de-Zone

• Testbed Phase 1 – DNSSEC

• Betrieb signierte de-Zone

• Testbed Phase 2 – DNSEC +DS

• Betrieb signierte de-Zone incl. DS-Records

• Übergabe Schlüsselmaterial

• KSK Rollover

• Entscheidung über Produktionsbetrieb nach dem Testbed

30

• eigenständige Infrastruktur zur Beantwortung von DNS-Querys

• existiert parallel zur Nameserver-Infrastruktur für die de-Zone

• drei dedizierte Nameserver-Standorte in Europa und Asien gemäß Standortspezifikation der neuesten Generation der DENIC Nameserver-Infrastruktur

• redundante Nameserver Hardware

• redundante Anbindung an gut vernetzten Internet-Exchanges

• Unterschiedliche Nameserver-Software (BIND, NSD)

• Out-of-band-Management

=> leistungsfähige, sichere und hochverfügbare Infrastruktur mit Produktionsqualität

DNSSEC-Testbed: Infrastruktur

Infrastruktur des Testbeds:

31

• NSEC3 Opt-Out (-> BIND, Unbound, [Nominum])

• wirkt „zone walking“ entgegen

• begrenzt das Zonenwachstum

• Zonenaktualisierungen

• anfangs 1-2 Versionen pro Tag (statt 12)

• kontinuierliche Frequenzerhöhung (folgt der neuen de-Infrastruktur)

• DS-Records ab März 2010

DNSSEC-Testbed: Daten

Die Daten des Testbeds sind eine 1:1 Kopie der de-Zone:

32

DNSSEC-Testbed: Zugang zum Testbed

• Einsatz DNSSEC- und NSEC3-fähiger SW

• Konfiguration des DE-Trust-Anchors

• Ggf. Auch weitere TAs

• Umlenkung der Querys für DE in Richtung Testbed

• Stub/forward-Zonen

• Aktive Mitwirkung durch

• Verkehrsbeobachtung, Statistiken

• Teilnahme an Diskussionen, Fehlersuche

Resolver-Operator (ISP):

33

• Einsatz DNSSEC

• auch Key-Managementwerkzeuge

• Schlüsselerzeugung und –verwaltung

• Prozess für die Re-Signierung

• DNSSEC-“fähiger“ Registrar

• Registriert Schlüssel bei der DENIC für das Testbed

DNSSEC-Testbed: Zugang zum Testbed

DNS-Operator:

34

DNSSEC-Testbed: Zu klärende Fragen

• Key-Rollover (Child Zone)

• Key-Rollover DE

• EDNS-Infrastrukturverträglichkeit (CPE-Devices)

• BSI-Studie

• Auswirkungen auf TCP-Last

• Provider-/Operatorwechsel

• ...

35

Testbed: Teilnahme

Wer kann am Testbed teilnehmen?

• Registrar

• Domaininhaber

• DNS-Operator (autoritativ)

• Resolver-Operator

• (Endnutzer)

Anmeldung für die Teilnahme am Testbed und für die Mailingliste:

http://www.denic.de/dnssec

36







37

Zusammenfassung

• Sicherheitsrisiken im Internet wie Cache-Poisoning, DNS-Umleitungen und Spoofing sind bekannt, zunehmend zugänglich und erfolgversprechend.

• Als vorbeugende Gegenmaßnahme existiert mit DNSSEC ein ausgereiftes Protokoll. Die Einführung des Protokolls wird durch seine Komplexität und Kosten infrage gestellt. Erst mit zunehmender Akzeptanz entsteht auch ein ausgereiftes Umfeld für Einführung, Betrieb und Nutzung des Protokolls.

• Im "DNSSEC-Testbed für Deutschland", einer Initiative von DENIC, eco und BSI, werden in einer konzertierten Aktion die operative Umsetzbarkeit und die wirtschaftliche Akzeptanz unter möglichst breiter Beteiligung mit realitätsnahen Bedingungen ermittelt.

38

Phone: +49 69 27235 272

Fax: +49 69 27235 235

Mail: [email protected]

Internet: www.denic.de

Kaiserstrasse 75-77, 60329 Frankfurt am Main

voice+ip germany - workshop dnssec-testbed frankfurt 04. november 2009

Documents