DNSSEC is vandaag!
Marco Davids Technisch adviseur 22 maart 2013 KING Leveranciersbijeenkomst Utrecht
1
o o o o
SIDN ? Wat is DNS(SEC) ? Huidige status ? Wrap up
2
SIDN
3
SIDN Stichting Internet Domeinregistratie Nederland
• ‘Registry’ voor .nl
4
.nl in cijfers Top 10 ccTLD’s 1 .DE (Duitsland) 2 .TK (Tokalau) 3 .UK (Ver. Koninkrijk) 4 .NL (Nederland) 5. CN (Volksrep. China) 6 .RU (Rusland) 7 .EU (Europese Unie) 8. BR (Brazilië) 9. AR (Argentinië) 10 .AU (Australië)
15,2 m 10,8 m 10,2 m 5m 4,1 m 4m 3,67 m 3m 2,7 m 2,5 m
(bron: CENTR, sept 2012)
(bron: SIDN)
5
.nl vandaag • Hoge domeinnaam-dichtheid • 1e TLD in termen van DNSSEC
6
DNS(SEC)
7
(authoritatieve) nameservers
DNS queries lokale resolver
1
Geef me www.example.nl
root-server
Geef me (het adres van) www.example.nl
Vraag de nameserver van .nl (op dit adres)
www.example.nl kun je hier vinden: 198.51.100.80
4
8
9
2
Geef me www.example.nl Vraag de nameserver voor example.nl (198.51.100.53)
Bezoek site
www.example.nl = 198.51.100.80
6
3
5
Het Internet Geef me www.example.nl
www.example.nl = 198.51.100.80
7
top-level DNS server (.nl)
authoritatieve DNS server (example.nl)
www.example.nl 198.51.100.80 8
DNS misbruik (cache poisoning)
9
(authoritatieve) nameservers
DNS 'cache pollution' lokale resolver Geef me www.example.nl
Waar is www.example.nl? Vraag de nameserver van example.nl
root & TLD servers
www.example.nl kun je hier vinden Waar is www.example.nl? ‘slachtoffer’
www.example.nl = 192.0.2.80
www.example.nl kun je hier vinden: 198.51.100.53
authoritatieve DNS server (example.nl)
www.example.nl kun je hier vinden: 192.0.2.80
www.example.nl 198.51.100.80
www.example.nl 192.0.2.80
‘nep’ authoritatieve DNS server
10 10
DNSSEC: ‘Digitale zegels’
RRSIG example.nl. 7200 RRSIG SOA 5 3 7200 20131113113016 ( 20131014113016 57798 example.nl. TWLzBuUgXWMA9cj+xe6YMjXy2/VdauWnONk7 uAP8JcdzsemcfWov4cFzXowS2YX291+5jBMp m5AlwpM7ijbSBgAGz22ywlKN8JoOg3KtCM2Y UX/c8/ATbYEBPKRjBs+YQKmY1NppwSjFi9Y0 1fVEBbrCnI0EP33c/VK97s8oNG8= )
https://www.dnssec.nl/
11
Bron: http://www.forumstandaardisatie.nl/
12
DNSSEC ‘is vandaag’
o o o o o
Ruim 26% van alle .nl domeinnamen is beveiligd Andere TLD’s zijn ook flink bezig Steeds meer validatie (deze week nog Google’s Public DNS) Software begint goed volwassen te worden Veel DNS(SEC) expertise in Nederland
Doe de check: http://dnssectest.sidn.nl/
13
DNSSEC (als ‘enabling technology’)
14
Check zelf: http://phishingscorecard.com/
DKIM (DomainKeys Identified Mail) o o o
o o
o o
Associeer een domeinnaam met een e‐mail Claim verantwoordelijkheid voor die mail Dit gebeurt d.m.v. een digitale handtekening Masterclass op 28 maart! (http://t.co/CSgnR220tB) Algemeen gebruikt: Yahoo, HotMail, Gmail…. Wie niet? De handtekening is te controleren m.b.v. een gegeven in DNS Dus DNSSEC heeft belangrijke meerwaarde 15
Check zelf: http://phishingscorecard.com/
SPF (Sender Policy Framework) o o o
Verklaar wat geldige mailservers zijn Neem dit op in DNS (als SPF‐record) Dus DNSSEC heeft hier meerwaarde
DMARC (Domain‐based Message Authentication, Reporting and Conformance) o
Verklaar wat uw beleid is.
16
DMARC rapport (voorbeeld)
Bron: http://www.dmarcian.com/
Bron: PoC SIDN Labs (internal)
DANE (DNS‐based Authentication of Named Entities)
o o o o
Controleer PKI‐certificaten m.b.v. DNS ‘DigiNotar‐incident’ had hiermee voorkomen kunnen worden. RFC6698 (augustus 2012) Voorwaarde: DNS moet beveiligd zijn met DNSSEC
18
Man‐in‐the‐Middle ServerHello
ServerHello
Het (frauduleuze) certificaat is… • Niet ‘expired’ of ‘revoked’ • Validateert met een van de CA’s • Heeft een kloppende ‘common name’
23
Klopt het? ServerHello
ServerHello
_443._tcp.www.example.nl. IN TLSA ( 1 0 1 d2abde240d7cd3ee6b4b28c54df034b9 7983a1d16e8a410e4561cb106618e971 )
26
Echte certificaat klopt met TLSA, frauduleuze certificaat niet
==
_443._tcp.www.example.nl. IN TLSA ( 1 0 1 d2abde240d7cd3ee6b4b28c54df034b9 7983a1d16e8a410e4561cb106618e971 )
!=
_443._tcp.www.example.nl. IN TLSA ( 1 0 1 d2abde240d7cd3ee6b4b28c54df034b9 7983a1d16e8a410e4561cb106618e971 )
28
DNSSEC
_443._tcp.www.example.nl. IN TLSA ( 1 0 1 d2abde240d7cd3ee6b4b28c54df034b9 7983a1d16e8a410e4561cb106618e971 )
32
DNSSEC – the enabling technology
_443._tcp.www.example.nl. IN TLSA ( 1 0 1 d2abde240d7cd3ee6b4b28c54df034b9 7983a1d16e8a410e4561cb106618e971 )
_443._tcp.www.example.nl. IN RRSIG TLSA 8 5 300 ( 20130423112228 20130115102228 52044 example.nl. bnMyNbCO3MwRAvVmIX7KHpUGgIdpBFMz2ICMQ0gJz7UD A3tz0EKmBjqxOdwZaZNj2KrtxFJ2ta7elURYIHTpFFl9 +hJFTpeBJLKlJ636iLCyQCSXAYTLEiu7vOP2nnX8y6+M g+tOku4XNpk/HsolelmIA+Zxkj8Zxj+YxdedUlo= )
33
DANE standaard
DNSSEC/TLSA validator Door Paul Wouters (gebaseerd op werk van CZ.NIC en D. Groenewegen)
http://people.redhat.com/pwouters/ 34
Waar staan we?
35
Hype cycle
by courtesy of: SURFnet
36
Hype cycle
by courtesy of: SURFnet
37
De ontwikkeling van DNSSEC
‘Uptake’ van DNSSEC domeinen in .com, .net, .edu .edu : .net : .com:
bron: Verisign labs
0.9% 0.2 % 0.15 %
38
De ontwikkeling van DNSSEC
Uptake van DNSSEC domeinen in .nl, .cz, .br en .se In .nl is het 26% ! bron: PowerDNS
39
Morgen is vandaag!
40
Bron: http://ip6.nl/#!sidn.nl
Een veiliger en beter schaalbaar internet met IPv6, DNSSEC, DKIM (en, op termijn: DANE)
o o o
o
Het Forum Standaardisatie ‘wijst de weg’ Zie ook de ‘pas‐toe‐of‐leg‐uit’ lijst Zet IPv6, DKIM, DMARC, SPF en DNSSEC op uw prioriteitenlijst Hou DANE in de gaten
41
42
