DNSSEC zonder (al) te veel moeite

DNSSEC zonder (al) te veel moeite Bert Hubert PowerDNS Deze presentatie & links verschijnen op http://tinyurl.com/powersidn Hashtag: #powerdns

DNSSEC zonder (al te veel) moeite 

Reminder: wat is DNSSEC en wat is het niet?



Voordelen van DNSSEC



Nadelen van DNSSEC



Het minimale wat u echt moet weten



Beschikbare software



Toekomstige ontwikkelingen



PowerDNS 3.0 – mede dankzij SIDN! 

Voor het 'zonder al te veel' moeite stuk

PowerDNS 





PowerDNS is de nameserver van 30%-50% van alle domeinen in de nabije omgeving Gebruikt door toonaangevende registrars en hosters (u?) Inmiddels bijna 12 jaar beschikbaar, bijna 10 jaar als open source 



”Uitstekend professioneel ondersteunde open source met een levendige community”

Wet van de remmende voorsprong → wet van de versnellende achterstand 

DNSSEC pas gedaan toen duidelijk was hoe

DNSSEC: wat is het wel/niet  

Vragen over domeinen reizen over DNS Een verkeerd DNS antwoord betekent een verkeerd internet 



Uw website staat ineens niet meer in Utrecht maar in Uzbekistan (en heeft heel andere content)

Beveiligd http heet https, beveilgde email SMTP/TLS, POP3S of IMAP3s 

”zet er een S bij”



Tot nu toe was er geen beveiligd DNS



DNSSEC is 'beveiligd dns'.. maar wel anders

Hoe is DNSSEC anders? 





Om SSL toe te voegen aan email of web is alleen een certificaat benodigd Voeg het certificaat toe, herconfigureer, en http://uwbedrijf.nl is ook bereikbaar op https://uwbedrijf.nl SSL beveiliging wordt 'live' toegevoegd 



DNSSEC beveiliging wordt doorgaans statisch en vooraf toegepast 



Vers voor iedere verbinding

En moet steeds bijgewerkt worden

Kortom, dit is nieuw→ big deal!

DNSSEC: Toestand 

DNSSEC is hier en nu



De software is (behoorlijk) gereed



De root van DNS heeft DNSSEC aan staan







COM/NET/ORG hebben het in productie, via sommige registrars te bestellen SIDN & Andere registries zijn in Friends & Fans stadium (het werkt, maar nog handmatig) Sommige (hele grote) ISPs verifieren DNSSEC antwoorden

DNSSEC beschermt tegen: 

”Spoofing aanvallen” 



Onbetrouwbare secondaries/slaves 



Derden die pogen gewijzigde antwoorden te sturen namens uw nameservers Uw slave/secondary kan nu naar hartelust uw DNS data aanpassen

Onbetrouwbare overheden & ISPs 

Injecteren mogelijk reclame, of leiden uw verkeer om langs ”DPI” installaties

DNSSEC: Waarom doen? 

In alle eerlijkheid, voorgaande bedreigingen zijn niet heel ernstig 



Er is geen brandende noodzaak 



Spoofing lukt haast niet meer, kies je secondaries zorgvuldig uit, onbetrouwbare overheden & ISPs kunnen ook op andere manieren hun ding doen In contrast tot IPv6

Er zijn wel andere goede redenen echter

”Veiligheid is ook een gevoel”

DNSSEC redenen 



Niet alleen is DNSSEC een mooi 'zegeltje' om te hebben Er komt ook een groep klanten die, met uitdraai in de hand, komt melden dat uw servers het niet doen. 

”Nessus effect”



”De concurrent doet het wel”



Eis in aanbestedingen



.. mooi excuus om de DNS eens goed op te ruimen!

DNSSEC nadelen 

DNS zonder DNSSEC is buitengewoon robuust tegen fouten 



DNSSEC is sterk cryptografisch beveiligd 



Verouderde data op slaves, missende NS records, rare load balancers, ”consumentenrouters met een mening over DNS” → gaat allemaal goed 'Zero tolerance' tegen wijzigingen (zo hoort het natuurlijk)

Kleine fouten → grote downtime 

Vrijwel alle grote DNSSEC domeinen zijn zo al eens platgegaan

DNSSEC nadelen  

Voor het eerst speelt tijd een rol in DNS Allerhande zaken kunnen 'verlopen' in DNSSEC 

 

Vergelijk een verlopen SSL certificaat

Er is geen 'ga toch maar door knop' echter! Met de meeste software is constante aandacht nodig voor DNSSEC 

Vrijwel alle belangrijke DNSSEC domeinen zijn al eens verlopen

DNSSEC nadelen 

De complexiteit neemt gegarandeerd toe 





Heeft u/hebben uw beheerders voldoende additionele tijd en vaardigheden? Meer klantinteractie

Verhuizen van DNSSEC domeinen is een heel circus 

Kan ook goed nieuws zijn..



Er is nieuwe software nodig



De bedrijfsprocessen moeten anders

DNSSEC is onvoorstelbaar complex 



DNSKEY, RSASHA1, RSASHA256, ECDSA, GOST, NSEC, NSEC3, DS, RRSIG, NSEC3PARAM, Chain Walking, Iteration counts, Salted Hashes, Key Signing Keys, Zone Signing Keys, Trust Anchors, White Lies, Downgrade attacks, UDP Fragmentation, UDP PMTU Probing.. Maar, dat is GSM ook. MSISDN, IMSI, IMEI, HLR, GSMA, SS7, UMTS, SIM, CDMA, TDMA, VLR, SMSC, MSC, UTRAN, A5.1, A3/A8,K_i... 

Bellen is niet moeilijk echter!

De kern van DNSSEC 



Een DNS antwoord krijgt een RRSIG, een digitale handtekening Deze handtekening wordt gemaakt door een DNSKEY, een sleutel 





In de echte wereld zetten sleutels geen handtekeningen.. hier wel

Van deze DNSKEY wordt een afschrift door SIDN in de .NL zone gestopt Zo controleert de wereld de echtheid van de sleutel, en vervolgens de echtheid van de handtekening

Het ”signing process” www.uwbedrijf.nl IN A 1.2.3.4

DNSSEC SIGN

www.uwbedrijf.nl IN A 1.2.3.4 DNS

Het ”verficatie process” www.uwbedrijf.nl IN A 1.2.3.4 DNS

DNSSEC VERIFY

OK!

DNS

Het verankeren van de sleutel

SIDN

Het ”verficatie process” www.uwbedrijf.nl IN A 1.2.3.4 DNS

DNSSEC VERIFY

OK! SIDN

DNS

Waar het om draait www.uwbedrijf.nl IN Oorspronkelijke DNS data A 1.2.3.4 Nodig om handtekeningen te zetten. Private sleutel = geheim!

De handtekening onder uw DNS antwoord (RRSIG)

De publieke sleutel waarmee de handtekening gecontroleerd kan worden (DNSKEY)

Pasfoto van de publieke sleutel, verkrijgbaar bij SIDN, waar de publieke sleutel dan weer mee gecontroleerd kan worden (DS)

Waar up op moet letten www.uwbedrijf.nl IN A 1.2.3.4

Als de oorspronkelijke DNS data wijzigt moet de handtekening vernieuwd worden. Als de private sleutel uitlekt is de beveiliging van DNSSEC over.

Handtekeningen hebben een levensduur, en horen bij precies 1 sleutel. Als de sleutel verandert, moeten de handtekeningen opnieuw. Handtekeningen verlopen ook, vaak binnen een paar weken! Publieke en private sleutels moeten wel bij elkaar passen!

Als er iets verandert aan de sleutel moet een nieuwe/extra pasfoto gepubliceerd worden

Stappen om tot DNSSEC te komen 1.Kies de juiste software & hardware, en indien nodig de juiste DNSSEC parameters (*) 2.Genereer een privaat/publiek sleutel paar per zone (in de praktijk: 2 paar) 3.Zet handtekeningen op uw bestaande DNS data 4.Genereer de DS (pasfoto) van uw sleutelpaar en stuur deze op naar SIDN 5.Regel in dat stap 2 periodiek herhaald wordt, en sowieso na iedere wijziging in de DNS

Dat viel best mee! 

Valkuilen: 







Het tekenproces stopt met lopen – niemand merkt daar iets van tot de handtekeningen verlopen zijn. Dit gebeurt gegarandeerd (volgelopen disk..) Slaves halen opnieuw getekende zones niet vanzelf op! SOA serial blijft gelijk namelijk. Handtekeningen verlopen op de slave. Na rommelige klachten over dat het soms niet werkt blijkt de firewall grote paketten te blokkeren Als er iets mis is kost het 48 uur om DNSSEC uit te (laten) zetten!

Bruikbare software



Zonder moderne software is DNSSEC een veel groter drama! 



Veel handmatige keuzes, handtekeningproces loopt niet robuust, geen automatisering voor slaves, moeilijk sleutelbeheer.. Presentaties over DNSSEC gaan meestal over deze tools → geschikt voor ”nerds”



BIND10 (2012)



OpenDNSSEC + BIND9 of NSD



PowerDNS 3.0 ('PowerDNSSEC')



Hardware oplossingen (Xelerance)



Nominum (?)

Een woordje van dank 

SIDN draagt actief bij aan de ontwikkeling van bruikbare DNSSEC technologie & standaarden



Waaronder OpenDNSSEC & PowerDNS 3.0



Dank!



Peter Koch (DENIC), Olaf Kolkman (NLNetLabs), Wouter Wijngaards (NLNetLabs), Marco Davids (SIDN), Markus Travaille, Leen Besselink, Antoin Verschuren (SIDN), Olafur Gudmundsson (IETF), Dan Kaminsky (Recursion Ventures), Roy Arends (Nominet), Miek Gieben (SIDN), Stephane Bortzmeyer (AFNIC), Michael Braunoeder (nic.at), Peter van Dijk, Maik Zumstrull, Jose Arthur Benetasso Villanova (Locaweb), Stefan Schmidt, Roland van Rijswijk (Surfnet), Paul Bakker (Brainspark/Fox-IT), Mathew Hennessy, Johannes Kuehrer (Austrian World4You GmbH), Marc van de Geijn (bHosted.nl), Stefan Arentz and Martin van Hensbergen (Fox-IT), Christof Meerwald, Detlef Peeters, Jack Lloyd, Frank Altpeter, frederik danerklint, Vasiliy G Tolstov, Brielle Bruns, Evan Hunt, Ralf van der Enden, Marc Laros, Serge Belyshev, Jan-Piet Mens, Niek Willems, Stef Van Dessel, John Leach, Thor Spruyt, Aki Tuomi....

Praktijk: PowerDNS 



 



Uitgaande van een werkende PowerDNS installatie: Wijzig het database schema volgens de handleiding, upgrade naar 3.0 Voer uit: pdnssec secure-zone uwbedrijf.nl Controleer of de klokken van uw servers goed staan Voer uit: pdnssec show-zone uwbedrijf.nl en noteer de DS (pasfoto)



Stuur deze naar SIDN (*)



Klaar (*)

Andere manieren 

Een signing-slave (PowerDNS, OpenDNSSEC)



Deze plaatst u naast uw bestaande nameservers



 



De signing-slave configureert u als slave van al uw bestaande domeinen De slave haalt de domeinen binnen & signed ze U vertelt uw registries dat uw signing slaves nu de baas zijn Dit kan vrij letterlijk zonder frontend wijzigingen!

Nog meer manieren 

”Phreebird” - kunt u voor uw nameservers schuiven en alles wordt (live) gesigned 







Leuk idee, implementatie meer proof of concept

Xelerance: Appliance oplossing, automatiseert DNSSEC geheel BIND10: Nog onder ontwikkeling, maar kent ook sleutelbeheer & automatisch signen Nominum: Commercieel DNS bedrijf, alles onder NDA, maar schijnt ook een oplossing te hebben

Aandachtspunten 

DNSSEC parameters: goed over nadenken. Verkeerde keuze kan betekenen:  





Iedereen kan uw zones ”transferen” Uw DNS antwoorden worden zo groot dat ze her en der niet aankomen Uw DNS handtekeningen gebruiken nog niet breed ondersteunde protocollen, en werken niet overal

Gebruik ”de default” of raadpleeg een expert

Aandachtspunten 





Als u een firewall voor uw nameservers heeft staan dan moet deze: 

TCP/IP poort 53 doorlaten



Grote UDP paketten doorlaten



ICMP niet filteren



IP fragments doorlaten

Veel firewalls in ”default” configuratie voldoen niet aan bovenstaande eisen! Als dit niet geregeld is ”lijkt” alles te werken..

Aandachtspunten  







Verhuizen van een domein is een heel circus Het herstellen van verkeerde DNSSEC parameters is veel gedoe Als u uw DNS sleutelmateriaal wilt veranderen moet dit heel zorgvuldig gebeuren, anders gaat uw domein down Ook met perfecte automatisering is niet te ontkennen dat DNSSEC veel complexer is dan DNS. Heeft u voldoende tijd over? Er is een performance impact

Nieuwe mogelijkheden 

 





DNSSEC maakt ook bijzondere nieuwe dingen mogelijk Meest spannende ontwikkeling: DANE Op dit moment gebruiken we SSL om https websites mee te beveiligen Probleem is dat 1500 bedrijven SSL certificaten uit kunnen geven → doen ze dat ook aan boeven (JA) Via DANE wordt het ”enige juiste” SSL certificaat gecontroleerd via DNSSEC 

En stiekem kan het ook zonder CA..

Afsluitend  



DNSSEC is hier & nu Uw klanten beginnen het van u te verwachten Het is niet meer zo moeilijk als het was 



Aandachtspunten blijven echter 



Met de juiste tools best te doen Complexiteit neemt toe

Met DNSSEC worden mooie dingen mogelijk

DNSSEC zonder (al) te veel moeite Bert Hubert PowerDNS Deze presentatie & links verschijnen op http://tinyurl.com/powersidn Hashtag: #powerdns [email protected] 06-22440095