Van 27 tot 1.342.465 domeinnamen met DNSSEC in Nederland: hoe dat komt en wat hebben we geleerd 29 november 2012 SIDN Relatiedag http://tinyurl.com/powerdns-relatiedag
[email protected] Tel: +31-622-440-095
DNSSEC: nieuw in een bestaand bedrijfsproces ●
●
●
●
●
Afgelopen jaar hebben veel grote SIDN registrars, in goede samenwerking met SIDN, PowerDNS en anderen, DNSSEC uitgerold .NL heeft nu meer DNSSEC dan de rest van de wereld bij elkaar opgeteld! DNSSEC biedt bescherming tegen het veranderen van DNS antwoorden door derden En, eenmaal beveiligd, kan DNSSEC ook (bijvoorbeeld) SSL-sleutels bevatten, voor betere en mogelijk goedkopere beveiliging PowerDNS is een open source, 100% ondersteund product, opgericht in 1999.
DNSSEC: nieuw in een bestaand bedrijfsproces ●
DNS is niet het meest dynamische protocol “ever” ● ●
●
En dat is goed Maar.. het gaat soms ook jaren “vanzelf” goed waardoor niemand ingesteld is op veranderingen
DNSSEC is nieuw, en heeft iets weg van HDTV: niemand ging die TV kopen voor er content voor was, niemand ging de content maken voor mensen een HDTV hadden ●
Nu hebben we er “allemaal” een echter
DNSSEC: nieuw in een bestaand bedrijfsproces ●
HDTV werd uiteindelijk een succes omdat de TFT schermen die gebruikt werden voor TV's het toch wel aankonden, en de TV's inmiddels computers geworden waren van binnen ●
● ●
Draaien vaak een heel operating system tegenwoordig – HDTV is dan eitje
“Ok, dan gaan we het maar doen dan” Diezelfde benadering was nodig voor DNSSEC aan de authoritative kant ●
Plus wat stimulatie van SIDN
DNSSEC: wat is er voor nodig ●
●
DNSSEC beveiligt DNS antwoorden met sleutels en handtekeningen Met de sleutel wordt een handtekening gezet onder ieder DNS record ●
.. zo denken cryptografen, die tekenen met sleutels
●
De sleutel wordt verankerd bij SIDN
●
Controle door resolver: ●
controleer of de handtekening past bij de sleutel
●
controleer de sleutel bij SIDN
Sleutels en handtekeningen ●
DNSSEC heeft interessante keuzes gemaakt
●
Handtekeningen verlopen betrekkelijk snel
●
●
●
En om domeinnamen die NIET bestaan ook te beschermen moeten extra records aangemaakt worden De “normale DNS data” moet daarom speciaal gesigned worden (en wordt daarbij vele malen groter) Dit signen moet regelmatig herhaald worden
“Dat kan toch geen probleem zijn” ●
●
Werkelijk alle grote landen-domeinen met DNSSEC zijn al eens down geweest wegens een fout met signen Wat gaat er dan mis: ● ●
●
Verlopen handtekeningen Andere sleutel gemeld bij “parent” dan daadwerkelijk gebruikt Signproces halverwege afgebroken, zone toch gepubliceerd
DNSSEC in het bestaande bedrijfsproces ●
Het was ons vermoeden dat DNSSEC alleen opgenomen kon worden in het bestaande bedrijfsproces.. als het net zo zou werken als gewone DNS ●
●
●
●
Denk aan HDTV!
Dit was niet gebruikelijk in de DNSSEC wereld In de DNSSEC wereld tot dan toe was het altijd zo dat het signen een geheel los proces was, wat eigenhandig getuned kon worden Bij PowerDNSSEC, default uit de doos, “werkt alles gewoon”
Het resultaat
Niet PowerDNS!
DNSSEC in het bestaande bedrijfsproces ●
Dat ziet er soepel uit! ● ●
●
●
Dat viel nog behoorlijk tegen Samen met SIDN zijn alle PowerDNS-gebruikende registrars die behoefte hadden intensief ondersteund bij de migratie
Er was al een hoop geleerd in Zweden, die ons een paar maanden voor gegaan waren in het “bulk signen”, dus daar waren al behoorlijk wat bugs uitgeschud Wat ging er allemaal mis?
Administratie, bugs, “was al stuk” ●
Administratie: ●
●
Bugs: ●
●
Zone gesigned, sleutel ingeleverd bij SIDN, alles stuk. Blijkt, domain nog van registrar, maar zone inmiddels verhuisd! Oeps. DNSSEC is “uitbreiding” op DNS, maar DNSSEC standaard is groter dan de DNS standaard zelf. Genoeg ruimte voor (Power)DNS bugs
Was al stuk: ●
DNSSEC is een stuk strenger over dingen die net niet kloppen. Voorbeeld: oude slave die niet bij is
Netwerk & “oh we hadden toch een firewall” ●
DNSSEC antwoorden zijn veel groter dan nietDNSSEC antwoorden ●
●
●
Cisco oude default firewall config blokkeert >512 bytes TCP is soms noodzakelijk, TCP/53 staat vaak dicht
Diverse firewalls en loadbalancers begrijpen DNSSEC niet en laten het niet (onaangetast) door ●
Soms is niet bekend dat DNS achter de firewall staat!
DNSSEC uitrol ●
●
●
●
Geweldig goede samenwerking met SIDN, SIDN Registrars, NLNetLabs en PowerDNS Community PowerDNSSEC 3.1 is mogelijk gemaakt door Zweden PowerDNSSEC 3.2, welke binnenkort verschijnt, is duidelijk het resultaat van de 1.3 miljoen Nederlandse DNSSEC domeinein 3.2 is zo echt een “bewezen platform!”
Samenvattend ●
Met gebruik van de juiste software is het 'signen' met DNSSEC in te passen in bestaande bedrijfsprocessen ●
●
●
●
1,3 miljoen domeinen gingen u voor
De scherpe kantjes zijn er nu af (in de software) Maar, administratie ('vinkje') en netwerk (filters, firewalls, loadbalaners) blijven aandachtspunten Grijp DNSSEC signen aan om 'voorjaarsschoonmaak' in DNS te houden, want “DNS beetje stuk” → “DNSSEC helemaal stuk”
Van 27 tot 1.342.465 domeinnamen met DNSSEC in Nederland: hoe dat komt en wat hebben we geleerd 29 november 2012 SIDN Relatiedag http://tinyurl.com/powerdns-relatiedag
[email protected] Tel: +31-622-440-095
