Security bij de European Registry for Internet Domain Names

“Security” bij de European Registry for Internet Domain Names Peter Janssen Technical Manager EURid vzw/asbl

Computable Security Seminar 25/09/2008

Wie is EURid? • “Not for profit” organisatie Naar Belgische Wet(2003)

• Onder contract met de Europese Commissie • Opgericht door DNS BE, IIT CNR en NIC SE, beheerders van “country-code top level domain” voor België (.be), Italië (.it) en Zweden (.se) • Verantwoordelijk voor administratieve en operationele beheer van de .eu domein naam ruimte www.europa.eu [email protected]

Definitie van een “Registry” ? Verificatie & controle

Beheer van domein namen

Domein namen doen werken

DNS Services

DNS Services • Mensen : – zijn niet in staat om een reeks cijfers te onthouden – kunnen namen onthouden

• Basis van DNS – Vertaal namen in getal reeksen – Opzoeken van extra info voor een naam • mailserver, • Opzetten van communicatie kanalen zoals VOIP, chat, ...

• DNS – alom aanwezig – is de basis geworden van het Internet zoals de gewone eindgebruiker het kent

DNS Services Root Name Servers Root Servers

www.xyz.eu www.xyz.eu A?

Website Hoster

p.nic.eu 195.47.235.130 l.nic.eu 195.66.241.178

www.xyz.eu A?

.EU Name .EU Servers Servers

ns1.def.eu ns2.hikk.com www.xyz.eu A? dns.provider.eu 195.234.53.199 195.234.53.199

Registrar of Hoster Namexyz.eu Servers Servers

Eindgebruiker’s Provider www.xyz.eu A?

Eindgebruiker

DNS Services – Originele setup

Amsterdam Brussels Ljubljana London Milano Prague

DNS Services – Originele Setup • Geografisch gespreid • Belangrijke internet ‘knooppunten’ – Diverse connectiviteit – Hoge Bandbreedte

• Zwaar overgedimensioneerde machines • Filter (foute) traffiek – Aggressieve firewalling

DNS Services – Originele Setup

DNS Software draait in “chroot jail” Packetfilter: •Van “anywhere”, naar “port 53” •Van “specifiek IP”, naar “VPN port” nameserver Statefull software firewall

DNS Services – Huidige Setup • Originele zes machines • Twee “anycast meshes” • Hardware diversiviteit – Routers, switches, servers

• Operating System diversiviteit • Software diversiviteit – DNS software

DNS Services – Huidige Setup • Anycast : “Multi aanwezigheid” op het Internet – DDos “verlichting” – Performantie Schaalbaarheid – Hardware falen opvanging

DNS Services (Unicast)

DNS Services (Anycast)

DNS Services – Toekomst • Drie machines per node – Ipv één machine per node – Clustering “on site” – Volledig automatische redundante • Performantie stijging (toevoegen van machines) • Hardware Fail-over (eenderwelk deel)

• Virtualisatie van de service – Voegt een extra (security) laag toe

DNS Services – Toekomst

Server dom0

domU a.b.c.d Port 53

u.v.w.x Port vpn

Bridge

Registratie Systeem

Registratie Systeem

• Publieke Toegang – Websites, email, whois, EPP, ...

• Klassieke beveiliging – Hoge beveiliging – Firewalling – Hoog performante infrastructuur

Registratie Systeem ISP1

ISP2

ISP3

ISP4

Routing Cluster

Firewall Cluster

Virtuele Database

Packet Filtering

Statefull Firewall

Virtuele Servers

Registratie Systeem

• EPP service – – – – –

XML gebaseerde registratie module Bron IP adres check & filter SSL verbinding (server certificaat) Gebruikersnaam & wachtwoord Maximum op aantal paralelle verbindingen

Registratie Systeem

• Initiële start – Security code per post (contract) – Activatie code per email – Aanloggen op beveiligde website • Server certificaat, SSL

– Security code + Activatie code • Activatie : kies wachtwoorden

Registratie Systeem

• Whois – 1 query per bron IP per seconde – 100 queries per bron IP per uur – Applicatie filtering – Firewall filtering (drop pakket) – Router filtering (blackholing)

Registratie Systeem • Site faalt – Airbus 380 crasht, ... Data Replicatie

Hoofd Site (BE)

Uitwijkcentrum(CZ)

Registratie Systeem • Tape robots – Onsite backup, offsite restore

• Data escrow – Dagelijkse volledige “upload” van alle gegevens naar een onafhankelijk Escrow bedrijf – Verificatie proces (whois, dns, mystery shopping, ...)

Support Services

Support Services • 4 kantoren – Brussel, Pisa, Praag & Stockholm – Geografisch gespreid – Volledige onafhankelijke van de andere kantoren – Geen cruciale gegevens op de kantoren

Volgende stappen

• Virtualisatie – Firewalling in software op hypervisor laag – Compartmentalisatie

• Mandatory Access Control • Inbraak detectie & preventie

Compartmentalisatie

BladeChassis 1 Blade 1 V M 1

V M 2

BladeChassis 2

Blade 2 V M 3

Hypervisor

V M 4

V M 5

Blade 3 V M 6

Hypervisor

V M 7

V M 8

Blade 4 V M 9

Hypervisor

V M 10

V M 11

V M 12

Hypervisor

Mandatory Access Control • Operating System beperkt de mogelijkheid van een : – initiëerder om toegang te krijgen tot of om een actie uit te voeren op – een object of doel.

• Initiëerder ~~ een proces of thread • object ~~ bestanden, folders, TCP/UDP poorten, … • Beveiligings attributen (bekrachtigd door OS) beslissen of de toegang wordt toegestaan

Inbraak detectie & preventie ISP1

ISP2

ISP3

ISP4

Routing Cluster

Firewall Cluster

Packet Filtering

Statefull Firewall

Inbraak detectie & preventie Appliances

Virtuele Database

Virtuele Servers

Conclusie • “Beveiliging” == “Work in Progress” • Think out of the box “Wat kan er nog “mis” gaan?” • Beheers huidige technologie “The bad guys surely will!”