Testen voor een veiliger internet

10-4-2011

Testen voor een veiliger internet Testen van OpenDNSSEC

Rick Zijlker 10 mei 2011

ACTIES Rick Zijlker AFGELOPEN PERIODE  4 jaar in het testvak  Technisch testen & Internet  Identify  OpenDNSSEC expert

© 2011 Identify

1

1

10-4-2011

ACTIEShelden Nieuwe AFGELOPEN PERIODE

2

© 2011 Identify

ACTIESvan Belang AFGELOPEN Internet PERIODE

Cloud computing

© 2011 Identify

3

2

10-4-2011

ACTIES AFGELOPEN PERIODE Agenda  DNS  De veilige opvolger: DNSSEC  Testen van OpenDNSSEC  Praktijk voorbeeld  Vragen

4

© 2011 Identify

ACTIES AFGELOPEN PERIODE DNS  Protocol uit 1983  Oorspronkelijk kleinschalig  Telefoonboek van het internet

Nieuwe held? 06 189 63373

© 2011 Identify

Nieuwe held? 06 189 63373

5

3

10-4-2011

DNS is lek Provider Testnet.org? Testnet.org 6.6.6.6

Testnet Testnet.org? Testnet.org 1.1.1.1 1.1.1.1 Testnet.org 6.6.6.6

Hacker

© 2011 Identify

6

ACTIES AFGELOPEN PERIODE Agenda  DNS  De veilige opvolger: DNSSEC  Testen van OpenDNSSEC  Praktijk voorbeeld  Vragen

© 2011 Identify

7

4

10-4-2011

ACTIES De veilige AFGELOPEN opvolger: DNSSEC PERIODE Provider Testnet.org?

Testnet Testnet.org?

Testnet.org 1.1.1.1 SIGNATURE

Testnet.org 1.1.1.1 SIGNATURE

1.1.1.1

Testnet.org 6.6.6.6 Hacker

8

© 2011 Identify

ACTIES De veilige AFGELOPEN opvolger: DNSSEC PERIODE  DNS (Domain Name System)  Kleinschalig ontworpen;  Eenvoudig;  Onveilig!

 DNSSEC (DNS Security extensions)    

© 2011 Identify

Extensie op DNS; Versleuteling; Complex; Veilig!

9

5

10-4-2011

ACTIES De veilige AFGELOPEN opvolger: DNSSEC PERIODE  De zonefile @

IN SOA ns1.testnet.org test.example.com ( 1234 3600 600 7200 900 ) IN NS ns1.testnet.org IN RRSIG NS zp82R3u9KLnhsSnd8hE7bmaPw892WqHS87e6W5G5x8KjdwL

ns1 www

IN A 1.1.1.1 IN A 2.2.2.2 IN RRSIG A

HS87e6W5G5x8KjdwLzp82R3u9KLnhsSnd8hE7bmaPw892Wq

testnet.org IN DNSKEY 256 3 7 ( dwLzp82R3u97e6W5G5u9+KLnhsSnd87e6W5E7bmaPw89292/WqE7bmax8K=jdwLzp82R3u9KLnhsSx 8KjdwLzp82R3u9KLnhsSx8KjdwLzp82R3u9KLnhs=Sx8KjdwLzp82R3u9KLnhsSW5G5u9KLnhsSx8K jd )

© 2011 Identify

10

ACTIES Tool: OpenDNSSEC AFGELOPEN PERIODE  Internationaal project (.NL .SE .UK en meer)  OpenSource Linux/BSD applicatie  Uitgebreide time management  Veel mogelijkheden in versleuteling

© 2011 Identify

11

6

10-4-2011

ACTIES AFGELOPEN PERIODE Agenda  DNS  De veilige opvolger: DNSSEC  Testen van OpenDNSSEC  Praktijk voorbeeld  Vragen

© 2011 Identify

12

ACTIES testanalyse Aanpak AFGELOPEN PERIODE  Protocol standaard -> Testen interpretatie van standaard  Complexe tijdsconfiguratie -> 2 traps analyse  Tijdsgebonden scenario’s -> Testautomatisering  Dynamische testresultaten -> Testautomatisering  Interfaces -> Ketentest

© 2011 Identify

13

7

10-4-2011

ACTIESvan Testen AFGELOPEN OpenDNSSEC PERIODE Extern

Gebruiker

Provider

Intern Testnet DNS server

Signing machine Gesigneerde zonefile

Testclusters • Policy • Zonefile • Resolving • Infrastructuur

HSM

Ongesigneerde zonefile Zonefile Database

Versleuteling

© 2011 Identify

14

ACTIES AFGELOPEN PERIODE Agenda  DNS  De veilige opvolger: DNSSEC  Testen van OpenDNSSEC  Praktijk voorbeeld  Vragen

© 2011 Identify

15

8

10-4-2011

ACTIESvoorbeeld Praktijk AFGELOPEN PERIODE  Analyse van key rollovers Real time passed Theoretical time passed

1 hour

5 hours 90 days

Resigns (Resign = 30 minutes)

1

2

3

4

5

6

7

10 hours 180 days

8

270 days

15 hours 450 days

360 days

9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32

ZSK rollovers Lifecycle ZSK1

Act

Ret

Lifecycle ZSK2

Pub

Dead

Act

Lifecycle ZSK3

Ret Pub

Dead

Act

Lifecycle ZSK4

Ret Pub

Dead

Act

Lifecycle ZSK5

Ret Pub

Dead

Act

Lifecycle ZSK6

Ret Pub

Act

16

© 2011 Identify

ACTIESvoorbeeld Praktijk AFGELOPEN PERIODE  Analyse van signature timings Signature Validity (RRSIG's) Analysis

This analysis repeats itself every ZSK rollover period

Real time passed Resigns

Validity NSEC3 Validity Refresh Jitter

60min 60min 5min 10min

0min 1

30min 2

60min 3

90min 4

100% new sigs ZSK Rollover

0% new sigs

75% new sigs

25% new sigs

Jitter Refresh RRSIG Validities RRSIG refresh

© 2011 Identify

17

9

10-4-2011

ACTIESvoorbeeld Praktijk AFGELOPEN PERIODE  Deel van een testcase LoadZone

Zone testnet.org.

Policy default

in /var/opendnssec/unsigned/testnet.org

out /var/opendnssec/signed/testnet.org

state DS publish

UpdateAll Comment

Start the ODS-Enforcer and ODS-Signer

Start Wait

10

CheckFilePresent

/var/opendnssec/signed/testnet.org

Comment

Signed zone file is present

CheckKeyTag

input /var/opendnssec/signed/testnet.org

zone testnet.org

keytype KSK

CountRRSets

input /var/opendnssec/signed/testnet.org

rrset NS

expected 1

CountRRSets

input /var/opendnssec/signed/testnet.org

rrset A

expected 1

CountRRSets

input /var/opendnssec/signed/testnet.org

rrset RRSIG

expected 7

© 2011 Identify

18

ACTIES AFGELOPEN PERIODE Samenvatting  Internet is onmisbaar en blijft groeien  DNS is lek  DNSSEC is complex, maar onontkoombaar  Kennis van DNSSEC is schaars  Testen is een technische aangelegenheid  Uitdaging voor de testanalist

© 2011 Identify

19

10

10-4-2011

ACTIES Tot slot AFGELOPEN PERIODE

Testen voor een veiliger internet

20

© 2011 Identify

Vragen - Wie is Identify Nederland BV? - Wat kunnen wij u bieden? - Samenvatting

© 2011 Identify

21

11

10-4-2011

© 2011 Identify

22

12