1 / 20

Vad är DNSSEC?

Vad är DNSSEC?. Torbjörn Eklöv. Varför DNSSSEC?. DNS är som protokoll osäkert – du kan inte veta att svaret du får är korrekt DNSSEC gör att svaren valideras av tredjepart “ Du kan lita på DNS! ” .SE igång sedan 2007 Roten signerad sedan sommaren 2010 http://www.root-dnssec.org/.

esme
Download Presentation

Vad är DNSSEC?

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Vad är DNSSEC? Torbjörn Eklöv

  2. Varför DNSSSEC? • DNS är som protokoll osäkert – du kan inte veta att svaret du får är korrekt • DNSSEC gör att svaren valideras av tredjepart“Du kan lita på DNS!” • .SE igång sedan 2007 • Roten signerad sedan sommaren 2010http://www.root-dnssec.org/

  3. Några sanningar • Viktigt att göra rätt! • DNS är mycket förlåtande men med DNSSEC är det inte sant längre • Inte ”bara” att kopiera filer mellan servrar längre • Viktigt att brandväggen hanterar DNSSEC

  4. Status DNSSEC

  5. Status DNSSEC .se https://www.iis.se/domaner/statistik/tillvaxt?chart=per-type

  6. Kaminskybuggen https://www.iis.se/domaner/teknik/dnssec/kaminskybuggen

  7. Certifikatsproblemet

  8. Certifikat • Domain Verification – DV • Owner Verification – OV • Extended Verifikation - EV

  9. DANE - DNS-based Authentication of Named Entities

  10. TLSA • dig +dnssec tlsa _443._tcp.www.dnssecandipv6.se • dig +dnssec type52 _443._tcp.www.dnssecandipv6.se

  11. Hjälpmedel - Firefox • https://www.dnssecandipv6.se

  12. DKIM • Domainkeys Identified Mail • http://www.dkim.org/ • http://en.wikipedia.org/wiki/DomainKeys_Identified_Mail • dig txt dkim2010._domainkey.interlan.se

  13. Hur väljer jag registrar? • IPv6 glue • DNSSEC med valfria DNS’er • Bra GUI eller API

  14. Så funkar det! www.interlan.se +do Vad har www.interlan.se för ip? Validerande caching resolver Fråga a.ns.se +ad l.root-servers.net www.interlan.se +do www.interlan.se har 192.71.21.41 Fråga ns3.interlan.se +ad Vad har www.interlan.se för ip? +do www.interlan.se har 192.71.21.41 +ad a.ns.se ns3.interlan.se

  15. Så funkar det 2! Validerar Har rotens publika nyckel l.root-servers.net Fråga a.ns.se +ad Signerat av roten a.ns.se Fråga ns3.interlan.se +ad Signerat av .SE www.interlan.se har 192.71.21.41 +ad Signerat av interlan.se ns3.interlan.se

  16. Så funkar det 3! Validerar Har rotens publika nyckel l.root-servers.net a.ns.se • Ni publicerar er publika nyckel hos .SE • .SE lägger sin publika nyckel hos roten • Validerande resolvern har rotens publika nyckel ns3.interlan.se

  17. Vanliga konfigurationsfel • Alla namnservrar kör inte DNSSEC • Vanligast att zonen inte omsigneras när den ska och att det finns DS hos förälder men inte motsvarande KSK hos barn. • Om något går snett, felsök och hittar ni inte felet ”slå av DNSSEC” hos eran registrarTTL på fyra timmar hos .SE

  18. Vad skyddar DNSSEC mot? • Förfalskade DNS svar • Kaminksybuggen • Cache poisoning • Mannen i mitten attacker http://www.pir.org/get/faq/dnssec

  19. Vad skyddar DNSSEC inte mot? • Virus • DDOS – DOS • Phishing • Spam • Osv…

More Related