Dnssec in UA - Talk at UAdom 2011

18
DNSSEC в домене .UA Дмитрий Кохманюк UAdom 2011

TAGS:

Transcript of Dnssec in UA - Talk at UAdom 2011

Page 1: Dnssec in UA - Talk at UAdom 2011

DNSSEC в домене .UA

Дмитрий КохманюкUAdom

2011

Page 2: Dnssec in UA - Talk at UAdom 2011

Как пройти к Верховной Раде

Page 3: Dnssec in UA - Talk at UAdom 2011

Угрозы на пути

Page 4: Dnssec in UA - Talk at UAdom 2011

Как работает DNSSEC

• Администратор rada.gov.ua подписывает адресную информацию цифровой подписью

• Подпись состоит из открытой и закрытой частей. Открытая часть публикуется

• Пользователь получает подпись вместе с ответом DNS-сервера и может проверить подпись с помощью открытого ключа

Page 5: Dnssec in UA - Talk at UAdom 2011

Как работает DNSSEC. Иерархия

Page 6: Dnssec in UA - Talk at UAdom 2011

Как работает DNSSEC. Корень

• Каждый вышестоящий узел удостоверяет подписи нижестоящих узлов

• Корневой узел уже подписан• Пользователь получает корневую подпись

по каналам, независимым от DNS:– Вместе с операционной системой– Вместе с интернет-броузером

Page 7: Dnssec in UA - Talk at UAdom 2011

Как работает DNSSEC. Противоречие

• Ключ должен быть сложным, чтобы его нельзя было бы взломать быстро

• Ключ должен быть коротким, чтобы его могла передать система DNS

• Короткие ключи надо менять часто, но часто переподписывать домены невозможно

• Выход: Суперключ (KSK)

Page 8: Dnssec in UA - Talk at UAdom 2011

Как работает DNSSEC. Суперключ

• У каждого домена есть сложный суперключ (KSK), который меняется один раз в год.

• С помощью этого суперключа администратор домена создают простые ключи

• Ключи слабые, но они часто меняются.

Page 9: Dnssec in UA - Talk at UAdom 2011

План

Page 10: Dnssec in UA - Talk at UAdom 2011

Тестирование в UA.UA

• Специальный домен• Ключ сгенерирован на "Мастерской IPv6» 8

ноября 2011• Зона подписана с помощью утилит bind 9.7

(DNSSEC for Humans)• Открытая часть ключа опубликована

http://hostmaster.ua/dnssec

http://hostmaster.ua/dnssec
Page 11: Dnssec in UA - Talk at UAdom 2011
Page 12: Dnssec in UA - Talk at UAdom 2011

Подготовка

• Переход инфраструктуры на bind 9.8+

• Отдельные сервера подписания и публикаций

• Возможно использование DLV

Page 13: Dnssec in UA - Talk at UAdom 2011

Тестирование подписания .UA

Page 14: Dnssec in UA - Talk at UAdom 2011

Выбор алгоритма

RSAMD5 DSA

RSASHA1 DSA-NSEC3-SHA1

RSASHA1-NSEC3-SHA1 DH

RSASHA256 ECC

RSASHA512 ECC-GOST

Page 15: Dnssec in UA - Talk at UAdom 2011

Потенциальные сложности

• GOST – нет полноценной поддержки

• Алгоритм, поддерживаемый в IANA RZM

• Безопасное хранение ключей

Page 16: Dnssec in UA - Talk at UAdom 2011

Запуск

• Генерация ключа – сегодня• Параметры RSASHA512, 2048/1024 bits • Тестирование в копии домена• Публикация контрольной суммы

публичного ключа в IANA и на наших собственных ресурсах

Page 17: Dnssec in UA - Talk at UAdom 2011

Сопровождение

• Ротация ключей: суперключ (KSK) – 3 года, ZSK – 3 месяца

• Украинский алгоритм эллиптических кривых (необходим RFC)

Page 18: Dnssec in UA - Talk at UAdom 2011

Вопросы? www.hostmaster.ua Whois.ua [email protected]

http://www.hostmaster.ua/
mailto:[email protected]

DNSSEC & KSK Rollover - mednsf.org · | 2 What is DNSSEC? ¤ DNSSEC = “DNS Security Extensions” ¤ DNSSEC is a protocol that is currently being deployed to secure the Domain Name

DNSSEC & KSK Rollover - mednsf.org · | 2 What is DNSSEC? ¤ DNSSEC = “DNS Security Extensions” ¤ DNSSEC is a protocol that is currently being deployed to secure the Domain Name

Deploying DNSSEC

Deploying DNSSEC

DNSSEC Workshop - ICANN GNSO...4. DNSSEC Lessons Learned: Roland van Rijswijk, SURFnet 5. DNSSEC Tool Development: • Open Source Tools, Russ Mundy, Co‐Chair, DNSSEC Deployment

DNSSEC Workshop - ICANN GNSO...4. DNSSEC Lessons Learned: Roland van Rijswijk, SURFnet 5. DNSSEC Tool Development: • Open Source Tools, Russ Mundy, Co‐Chair, DNSSEC Deployment

DNSSEC MANAGEMENT - efficientip.com€¦ · DNSSEC Principles An important point to underline is that DNSSEC (DNS Security Extensions) does not modify DNS protocol. DNSSEC is an extension

DNSSEC MANAGEMENT - efficientip.com€¦ · DNSSEC Principles An important point to underline is that DNSSEC (DNS Security Extensions) does not modify DNS protocol. DNSSEC is an extension

DNSSEC:’’Where’We’Are’(and’how’ …...Resolver’only’caches’validated’records’ =? DNS Resolver with DNSSEC = 1.2.3.4 DNS Server with DNSSEC 1.2.3.4 Get page

DNSSEC:’’Where’We’Are’(and’how’ …...Resolver’only’caches’validated’records’ =? DNS Resolver with DNSSEC = 1.2.3.4 DNS Server with DNSSEC 1.2.3.4 Get page

DNSSEC Deployment Activity in Japan - Introduction of ... › wp-content › uploads › 2012 › 01 › ... · •What is DNSSEC •Introduction of DNSSEC Japan •DNSSEC Japan's

DNSSEC Deployment Activity in Japan - Introduction of ... › wp-content › uploads › 2012 › 01 › ... · •What is DNSSEC •Introduction of DNSSEC Japan •DNSSEC Japan's

Measuring DNSSEC

Measuring DNSSEC

DNSSEC - inst.eecs.berkeley.eduinst.eecs.berkeley.edu/~cs161/sp16/slides/4.11.DNSSEC.pdf · DNSSEC • Last lecture, you invented DNSSEC. Well, the basic ideas, anyway: – Sign all

DNSSEC - inst.eecs.berkeley.eduinst.eecs.berkeley.edu/~cs161/sp16/slides/4.11.DNSSEC.pdf · DNSSEC • Last lecture, you invented DNSSEC. Well, the basic ideas, anyway: – Sign all

DNSSEC Deployment - Internet Society · DNSSEC evangelist of the day ¥NLnet Labs ÐNot for profit Open Source Software lab ¥Developed NSD ÐDNS and DNSSEC research ... DNSSEC deployment

DNSSEC Deployment - Internet Society · DNSSEC evangelist of the day ¥NLnet Labs ÐNot for profit Open Source Software lab ¥Developed NSD ÐDNS and DNSSEC research ... DNSSEC deployment

OPPORTUNISTIC IPSEC USING DNSSEC - schd.wsschd.ws/hosted_files/icann58copenhagen2017/1c/Paul Wouters... · 5 Opportunistic IPsec using DNSSEC OPPORTUNISTIC IPSEC USING DNSSEC •

OPPORTUNISTIC IPSEC USING DNSSEC - schd.wsschd.ws/hosted_files/icann58copenhagen2017/1c/Paul Wouters... · 5 Opportunistic IPsec using DNSSEC OPPORTUNISTIC IPSEC USING DNSSEC •

DNSSEC - uniba.sknew.dcs.fmph.uniba.sk/files/biti/l03-dnssec-2016.pdf · I DNSSEC Root Zone High Level Technical Architecture (Dra˝) I DNSSEC Practice Statement for the Root Zone

DNSSEC - uniba.sknew.dcs.fmph.uniba.sk/files/biti/l03-dnssec-2016.pdf · I DNSSEC Root Zone High Level Technical Architecture (Dra˝) I DNSSEC Practice Statement for the Root Zone

UA Perspectives: Talk at UAdom 2012

UA Perspectives: Talk at UAdom 2012

01 Dnssec Steve

01 Dnssec Steve

DNS Risks, DNSSEC

DNS Risks, DNSSEC

DNSSEC 101

DNSSEC 101

DNSSEC in Practice: Using DNSSEC- Tools to Deploy DNSSEC · DNSSEC in Practice: Using DNSSEC-Tools to Deploy DNSSEC Wes Hardaker. Russ Mundy. Suresh Krishnaswamy {hardaker,mundy,suresh}@sparta.com.

DNSSEC in Practice: Using DNSSEC- Tools to Deploy DNSSEC · DNSSEC in Practice: Using DNSSEC-Tools to Deploy DNSSEC Wes Hardaker. Russ Mundy. Suresh Krishnaswamy {hardaker,mundy,suresh}@sparta.com.

DNSSEC policy

DNSSEC policy

DNSSEC FIRST

DNSSEC FIRST

DNSSEC Industry Survey Results - PCN, Inc.23.235.200.57/~pcninc5/wp-content/.../DNSSEC-Industry-Survey-Resu… · DNSSEC. DNS administrators can provide secure responses to DNSSEC-validating

DNSSEC Industry Survey Results - PCN, Inc.23.235.200.57/~pcninc5/wp-content/.../DNSSEC-Industry-Survey-Resu… · DNSSEC. DNS administrators can provide secure responses to DNSSEC-validating

DNSSEC Implementation Considerations and Risk Analysisdnssec-deployment.icann.org/training/AMM/amm-dnssec-design.pdf · DNSSEC Implementation Considerations and Risk Analysis TAGI

DNSSEC Implementation Considerations and Risk Analysisdnssec-deployment.icann.org/training/AMM/amm-dnssec-design.pdf · DNSSEC Implementation Considerations and Risk Analysis TAGI