Vad är DNSSEC?
20
Vad är DNSSEC? Torbjörn Eklöv
description
Vad är DNSSEC?. Torbjörn Eklöv. Varför DNSSSEC?. DNS är som protokoll osäkert – du kan inte veta att svaret du får är korrekt DNSSEC gör att svaren valideras av tredjepart “ Du kan lita på DNS! ” .SE igång sedan 2007 Roten signerad sedan sommaren 2010 http://www.root-dnssec.org/. - PowerPoint PPT Presentation
Transcript of Vad är DNSSEC?
Vad är DNSSEC?
Torbjörn Eklöv
Varför DNSSSEC?
• DNS är som protokoll osäkert – du kan inte veta att svaret du får är korrekt
• DNSSEC gör att svaren valideras av tredjepart“Du kan lita på DNS!”
• .SE igång sedan 2007• Roten signerad sedan sommaren 2010
http://www.root-dnssec.org/
Några sanningar
• Viktigt att göra rätt!• DNS är mycket förlåtande men med
DNSSEC är det inte sant längre• Inte ”bara” att kopiera filer mellan
servrar längre• Viktigt att brandväggen hanterar
DNSSEC
Status DNSSEC
Status DNSSEC .se
https://www.iis.se/domaner/statistik/tillvaxt?chart=per-type
Kaminskybuggen
https://www.iis.se/domaner/teknik/dnssec/kaminskybuggen
Certifikatsproblemet
Certifikat
• Domain Verification – DV
• Owner Verification – OV
• Extended Verifikation - EV
DANE - DNS-based Authentication of Named Entities
TLSA• dig +dnssec tlsa _443._tcp.www.dnssecandipv6.se• dig +dnssec type52 _443._tcp.www.dnssecandipv6.se
Hjälpmedel - Firefox
• https://www.dnssecandipv6.se
DKIM
• Domainkeys Identified Mail• http://www.dkim.org/ • http://en.wikipedia.org/wiki/DomainKeys_Identified_Mail
• dig txt dkim2010._domainkey.interlan.se
Hur väljer jag registrar?
• IPv6 glue• DNSSEC med valfria DNS’er• Bra GUI eller API
Så funkar det!Validerande caching resolver
l.root-servers.net
a.ns.se
ns3.interlan.se
Vad har www.interlan.se för ip?
www.interlan.se +do
Fråga a.ns.se +ad
www.interlan.se +do
Fråga ns3.interlan.se +adVad har www.interlan.se för ip? +do
www.interlan.se har 192.71.21.41 +ad
www.interlan.se har 192.71.21.41
Så funkar det 2!
ValiderarHar rotens publika nyckel
l.root-servers.net
a.ns.se
ns3.interlan.se
Fråga a.ns.se +ad
Signerat av roten
Fråga ns3.interlan.se +adSignerat av .SE
www.interlan.se har 192.71.21.41 +ad
Signerat av interlan.se
Så funkar det 3!
ValiderarHar rotens publika nyckel
l.root-servers.net
a.ns.se
ns3.interlan.se
1. Ni publicerar er publika nyckel hos .SE2. .SE lägger sin publika nyckel hos roten3. Validerande resolvern har rotens
publika nyckel
Vanliga konfigurationsfel• Alla namnservrar kör inte DNSSEC• Vanligast att zonen inte omsigneras när den ska och
att det finns DS hos förälder men inte motsvarande KSK hos barn.
• Om något går snett, felsök och hittar ni inte felet ”slå av DNSSEC” hos eran registrarTTL på fyra timmar hos .SE
Vad skyddar DNSSEC mot?
• Förfalskade DNS svar• Kaminksybuggen• Cache poisoning• Mannen i mitten attacker
http://www.pir.org/get/faq/dnssec
Vad skyddar DNSSEC inte mot?
• Virus• DDOS – DOS• Phishing• Spam• Osv…
