Zdjęcie Saint Pierre i Miquelon

Domeny Internetowe
Zbigniew Jasioski
DNS
• Domain Name System
• Rozproszona baza danych
– Informacje o komputerach w sieci znajdują się na wielu serwerach DNS rozproszonych po
całym świecie (.pl to: 6 serwerów unicast, 2 serwery anycast )
• Główne zastosowanie: mapowanie nazw domenowych
na adresy IP hostów
• Doskonałe środowisko do przechowywania innych
informacji, np. danych teleadresowych – ENUM
• Duża niezawodnośd
– Osiągnięta dzięki nadmiarowości serwerów DNS (minimalnie dwa)
• Doskonała skalowalnośd
Mapa serwerów
http://www.dns.pl/map.html
Struktura DNS
root
””
C:\
ccTLD
Moje
dokumenty
poziom I
pl
de
com
org
arpa
gTLD
Zdjęcia
priv
poziom II
etykieta
max 127
węzeł
kowalscy.jpg
poziom III
kowalscy
zdjecia
C:\Moje dokumenty\Zdjęcia\kowalscy.jpg
zdjecia.kowalscy.priv.pl
Domena jest poddrzewem przestrzeni nazw domen
max 63
0-9,a-z,-
Domeny IDN (Internationalized
Domain Name)
www.różyczka.pl
www.xn--ryczka-bxa01i.pl
„xn--” ASCII Compatible Encoding prefix
Internet
DNS
• DNS ma już prawie 25 lat; wymyślony w 1986r
• DNS (RFC 1034, RFC 1035) nie jest doskonały
– Pierwsza luka odkryta w 1990r
• Wiele aplikacji zależy od DNS’u
• Zagrożenia w DNS są dobrze znane
– RFC 3833
• W sieci istnieją gotowe narzędzia do pobrania,
umożliwiające przeprowadzenie różnych
ataków na infrastrukturę DNS
Przechowywanie i utrzymywanie
danych
Przegląd zagrożeo związanych z DNS
modyfikacja
pliku strefy
nieautoryzowana
dynamcizne
aktualizacja
dynamiczne
aktualizacje
Zabezpieczenie serwera
TSIG lub SIG0
podszywanie się
pod serwer
podstawowy
modyfikacja
pliku strefy
zmodyfikowany
plik strefy
plik
strefy
serwer
podstawowy
serwery
zapasowe
Ochrona przesyłanych
danych - DNSSEC
Rozwiązywanie nazw
cache poisoning
spoofing
„Caching”
serwer
cache poisoning
spoofing
cache impersonation
spoofing
resolver
Przegląd zagrożen związanych z DNS
DNSSEC Experiences of .SE
Anne-Marie Eklund Löwinder
Przepływ danych
• Odpowiedzi przychodzą na ten sam port UDP z
którego zostały wysłane
• Sekcja ‘question’ duplikowana w odpowiedzi
zgadza się z tą z zapytania
• Query ID odpowiedzi zgadza się z QID
zapytania
• Sekcje ‘authority’ i ‘additional’ zawierają
nazwy domenowe znajdujące się w domenie z
zapytania
Przepływ danych
• Problem:
– QID = 16bit
• Obejście problemu:
– Randomizacja portów
Przegląd zagrożeo związanych z DNS
• Cache poisoning
autorytatywny
nameserver
QID=1001, IP dla www.jakisbank.pl =10.0.0.1
???
atakujący
QID=1000,
QID=1001,
IP dla
IP www.jakisbank.pl =10.1.1.1
???
podatny
nameserver
CACHE: IP www.jakisbank.pl =10.1.1.1
Przegląd zagrożeo związanych z DNS
• Kaminsky bug
autorytatywny
nameserver
QID=1001 IP dla www123456.jakisbank.pl ???
QID=1001,
Qu: www1234567.jakisbank.pl A?
An: empty
Au: jakisbank.pl NS ns1.jakisbank.pl
Ad: ns1.jakisbank.pl A 10.0.0.1
atakujący
IP dla www1234567.jakisbank.pl ???
QID=1001
QID=1000
Qu: www1234567.jakisbank.pl A?
An: empty
Au: jakisbank.pl NS ns1.jakisbank.pl
Ad: ns1.jakisbank.pl A 10.1.1.1
podatny
nameserver
CACHE:
jakisbank.pl NS ns1.jakisbank.pl
ns1.jakisbank.pl A 10.1.1.1
Co nam daje DNSSEC
• Zapewnia integralnośd odpowiedzi DNS
• Daje możliwośd weryfikacji odpowiedzi
negatywnych
• Nie szyfruje danych w pakietach DNS
Jak działa DNSSEC
• DNSSEC opiera się na kryptografii kluczy
asymetrycznych
• Zabezpieczona strefa posiada swój klucz prywatny
i klucz publiczny
• Klucz prywatny wykorzystywany jest do
podpisywania danych przechowywanych w DNS
• Klucz publiczny jest używany do weryfikacji
podpisanych danych i jest publikowany w
zabezpieczonej strefie
Nowe rekordy DNS
• DNSKEY – rekord zawiera klucz publiczny do
weryfikacji podpisów (rekordów RRSIG)
• RRSIG – podpis grupy rekordów
• NSEC/NSEC3 – umożliwia weryfikację
informacji o nieistnieniu rekordu lub o braku
zabezpieczeo
• DS – wskazuje na klucz podpisujący dane w
strefie podrzędnej
Łaocuch zaufania
• Ufamy danym podpisanym przez ZSK
• Możemy zaufad ZSK jeśli jest podpisany przez KSK
• Ufamy KSK, jeśli jest wskazany przez rekord DS. w
strefie nadrzędnej
• Ufamy rekordowi DS ze strefy nadrzędnej jeśli jest
podpisany przez klucz ZSK z tej strefy, itd.
• Jeśli trafimy na klucz SEP (Secure Entry Point),
któremu ufamy (jest zapisany w pliku
konfiguracyjnym) to oznacza, że zbudowaliśmy
łaocuch zaufania i dane są zweryfikowane
poprawnie.
Łaocuch zaufania
. (root)
KSK
ZSK
.pl
DS
KSK
ZSK
com.pl
DS
KSK
ZSK
DS
Łaocuch zaufania
„.”
DS
DS
pl
com
firma
DS
RRset
ZSK
ZSK
ZSK
ZSK
KSK
KSK
KSK
KSK
ZSK - Zone Signig Key
KSK - Key Signing Key
kierunek podpisywania rekordów DNS
wskazania rekordów DS na klucz w strefie podrzędnej
kierunek weryfikacji
DNSSEC – problemy techniczne
•
•
•
•
Zwiększony rozmiar odpowiedzi
Większy plik strefy
Weryfikowanie podpisów (obciążenie resolverów)
Przechowywanie materiału kryptograficznego w
bezpieczny sposób
• Oprogramowanie wspierające DNSSEC’a
• Narzędzia do zarządzania kluczami
• Monitorowanie podpisanej strefy
DNSSEC – problemy administracyjne
• Role (oficer bezpieczeostwa, operator)
• Transfer domeny (między Registrarami
wspierającymi DNSSEC’a)
• Transfer domeny (zabezpieczonej DNSSEC’iem
do Registrara, który nie wspiera)
• Ujednolicony model między Registrarami
• Implementacja DNSSEC’a u ISP
• Specjalistyczna wiedza wymagająca szkoleo
Wdrożenie na świecie
DNSSEC IN EUROPE – Wim Degezelle, CENTR, 21st CENTR Admisnitrative workshop
Wdrożenie na świecie
• W chwili obecnej 28 rekordów DS znajduje się w
strefie root: .be (Belgium), .bg (Bulgaria), .biz, .br
(Brazil), .cat (Catalan community), .ch
(Switzerland), .cz (Czech Republic), .dk
(Denmark), .edu, .eu (European Union), .fr
(France), .info, .li (Liechtenstein), .lk (Sri Lanka),
.museum, .na (Namibia), .nu (Niue), .org, .pm
(Saint Pierre and Miquelon), .pr (Puerto Rico), .re
(Reunion), .se (Sweden), .tf (French Southern
Territories), .th (Thailand), .tm (Turkmenistan),
.uk (United Kingdom), .us (United States)
Wdrożenie na świecie
http://secspider.cs.ucla.edu/
SecSpider the DNSSEC Monitoring Project
Narzędzia
• DNSViz (http://dnsviz.net/)
Sandia National Laboratories
Narzędzia
• ZoneCheck (http://www.zonecheck.fr/), wersja
command line oraz CGI/WEB, licencja GPL
przygotowana przez Rejestr .fr
• DNSCheck (http://dnscheck.iis.se/), wersja
comman line orac CGI/WEB, licencja GPL
przygotowana przez Rejestr .se
• DNSSEC Validator (http://www.dnssecvalidator.cz/), plugin do FireFox’a przygotowana
przez Rejestr .cz
Polska na na tle EU
1
2
3
4
5
6
7
8
9
10
.de
.uk
.nl
.it
.pl
.fr
.es
.dk
.be
.se
14 001 252
8 966 685
4 103 345
2 050 327
1 975 717
1 883 216
1 257 239
1 101 074
1 091 862
1 060 405
Jak zarejestrowad nazwę domeny?
• Krajowy Rejestr Domen (Registry)
– .pl rejestracja 9,90 pln, przedłużenie 40 pln
• Od Rejestratora (Registrar)
– .pl rejestracja od 1 pln
Warunki przystąpienia do programu
partnerskiego
• Wpłata zaliczki na konto pre-paid (10000 pln)
• Posiadanie technicznych warunków
umożliwiających bezpieczne przechowywanie
informacji o abonentach nazw domen
internetowych
• Niewystępowanie nieuregulowanych
należności, co najmniej na miesiąc przed
podpisaniem porozumienia
[email protected]
Spory
• Sąd Polubowny ds. Domen Internetowych przy
Polskiej Izbie Informatyki i Telekomunikacji
• Sąd Arbitrażowy przy Krajowej Izbie
Gospodarczej w Warszawie
• The World Intellectual Property Organization
Arbitration and Mediation Center
http://www.dns.pl/spory.html
Spory
•
•
•
•
2010 – 101 wniosków
2009 – 169 wniosków
2008 – 93 wnioski
2007 – 128 wniosków
Ciekawostki
• Pierwsza zarejestrowana domena na świecie:
symbolics.com
• Najdłuższa polska domena:
31415926535897932384626433832795028841
9716939937510582097494459.pl
• Milionowa zarejestrowana domena w .pl
galeria.radom.pl
Pytania?
[email protected]