přednáška ve formátu PDF

Komentáře

Transkript

přednáška ve formátu PDF
DNS v ohrožení
Útoky na DNS a nasazení DNSSEC
Ondřej Surý • [email protected] • 23.10.2013
Obsah
●
Stručná historie DNS
●
Bezpečnost DNS
●
DNSSEC
●
Nasazení DNSSEC
Počátky Internetu
●
Přátelské prostředí
●
HOSTS.TXT
●
FTP synchronizace
Nové adresy → email
[email protected] sri-nic.arpa
●
Jak vzniklo DNS?
●
●
●
1983 – Paul Mockapetris vymýšlí DNS
a implementuje první DNS server – Jeeves
1986 – RFC 1034 a 1035 – formalizace DNS
protokolu
1988 – DNS se začíná „masivně“ používat
Bellovin (1990/1995)
●
●
1990 – Steve Bellovin objevuje první zranitelnost v DNS
●
http://www.scs.stanford.edu/nyu/05sp/sched/readings/dns.pdf
●
Zveřejnění útoku odloženo až do roku 1995
Útok
●
●
●
●
Remote login pomocí rlogin/rsh
Autorizace pouze pomocí PTR (reverzního záznamu)!
Útočník si pro své IP adresy vytvoří „správný“ reverzní záznam
Obrana
●
●
Zeptat se i na dopředný záznam jestli souhlasí
Přechod na ssh
Kashpureff (1997)
●
Eugene Kashpureff (AlterNIC) v
roce 1997 zneužil bezpečnostní
chybu DNS
●
●
Útok
●
●
●
http://seclists.org/nanog/1997/Jul/258
BIND do verze 4.9.8 (a 8.1.1) do
cache uložil vše, co mu přišlo v sekci
ADDITIONAL
Byl obviněn, odsouzen a dostal
pětiletý podmínečný trest
Obrana
●
Akceptovat pouze záznamy patřící do
správní zóny
;; QUESTION SECTION:
;www.knot-dns.cz. INA
;; ANSWER SECTION:
www.knot-dns.cz. IN 217.31.205.55
A
;; AUTHORITY SECTION:
. 86400 IN NS blaznivy.kasuar.cz.
Kaminsky (2008)
●
●
Dan Kaminsky v roce 2008 objevuje novou ;; QUESTION SECTION:
zranitelnost DNS
;XYZXYZ.dnssec.cz. IN A
DNS dotaz a odpověď běží „po drátě“ jako
čistý text
;; AUTHORITY SECTION:
●
●
●
Útok
●
●
Spárování zajišťuje DNS-ID a UDP zdrojový
port
Většina implementací používala statický
zdrojový port
Chytrým trikem s náhodným jménem je možné
přepsat cache DNS serveru a přepsat její
obsah
Obrana
●
●
DNSSEC (od roku 2005)
Používat náhodné zdrojové porty (není
kompletní ochrana)
dnssec.cz. IN NS www.dnssec.cz.
;; ADDITIONAL SECTION:
www.dnssec.cz. IN A 203.0.113.1
Herzberg & Shulman (2013)
●
Útok
●
●
●
IP protokol povoluje fragmentaci velkých paketů kvůli omezení
fyzického média (ethernet)
Zdroje náhodnosti (UDP port, DNS-ID) zůstávají v prvním fragmentu
Zbývá uhodnout IP-ID (16-bit) a UDP checksum
–
–
●
Vhodně položený dotaz a zóna generují stejný kontrolní součet
Zbývá uhodnout IP-ID
Obrana
●
●
DNSSEC!
Omezit IP fragmentaci & snížit maximální velikost DNS odpovědi
Zapneme DNSSEC
●
Knot DNS 1.4.0+
●
Bind 9.7+
●
PowerDNS 3.0+
Nasazení DNSSEC (Knot DNS 1.4.x)
●
Vygenerujeme klíče (BIND 9 nástroje)
cd /etc/knot
mkdir keys
dnssec-keygen -K keys -3 -f KSK kasuar.cz.
dnssec-keygen -K keys -3 kasuar.cz
●
Zapneme automatický DNSSEC
zones {
dnssec-keydir "keys";
dnssec-enable on;
kasuar.cz { file "kasuar.cz"; }
}
●
Dáme vědět svému registrátorovi
Nasazení DNSSEC (Bind 9.7+)
●
Vygenerujeme klíče (BIND 9 nástroje)
cd /etc/bind
mkdir kasuar.cz
dnssec-keygen -K kasuar.cz -3 -f KSK kasuar.cz.
dnssec-keygen -K kasuar.cz -3 kasuar.cz
●
Zapneme automatický DNSSEC
zone "kasuar.cz" {
auto-dnssec allow;
type master;
file "kasuar.cz/kasuar.cz";
key-directory "kasuar.cz/";
};
●
Dáme vědět svému registrátorovi
Nasazení DNSSEC (PowerDNS 3.x)
●
Zapneme automatický DNSSEC
pdnssec secure-zone kasuar.cz
pdnssec rectify-zone kasuar.cz
●
Dáme vědět svému registrátorovi
OpenDNSSEC
●
Podporuje různé politiky správy klíčů
●
Dobrá podpora pro různé HSM
●
Složitější instalace a konfigurace
Děkuji za pozornost
Ondřej Surý • [email protected]

Podobné dokumenty

Slidy - InstallFest

Slidy - InstallFest umí inline podepisování, neumí sami generovat klíče ani key rollover (potřeba jednou za pár měsíců)

Více

Orientační test

Orientační test Orientační test Jméno: …................................................................................. Datum: …..................

Více

Prezentace aplikace PowerPoint

Prezentace aplikace PowerPoint fyzické propojení 4 uzlů (univerzity) rychlostí 50 Kbps, protokol NCP

Více

Dokumentace k API SSLmarketu

Dokumentace k API SSLmarketu Dokumentace k API SSLmarketu verze 1.3

Více

Služby sítě - horalek.org

Služby sítě - horalek.org tento protokol pracuje způsobem dotaz – odpověď klient pošle dotaz serveru a server na dotaz odpoví jistou komplikací je komprese jmen, která se provádí proto, aby byly DNS pakety co nejúspornější ...

Více

Správce počítačových sítí

Správce počítačových sítí 4. ročník POSP (34 h – sítě sw, služby) OS a aplikace pro správu sítí TCP/IP Konfigurace síťové stanice Provoz na sériových linkách Síťové FS Jmenné servery Služby počítačových sítí Elektronická po...

Více

Výsledky neděle en

Výsledky neděle en GBR - Great Britain

Více