přednáška ve formátu PDF

DNS v ohrožení
Útoky na DNS a nasazení DNSSEC
Ondřej Surý • [email protected] • 23.10.2013
Obsah
●
Stručná historie DNS
●
Bezpečnost DNS
●
DNSSEC
●
Nasazení DNSSEC
Počátky Internetu
●
Přátelské prostředí
●
HOSTS.TXT
●
FTP synchronizace
Nové adresy → email
hostmaster@ sri-nic.arpa
●
Jak vzniklo DNS?
●
●
●
1983 – Paul Mockapetris vymýšlí DNS
a implementuje první DNS server – Jeeves
1986 – RFC 1034 a 1035 – formalizace DNS
protokolu
1988 – DNS se začíná „masivně“ používat
Bellovin (1990/1995)
●
●
1990 – Steve Bellovin objevuje první zranitelnost v DNS
●
http://www.scs.stanford.edu/nyu/05sp/sched/readings/dns.pdf
●
Zveřejnění útoku odloženo až do roku 1995
Útok
●
●
●
●
Remote login pomocí rlogin/rsh
Autorizace pouze pomocí PTR (reverzního záznamu)!
Útočník si pro své IP adresy vytvoří „správný“ reverzní záznam
Obrana
●
●
Zeptat se i na dopředný záznam jestli souhlasí
Přechod na ssh
Kashpureff (1997)
●
Eugene Kashpureff (AlterNIC) v
roce 1997 zneužil bezpečnostní
chybu DNS
●
●
Útok
●
●
●
http://seclists.org/nanog/1997/Jul/258
BIND do verze 4.9.8 (a 8.1.1) do
cache uložil vše, co mu přišlo v sekci
ADDITIONAL
Byl obviněn, odsouzen a dostal
pětiletý podmínečný trest
Obrana
●
Akceptovat pouze záznamy patřící do
správní zóny
;; QUESTION SECTION:
;www.knot-dns.cz. INA
;; ANSWER SECTION:
www.knot-dns.cz. IN 217.31.205.55
A
;; AUTHORITY SECTION:
. 86400 IN NS blaznivy.kasuar.cz.
Kaminsky (2008)
●
●
Dan Kaminsky v roce 2008 objevuje novou ;; QUESTION SECTION:
zranitelnost DNS
;XYZXYZ.dnssec.cz. IN A
DNS dotaz a odpověď běží „po drátě“ jako
čistý text
;; AUTHORITY SECTION:
●
●
●
Útok
●
●
Spárování zajišťuje DNS-ID a UDP zdrojový
port
Většina implementací používala statický
zdrojový port
Chytrým trikem s náhodným jménem je možné
přepsat cache DNS serveru a přepsat její
obsah
Obrana
●
●
DNSSEC (od roku 2005)
Používat náhodné zdrojové porty (není
kompletní ochrana)
dnssec.cz. IN NS www.dnssec.cz.
;; ADDITIONAL SECTION:
www.dnssec.cz. IN A 203.0.113.1
Herzberg & Shulman (2013)
●
Útok
●
●
●
IP protokol povoluje fragmentaci velkých paketů kvůli omezení
fyzického média (ethernet)
Zdroje náhodnosti (UDP port, DNS-ID) zůstávají v prvním fragmentu
Zbývá uhodnout IP-ID (16-bit) a UDP checksum
–
–
●
Vhodně položený dotaz a zóna generují stejný kontrolní součet
Zbývá uhodnout IP-ID
Obrana
●
●
DNSSEC!
Omezit IP fragmentaci & snížit maximální velikost DNS odpovědi
Zapneme DNSSEC
●
Knot DNS 1.4.0+
●
Bind 9.7+
●
PowerDNS 3.0+
Nasazení DNSSEC (Knot DNS 1.4.x)
●
Vygenerujeme klíče (BIND 9 nástroje)
cd /etc/knot
mkdir keys
dnssec-keygen -K keys -3 -f KSK kasuar.cz.
dnssec-keygen -K keys -3 kasuar.cz
●
Zapneme automatický DNSSEC
zones {
dnssec-keydir "keys";
dnssec-enable on;
kasuar.cz { file "kasuar.cz"; }
}
●
Dáme vědět svému registrátorovi
Nasazení DNSSEC (Bind 9.7+)
●
Vygenerujeme klíče (BIND 9 nástroje)
cd /etc/bind
mkdir kasuar.cz
dnssec-keygen -K kasuar.cz -3 -f KSK kasuar.cz.
dnssec-keygen -K kasuar.cz -3 kasuar.cz
●
Zapneme automatický DNSSEC
zone "kasuar.cz" {
auto-dnssec allow;
type master;
file "kasuar.cz/kasuar.cz";
key-directory "kasuar.cz/";
};
●
Dáme vědět svému registrátorovi
Nasazení DNSSEC (PowerDNS 3.x)
●
Zapneme automatický DNSSEC
pdnssec secure-zone kasuar.cz
pdnssec rectify-zone kasuar.cz
●
Dáme vědět svému registrátorovi
OpenDNSSEC
●
Podporuje různé politiky správy klíčů
●
Dobrá podpora pro různé HSM
●
Složitější instalace a konfigurace
Děkuji za pozornost
Ondřej Surý • [email protected]