DNSSEC DKIM / SPF / DMARC Open Internet Standaarden bij Gemeente Heerlen J. Dautzenberg (Architect ICT-Infrastructuur) M. Groeneweg (Measuremail)
Gemeente Heerlen Scope ICT-Beheer / Netwerkbeheer DNSSEC Aanleiding / uitgangspunten / implementatie DKIM / SPF / DMARC Aanleiding / implementatie
Scope - Netwerkbeheer (NOC) - Regionaal intergemeentelijke netwerk Zuid-Limburg - Gebaseerd op darkfiber Core Gemeente Heerlen (2 datacenters) Noord-ring Parkstad-Limburg Gemeente Brunssum Gemeente Onderbanken Gemeente Landgraaf Zuid-ring Parkstad-Limburg Gemeente Kerkrade Gemeente Simpelveld Gemeente Voerendaal Gemeente Nuth West-ring Gemeente Schinnen Gemeente Stein Gemeente Beek Gemeente Valkenburg
Scope Heuvelland-ring Gemeente Vaals Gemeente Gulpen-Wittem Gemeente Eijsden-Margraten Enkelvoudig aangesloten Gemeente Meerssen Niet aangesloten Gemeente Maastricht Gemeente Sittard-Geleen Regionale Brandweer Zuid-Limburg 26 locaties
Netwerk-Diensten Beheer +/- 300 netwerkcomponenten GemNet via redundante Gemeenschappelijke Aansluiting PIN over IP (redundant) Internet
Internet-diensten Status gemeente Heerlen m.b.t. Internet LIR (Local Internet Registry) Eigen Internet-infrastructuur : AS38915 IPv4 : 193.203.220.0/23 178.21.216.0/21 IPv6 : 2a00:1de0::/32 BGP-routers Internet-Exchanges : NL-IX (datacenter Cofely Maastricht-Airport / 1Gb/s link) AMS-IX (dacenter NikHef Amsterdam / 1Gb/s link) IP-Transit providers : JointTransit Level3
Internet-diensten DNS Deelnemer SIDN Eigen Authoritative nameservers Hidden master (achter firewall) Ns1.as38915.nl (AS38915, gemeente Heerlen) Ns2.as38915.net (AS57124, gemeente Maastricht) Ns3.as38915.eu (AS12859, BIT te Ede) Caching nameservers Cns1.ictparkstad.nl (zonder DNSSEC validatie) Cns2.ictparkstad.nl (zonder DNSSEC validatie) Cns1.as38915.nl (DNSSEC validatie) Cns2.as38915.nl (DNSSEC validatie) Alle nameservers dual-stack (IPv4 + IPv6)
Internet-diensten SMTP (E-mail) Inkomende mail Mx01.as38915.nl (AS38915, gemeente Heerlen) Mx02.as38915.net (AS57124, gemeente Maastricht) Mx03.as38915.eu (AS12859, BIT te Ede) Mx1.ictparkstad.nl Mx2.ictparkstad.nl (AS38915, gemeente Heerlen) (AS38915, gemeente Heerlen) Uitgaande mail Mx1.ictparkstad.nl Mx2.ictparkstad.nl (AS38915, gemeente Heerlen) (AS38915, gemeente Heerlen)
DNSSEC - Uitgangspunten Open Source software Ubuntu Linux BIND9 Webmin als beheerinterface Gratis! Niet geheel gratis : Tijd Servercapaciteit
DNSSEC - Info Waar te beginnen? Informatiebronnen Internet via zoekmachine Enorme hoeveelheid informatie over Diverse BIND versies www.dnssec.nl Uitstekende uitleg wat is DNSSEC Hands-on documentatie
DNSSEC Validatie Eenvoudig te configureren Actief sinds 18 december 2012 Houd rekening met uitzonderingen Niet-DNSSEC-validerende caching nameservers operationeel houden Per domainname-forwarding vanuit interne caching nameservers
DNSSEC Resolving : Validating Interne cachingnameserver Firewall Non-Validating
DNSSEC Signing Hidden master (achter firewall) Aanmaken keys (KSK, ZSK) Signing zonefile Plaatsen publieke KSK bij TLD (b.v. SIDN) Zone-transfers naar Authoritative nameservers Re-signing alle zonefiles elke 3 weken
DNSSEC Signing : Ns1.as38915.nl Hidden master (Signing) BIND9.9.5 Firewall Zone-transfer Ns2.as38915.net Ns3.as38915.eu
DNSSEC Key-Roll-over Nog niet operationeel Gratis (OpenSource) tools nog niet stabiel genoeg Links http://dnssectest.sidnlabs.nl/test.php http://dnscheck.iis.se http://dnsviz.net/d/heerlen.nl/dnssec/
DNSSEC Stand van zaken DNSSEC signed zones.nl (publieke KSK bij SIDN).net (publieke KSK via domainname dienstverlener).org (publieke KSK via domainname dienstverlener).de (publieke KSK via domainname dienstverlener) Reverse zones (DSSET record plaatsen in RIPE-database) Genoegen met een 7 i.p.v. Een 10 Is meer dan niets doen! Todo 2015 Key-rollover implementatie Tijdsdruk implementatie? Er wordt nog te weinig DNSSEC gevalideerd door grote ISP s
E-mail Authenticatie DMARC (Domain-based Message Authentication, Reporting and Conformance DKIM (DomainKeys Identified Mail) SPF (Sender Policy Framework)
E-mail Authenticatie Vraag 1 : Wie mag namens domeinnaam @heerlen.nl e-mail versturen? Medewerkers gemeente Heerlen Vraag 2 : Wie kan namens domeinnaam @heerlen.nl e-mail versturen? IEDEREEN!
E-mail Authenticatie Rekenkamer onderzoek Den Haag Gepubliceerd 2 juli 2014 Rekenkameronderzoek toont kwetsbaarheden in digitale veiligheid gemeente Den Haag.
Phishing demo Dordrecht Arno Brok Burgemeester van Dordrecht Secretaris VNG bestuur E-mail: AAM.Brok@dordrecht.nl Wat gaan we doen? Een e-mail sturen namens Arno Brok Naar Hotmail adres in de zaal Phishing formulier
Phishing demo Dordrecht Resultaat Mail komt aan en ziet er betrouwbaar uit Geen enkele melding naar Dordrecht
Phishing demo Heerlen Paul Depla Burgemeester van Heerlen E-mail: p.depla@heerlen.nl Wat gaan we doen? Een e-mail sturen namens Paul Depla Naar Hotmail adres in de zaal Phishing formulier
Phishing demo Heerlen Resultaat Mail komt compleet niet aan Niet in de inbox Niet in de junk e-mail box Vrijwel realtime ontvangt Heerlen een kopie van de verstuurde phishing mail (forensic report) Dagelijks een samenvatting van alle verstuurde e-mails namens @heerlen.nl (aggregated report)
Phishing demo Heerlen
Phishing demo Heerlen
E-mail authenticatie Risico s : Imago schade Fraude (misleiding) Deliverability Etc. Maatregelen middels SPF, DKIM, DMARC
E-mail authenticatie
DMARC Policy none Inventarisatie verzendende mailservers voor @heerlen.nl Minimaal 6 weken gegevens verzamelen (XML-files) Analyse van XML-files met als doel de legitieme mailservers voor @heerlen.nl vast te stellen Eventueel bijwerken SPF-record Policy quarantaine Overgeslagen Policy reject Voorzichtig beginnen met b.v. Pct=10 Langzaam pct opvoeren totdat 100% (pct=100) is bereikt. Nauwgezet monitoren (forensics)
DMARC @heerlen.nl Vooraf was 50% van het SPF-record al compleet Na inventarisatie-periode zijn nog enkele IP-adressen toegevoegd E-mail-diensten via derden (b.v. nieuwsbrieven) Na policy p=reject nog tegen 1 false positive aangelopen Hierna geen enkele melding van false-positives Overige domeinnamen (buurgemeenten) Met elke gemeente hetzelfde proces doorlopen en nauwgezet monitoren.
DMARC Conclusie Niet alle e-mailverzendende hosts waren bij ICT-Beheer bekend Idem bij informatiebeveiligings medewerker Huidige status https://www.phishingscorecard.com
DMARC
DMARC
DMARC DNS toevoeging txt record v=dmarc1;p=none;rua=mailto:aggrep@measuremail.com