DNSSEC is vandaag! Marc Davids Technisch adviseur 22 maart 2013 KING Leveranciersbijeenkmst Utrecht 1
SIDN? Wat is DNS(SEC)? Huidige status? Wrap up 2
SIDN 3
SIDN Stichting Internet Dmeinregistratie Nederland Registry vr.nl 4
.nl in cijfers Tp 10 cctld s 1.DE (Duitsland) 15,2 m 2.TK (Tkalau) 10,8 m 3.UK (Ver. Kninkrijk) 10,2 m 4.NL (Nederland) 5 m 5. CN (Vlksrep. China) 4,1 m 6.RU (Rusland) 4 m 7.EU (Eurpese Unie) 3,67 m 8. BR (Brazilië) 3 m 9. AR (Argentinië) 2,7 m 10.AU (Australië) 2,5 m (brn: CENTR, sept 2012) (brn: SIDN) 5
.nl vandaag Hge dmeinnaam-dichtheid 1 e TLD in termen van DNSSEC 6
DNS(SEC) 7
9 1 DNS queries Geef me (het adres van) www.example.nl www.example.nl kun je hier vinden: 198.51.100.80 Bezek site lkale reslver 8 www.example.nl = 198.51.100.80 2 4 6 Geef me www.example.nl Vraag de nameserver van.nl (p dit adres) Geef me www.example.nl Vraag de nameserver vr example.nl (198.51.100.53) Het Geef me www.example.nl Internet www.example.nl = 198.51.100.80 3 5 7 (authritatieve) nameservers rt-server tp-level DNS server (.nl) authritatieve DNS server (example.nl) www.example.nl 198.51.100.80 8
DNS misbruik (cache pisning) 9
DNS 'cache pllutin' (authritatieve) nameservers Geef me www.example.nl lkale reslver Waar is www.example.nl? Vraag de nameserver van example.nl rt & TLD servers www.example.nl kun je hier vinden slachtffer www.example.nl = 192.0.2.80 Waar is www.example.nl? www.example.nl kun je hier vinden: 198.51.100.53 authritatieve DNS server (example.nl) www.example.nl kun je hier vinden: 192.0.2.80 www.example.nl 198.51.100.80 nep authritatieve DNS server www.example.nl 192.0.2.80 10
DNSSEC: Digitale zegels RRSIG example.nl. 7200 RRSIG SOA 5 3 7200 20131113113016 ( 20131014113016 57798 example.nl. TWLzBuUgXWMA9cj+xe6YMjXy2/VdauWnONk7 uap8jcdzsemcfwv4cfzxws2yx291+5jbmp m5alwpm7ijbsbgagz22ywlkn8jog3ktcm2y UX/c8/ATbYEBPKRjBs+YQKmY1NppwSjFi9Y0 1fVEBbrCnI0EP33c/VK97s8NG8= ) https://www.dnssec.nl/ 11
Brn: http://www.frumstandaardisatie.nl/ 12
DNSSEC is vandaag Ruim 26% van alle.nl dmeinnamen is beveiligd Andere TLD s zijn k flink bezig Steeds meer validatie (deze week ng Ggle s Public DNS) Sftware begint ged vlwassen te wrden Veel DNS(SEC) expertise in Nederland De de check: http://dnssectest.sidn.nl/ 13
DNSSEC (als enabling technlgy ) 14
Check zelf: http://phishingscrecard.cm/ DKIM (DmainKeys Identified Mail) Asscieer een dmeinnaam met een e mail Claim verantwrdelijkheid vr die mail Dit gebeurt d.m.v. een digitale handtekening Masterclass p 28 maart! (http://t.c/csgnr220tb) Algemeen gebruikt: Yah, HtMail, Gmail. Wie niet? De handtekening is te cntrleren m.b.v. een gegeven in DNS Dus DNSSEC heeft belangrijke meerwaarde 15
Check zelf: http://phishingscrecard.cm/ SPF (Sender Plicy Framewrk) Verklaar wat geldige mailservers zijn Neem dit p in DNS (als SPF recrd) Dus DNSSEC heeft hier meerwaarde DMARC (Dmain based Message Authenticatin, Reprting and Cnfrmance) Verklaar wat uw beleid is. 16
DMARC rapprt (vrbeeld) Brn: http://www.dmarcian.cm/
Brn: PC SIDN Labs (internal) DANE (DNS based Authenticatin f Named Entities) Cntrleer PKI certificaten m.b.v. DNS DigiNtar incident had hiermee vrkmen kunnen wrden. RFC6698 (augustus 2012) Vrwaarde: DNS met beveiligd zijn met DNSSEC 18
Man in the Middle ServerHell ServerHell Het (frauduleuze) certificaat is Niet expired f revked Validateert met een van de CA s Heeft een klppende cmmn name 23
Klpt het? ServerHell ServerHell _443._tcp.www.example.nl. IN TLSA ( 1 0 1 d2abde240d7cd3ee6b4b28c54df034b9 7983a1d16e8a410e4561cb106618e971 ) 26
Echte certificaat klpt met TLSA, frauduleuze certificaat niet == _443._tcp.www.example.nl. IN TLSA ( 1 0 1 d2abde240d7cd3ee6b4b28c54df034b9 7983a1d16e8a410e4561cb106618e971 )!= _443._tcp.www.example.nl. IN TLSA ( 1 0 1 d2abde240d7cd3ee6b4b28c54df034b9 7983a1d16e8a410e4561cb106618e971 ) 28
DNSSEC _443._tcp.www.example.nl. IN TLSA ( 1 0 1 d2abde240d7cd3ee6b4b28c54df034b9 7983a1d16e8a410e4561cb106618e971 ) 32
DNSSEC the enabling technlgy _443._tcp.www.example.nl. IN TLSA ( 1 0 1 d2abde240d7cd3ee6b4b28c54df034b9 7983a1d16e8a410e4561cb106618e971 ) _443._tcp.www.example.nl. IN RRSIG TLSA 8 5 300 ( 20130423112228 20130115102228 52044 example.nl. bnmynbco3mwravvmix7khpuggidpbfmz2icmq0gjz7ud A3tz0EKmBjqxOdwZaZNj2KrtxFJ2ta7elURYIHTpFFl9 +hjftpebjlklj636ilcyqcsxaytleiu7vop2nnx8y6+m g+toku4xnpk/hslelmia+zxkj8zxj+yxdedul= ) 33
DANE standaard DNSSEC/TLSA validatr Dr Paul Wuters (gebaseerd p werk van CZ.NIC en D. Grenewegen) http://peple.redhat.cm/pwuters/ 34
Waar staan we? 35
Hype cycle by curtesy f: SURFnet 36
Hype cycle by curtesy f: SURFnet 37
De ntwikkeling van DNSSEC Uptake van DNSSEC dmeinen in.cm,.net,.edu.edu : 0.9%.net : 0.2 %.cm: 0.15 % brn: Verisign labs 38
De ntwikkeling van DNSSEC Uptake van DNSSEC dmeinen in.nl,.cz,.br en.se In.nl is het 26%! brn: PwerDNS 39
Mrgen is vandaag! 40
Brn: http://ip6.nl/#!sidn.nl Een veiliger en beter schaalbaar internet met IPv6, DNSSEC, DKIM (en, p termijn: DANE) Het Frum Standaardisatie wijst de weg Zie k de pas te f leg uit lijst Zet IPv6, DKIM, DMARC, SPF en DNSSEC p uw pririteitenlijst Hu DANE in de gaten 41
42