DNSSEC is vandaag! Marco Davids Technisch adviseur 22 maart 2013 KING Leveranciersbijeenkomst Utrecht



Vergelijkbare documenten
DNS & de nieuwe Generieke Top Level Domeinen (gtld s)

Registrar Scorecard H2 2018

Moderne standaarden Veiliger

DNSSEC DKIM / SPF / DMARC

Standaard voor veilige

VIAG THEMADAG State of the art internet beveiliging

MAILPLUS & DMARC. Wat is DMARC en hoe stel ik het in voor MailPlus?

DNSSEC College. Arjen Zonneveld. Jelte Jansen. DHPA Techday, 21 mei 2015

ICT en Overheid The Next Generation Internet must be Safe

Expertadvies functioneel toepassingsgebieden internet veiligheidstandaarden

FORUM STANDAARDISATIE Aanmelding DomainKeys Identified Mail (DKIM) Signatures

FORUM STANDAARDISATIE

FS A. FORUM STANDAARDISATIE 16 december 2014 Agendapunt 5. Open standaarden, lijsten Stuknummer 5A. Intake-advies DMARC.

FS A. Forum Standaardisatie. Adoptieadvies DNSSEC

SSO. Op het Zernike College A van der Drift P Spitzers P ten Raa

8 aandachtspunten bij beveiliging voor gemeenten

FORUM STANDAARDISATIE 11 oktober 2017

Rapportage DMARC/SPF/DKIM impactanalyse t.b.v. Forum Standaardisatie

DNSSEC, wat is het? Komt het er ooit nog van?

Bachelorscriptie. Radboud Universiteit. Een technische en juridische analyse van het protocol van de Veilige Coalitie

Stuurgroep Standaardisatie Datum: 13 mei 2016 Versie 1.0

CIP/Ruud de Bruijn 28 mei 2014

Uitleg SPF, DKIM & DMARC

Richtlijn Kolven bij de à terme pasgeborene

SIN-Online docentenhandleiding

PARTIJEN. Achtergrond

DNS wijzigen en standaard DNS instellingen van WebReus Hoe maak ik een WebReus SPF record aan?... 4

FORUM STANDAARDISATIE 20 april 2016 Agendapunt 2E. Forum-advies STARTTLS en DANE Stuknummer 2E Forum-advies STARTTLS en DANE

EPP keyrelay: oplossing voor de laatste DNSSEC deployment hobbel

Tjalling de Vries Gemeente Enschede. #TwenteM2S

Beveilig verbindingen van mailservers

Wie verstuurt er namens jouw domein ?

Instructiekaart. Een webquest maken op basis van een Google Sites sjabloon. zelfstandig leren. 1 Inloggen of aanmelden

Handleiding Mail CTTL juni Mailbox CTTL

Bij leefbaarheid gaat het er om hoe mensen hun omgeving ervaren en beoordelen.

Het is voorlopig nog onduidelijk wie achter deze aanvallen zit en wat de initiële infectievector is.

.bedomeinnamen. & registrars

Security Intelligence for TLD Operators. Moritz Müller SIDN Relatiedag, 1 december 2016, Utrecht

Eerstelijns ServicePunt B.V.

LOGBOEK van: klas: 1

.bedomeinnamen. & registrars

authenticatie

PRIVACY VERKLARING VAN BEAUTYSALON ANKE

DNSSEC voor.nl. 1 Inleiding

.bedomeinnamen. onder de loep 2011

BIJLAGE. Bevindingen en aanbevelingen van de auditors van DG REGIO

Aanmelding van een nieuwe standaard voor de pas toe of leg uit -lijst

Reacties uit de openbare consultatie STARTTLS en DANE (uitbreiding functioneel toepassingsgebied)

Halfjaarlijkse meting Informatieveiligheidsstandaarden BFS Begin 2017

NTA 8009:2007. Veiligheidsmanagementsysteem voor ziekenhuizen en instellingen die ziekenhuiszorg verlenen

Samenvattend rapport Operationeel Leidinggevenden

Windows 7. In Windows 7 vind je rechts onderaan, bij het klokje, een icoontje voor draadloze netwerken.

Opname S/MIME 3.2 (standaard voor aanvullende beveiliging van ) op de lijst met open standaarden

NL Ingenieurs SE-AM Marktvisie

Trusted . Delivered.

Is de overheid klaar voor de nieuwe internetgebruiker? Onderzoek Trends in internetgebruik 2018 Michiel Henneke Jaarcongres ECP, 15 november 2018

W O O N R U IM TE B A S IS

ALLE DIENSTEN DIE U NODIG HEBT, WAAR U OOK BENT

Bijzondere en/of gevoelige persoonsgegevens die wij verwerken

- Bedrijfsvermeldingen, Key-accounts & andere advertentiemogelijkheden -

Samenvattend rapport Operationeel Leidinggevenden

Obs de Wezeboom. Protocol vervoer bij uitstapjes onder schooltijd. Protocol vervoer onder schooltijd obs de Wezeboom 1

In dit document worden de verschillende componenten beschreven.

Genkgo Hosting. A. Wat is hosting?...2. B. Welke hostingscenario's zijn er mogelijk?...3. Scenario 1: Verhuizen domeinnaam, verhuizen ...

Intentieverklaring Veilige Coalitie

Plan van aanpak energiezorg in schoolgebouwen. Barbara De Kezel, Steunpunt DuBo dienst Energiebegeleiding 16 november 2015

Verkoopskanaal: SAL TB CC ISC andere

Den Boek (Pré) Microben

Opname DNSSEC op de lijst voor pas toe of leg uit. Datum: 23 mei 2012 Versie 1.0

Certificeringstraining Competentietest de Wave

Ambitie HAS Hogeschool: Afvalvrij in Resultaten afgelopen 3 jaar Zie bijlage 1: Grafieken. Samenwerking Ecosmart

IP versie 6 aan de RuG

HANDLEIDING DOMEINREGISTRATIE EN DNS- BEHEER

De denkstijltest. CompetenZa

Geadviseerd wordt om STARTTLS en DANE in combinatie op te nemen op de lijst met open standaarden met de status pas toe of leg uit.

HBO5 Informatica Netwerkbeheer (90 studiepunten) A9 Datacommunicatie en netwerken (5 studiepunten) Je kent kan de parameters capaciteit,

Voor partners, werknemers, uitzendkrachten, inleenkrachten, student-stagiaires, en sollicitanten van imailo is een ander beleid van toepassing.

HANA: Installeren van een DTAP-straat m.b.v. backup/restore

Presenteren met Impact:

Informatiebeveiligingsbeleid (IBB)

Halfjaarlijkse meting Informatieveiligheidstandaarden Forum Standaardisatie. = Begin 2018 =

praktijkervaring No 6, Q Toegepast onderzoek voor de toekomst Vanaf het begin aan de basis van het internet

Impactanalyse DMARC/DKIM/SPF. In opdracht van Forum Standaardisatie

Profileringsmogelijkheden. Bouwcampus Duurzaamheidscongres 2013 Samen maken we duurzaam waardevol. 27 juni 2013 Rijtuigenloods Amersfoort

Les Hernieuwbare energie

14. FS FORUM STANDAARDISATIE 28 oktober 2014 Agendapunt 05. Open standaarden, adoptie Stuk 05. Oplegnotitie. Bijlagen:

Forum Standaardisatie. Samenvatting expertadvies DANE. Datum 12 februari 2014

is verantwoordelijk voor de verwerking van persoonsgegevens zoals weergegeven in deze privacyverklaring.

Lesideeën. Hedendaagse Propaganda Analyseren. uitgewerkt door

OPTIMAAL MAILINGS VERSTUREN. TIM ROEMER Managing Director

Stel uw inkomen zeker, sluit een arbeidsongeschiktheidsverzekering af

Waarom komt mijn niet aan?

Gebruikersgids: BEACHPLOEGEN

Een Top Level Domein voor betrouwbare overheidscommunicatie. Een verkenning van de kansen en risico s

P. Mijnders is de Functionaris Gegevensbescherming van TimMij uitzendorganisatie B.V. Hij is te bereiken via

Wie zijn wij Doel gegevens Beheer Opslagperiode Beveiliging Uw rechten Plichten... 5

Denit Handleiding DNS beheren

De zuivel terug in Heeg?

Transcriptie:

DNSSEC is vandaag! Marc Davids Technisch adviseur 22 maart 2013 KING Leveranciersbijeenkmst Utrecht 1

SIDN? Wat is DNS(SEC)? Huidige status? Wrap up 2

SIDN 3

SIDN Stichting Internet Dmeinregistratie Nederland Registry vr.nl 4

.nl in cijfers Tp 10 cctld s 1.DE (Duitsland) 15,2 m 2.TK (Tkalau) 10,8 m 3.UK (Ver. Kninkrijk) 10,2 m 4.NL (Nederland) 5 m 5. CN (Vlksrep. China) 4,1 m 6.RU (Rusland) 4 m 7.EU (Eurpese Unie) 3,67 m 8. BR (Brazilië) 3 m 9. AR (Argentinië) 2,7 m 10.AU (Australië) 2,5 m (brn: CENTR, sept 2012) (brn: SIDN) 5

.nl vandaag Hge dmeinnaam-dichtheid 1 e TLD in termen van DNSSEC 6

DNS(SEC) 7

9 1 DNS queries Geef me (het adres van) www.example.nl www.example.nl kun je hier vinden: 198.51.100.80 Bezek site lkale reslver 8 www.example.nl = 198.51.100.80 2 4 6 Geef me www.example.nl Vraag de nameserver van.nl (p dit adres) Geef me www.example.nl Vraag de nameserver vr example.nl (198.51.100.53) Het Geef me www.example.nl Internet www.example.nl = 198.51.100.80 3 5 7 (authritatieve) nameservers rt-server tp-level DNS server (.nl) authritatieve DNS server (example.nl) www.example.nl 198.51.100.80 8

DNS misbruik (cache pisning) 9

DNS 'cache pllutin' (authritatieve) nameservers Geef me www.example.nl lkale reslver Waar is www.example.nl? Vraag de nameserver van example.nl rt & TLD servers www.example.nl kun je hier vinden slachtffer www.example.nl = 192.0.2.80 Waar is www.example.nl? www.example.nl kun je hier vinden: 198.51.100.53 authritatieve DNS server (example.nl) www.example.nl kun je hier vinden: 192.0.2.80 www.example.nl 198.51.100.80 nep authritatieve DNS server www.example.nl 192.0.2.80 10

DNSSEC: Digitale zegels RRSIG example.nl. 7200 RRSIG SOA 5 3 7200 20131113113016 ( 20131014113016 57798 example.nl. TWLzBuUgXWMA9cj+xe6YMjXy2/VdauWnONk7 uap8jcdzsemcfwv4cfzxws2yx291+5jbmp m5alwpm7ijbsbgagz22ywlkn8jog3ktcm2y UX/c8/ATbYEBPKRjBs+YQKmY1NppwSjFi9Y0 1fVEBbrCnI0EP33c/VK97s8NG8= ) https://www.dnssec.nl/ 11

Brn: http://www.frumstandaardisatie.nl/ 12

DNSSEC is vandaag Ruim 26% van alle.nl dmeinnamen is beveiligd Andere TLD s zijn k flink bezig Steeds meer validatie (deze week ng Ggle s Public DNS) Sftware begint ged vlwassen te wrden Veel DNS(SEC) expertise in Nederland De de check: http://dnssectest.sidn.nl/ 13

DNSSEC (als enabling technlgy ) 14

Check zelf: http://phishingscrecard.cm/ DKIM (DmainKeys Identified Mail) Asscieer een dmeinnaam met een e mail Claim verantwrdelijkheid vr die mail Dit gebeurt d.m.v. een digitale handtekening Masterclass p 28 maart! (http://t.c/csgnr220tb) Algemeen gebruikt: Yah, HtMail, Gmail. Wie niet? De handtekening is te cntrleren m.b.v. een gegeven in DNS Dus DNSSEC heeft belangrijke meerwaarde 15

Check zelf: http://phishingscrecard.cm/ SPF (Sender Plicy Framewrk) Verklaar wat geldige mailservers zijn Neem dit p in DNS (als SPF recrd) Dus DNSSEC heeft hier meerwaarde DMARC (Dmain based Message Authenticatin, Reprting and Cnfrmance) Verklaar wat uw beleid is. 16

DMARC rapprt (vrbeeld) Brn: http://www.dmarcian.cm/

Brn: PC SIDN Labs (internal) DANE (DNS based Authenticatin f Named Entities) Cntrleer PKI certificaten m.b.v. DNS DigiNtar incident had hiermee vrkmen kunnen wrden. RFC6698 (augustus 2012) Vrwaarde: DNS met beveiligd zijn met DNSSEC 18

Man in the Middle ServerHell ServerHell Het (frauduleuze) certificaat is Niet expired f revked Validateert met een van de CA s Heeft een klppende cmmn name 23

Klpt het? ServerHell ServerHell _443._tcp.www.example.nl. IN TLSA ( 1 0 1 d2abde240d7cd3ee6b4b28c54df034b9 7983a1d16e8a410e4561cb106618e971 ) 26

Echte certificaat klpt met TLSA, frauduleuze certificaat niet == _443._tcp.www.example.nl. IN TLSA ( 1 0 1 d2abde240d7cd3ee6b4b28c54df034b9 7983a1d16e8a410e4561cb106618e971 )!= _443._tcp.www.example.nl. IN TLSA ( 1 0 1 d2abde240d7cd3ee6b4b28c54df034b9 7983a1d16e8a410e4561cb106618e971 ) 28

DNSSEC _443._tcp.www.example.nl. IN TLSA ( 1 0 1 d2abde240d7cd3ee6b4b28c54df034b9 7983a1d16e8a410e4561cb106618e971 ) 32

DNSSEC the enabling technlgy _443._tcp.www.example.nl. IN TLSA ( 1 0 1 d2abde240d7cd3ee6b4b28c54df034b9 7983a1d16e8a410e4561cb106618e971 ) _443._tcp.www.example.nl. IN RRSIG TLSA 8 5 300 ( 20130423112228 20130115102228 52044 example.nl. bnmynbco3mwravvmix7khpuggidpbfmz2icmq0gjz7ud A3tz0EKmBjqxOdwZaZNj2KrtxFJ2ta7elURYIHTpFFl9 +hjftpebjlklj636ilcyqcsxaytleiu7vop2nnx8y6+m g+toku4xnpk/hslelmia+zxkj8zxj+yxdedul= ) 33

DANE standaard DNSSEC/TLSA validatr Dr Paul Wuters (gebaseerd p werk van CZ.NIC en D. Grenewegen) http://peple.redhat.cm/pwuters/ 34

Waar staan we? 35

Hype cycle by curtesy f: SURFnet 36

Hype cycle by curtesy f: SURFnet 37

De ntwikkeling van DNSSEC Uptake van DNSSEC dmeinen in.cm,.net,.edu.edu : 0.9%.net : 0.2 %.cm: 0.15 % brn: Verisign labs 38

De ntwikkeling van DNSSEC Uptake van DNSSEC dmeinen in.nl,.cz,.br en.se In.nl is het 26%! brn: PwerDNS 39

Mrgen is vandaag! 40

Brn: http://ip6.nl/#!sidn.nl Een veiliger en beter schaalbaar internet met IPv6, DNSSEC, DKIM (en, p termijn: DANE) Het Frum Standaardisatie wijst de weg Zie k de pas te f leg uit lijst Zet IPv6, DKIM, DMARC, SPF en DNSSEC p uw pririteitenlijst Hu DANE in de gaten 41

42

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback