DNSSEC zonder (al) te veel moeite Bert Hubert PowerDNS Deze presentatie & links verschijnen op http://tinyurl.com/powersidn Hashtag: #powerdns
DNSSEC zonder (al te veel) moeite Reminder: wat is DNSSEC en wat is het niet? Voordelen van DNSSEC Nadelen van DNSSEC Het minimale wat u echt moet weten Beschikbare software Toekomstige ontwikkelingen PowerDNS 3.0 mede dankzij SIDN! Voor het 'zonder al te veel' moeite stuk
PowerDNS PowerDNS is de nameserver van 30%-50% van alle domeinen in de nabije omgeving Gebruikt door toonaangevende registrars en hosters (u?) Inmiddels bijna 12 jaar beschikbaar, bijna 10 jaar als open source Uitstekend professioneel ondersteunde open source met een levendige community Wet van de remmende voorsprong wet van de versnellende achterstand DNSSEC pas gedaan toen duidelijk was hoe
DNSSEC: wat is het wel/niet Vragen over domeinen reizen over DNS Een verkeerd DNS antwoord betekent een verkeerd internet Uw website staat ineens niet meer in Utrecht maar in Uzbekistan (en heeft heel andere content) Beveiligd http heet https, beveilgde email SMTP/TLS, POP3S of IMAP3s zet er een S bij Tot nu toe was er geen beveiligd DNS DNSSEC is 'beveiligd dns'.. maar wel anders
Hoe is DNSSEC anders? Om SSL toe te voegen aan email of web is alleen een certificaat benodigd Voeg het certificaat toe, herconfigureer, en http://uwbedrijf.nl is ook bereikbaar op https://uwbedrijf.nl SSL beveiliging wordt 'live' toegevoegd Vers voor iedere verbinding DNSSEC beveiliging wordt doorgaans statisch en vooraf toegepast En moet steeds bijgewerkt worden Kortom, dit is nieuw big deal!
DNSSEC: Toestand DNSSEC is hier en nu De software is (behoorlijk) gereed De root van DNS heeft DNSSEC aan staan COM/NET/ORG hebben het in productie, via sommige registrars te bestellen SIDN & Andere registries zijn in Friends & Fans stadium (het werkt, maar nog handmatig) Sommige (hele grote) ISPs verifieren DNSSEC antwoorden
DNSSEC beschermt tegen: Spoofing aanvallen Derden die pogen gewijzigde antwoorden te sturen namens uw nameservers Onbetrouwbare secondaries/slaves Uw slave/secondary kan nu naar hartelust uw DNS data aanpassen Onbetrouwbare overheden & ISPs Injecteren mogelijk reclame, of leiden uw verkeer om langs DPI installaties
DNSSEC: Waarom doen? In alle eerlijkheid, voorgaande bedreigingen zijn niet heel ernstig Spoofing lukt haast niet meer, kies je secondaries zorgvuldig uit, onbetrouwbare overheden & ISPs kunnen ook op andere manieren hun ding doen Er is geen brandende noodzaak In contrast tot IPv6 Er zijn wel andere goede redenen echter
Veiligheid is ook een gevoel
DNSSEC redenen Niet alleen is DNSSEC een mooi 'zegeltje' om te hebben Er komt ook een groep klanten die, met uitdraai in de hand, komt melden dat uw servers het niet doen. Nessus effect De concurrent doet het wel Eis in aanbestedingen.. mooi excuus om de DNS eens goed op te ruimen!
DNSSEC nadelen DNS zonder DNSSEC is buitengewoon robuust tegen fouten Verouderde data op slaves, missende NS records, rare load balancers, consumentenrouters met een mening over DNS gaat allemaal goed DNSSEC is sterk cryptografisch beveiligd 'Zero tolerance' tegen wijzigingen (zo hoort het natuurlijk) Kleine fouten grote downtime Vrijwel alle grote DNSSEC domeinen zijn zo al eens platgegaan
DNSSEC nadelen Voor het eerst speelt tijd een rol in DNS Allerhande zaken kunnen 'verlopen' in DNSSEC Vergelijk een verlopen SSL certificaat Er is geen 'ga toch maar door knop' echter! Met de meeste software is constante aandacht nodig voor DNSSEC Vrijwel alle belangrijke DNSSEC domeinen zijn al eens verlopen
DNSSEC nadelen De complexiteit neemt gegarandeerd toe Heeft u/hebben uw beheerders voldoende additionele tijd en vaardigheden? Meer klantinteractie Verhuizen van DNSSEC domeinen is een heel circus Kan ook goed nieuws zijn.. Er is nieuwe software nodig De bedrijfsprocessen moeten anders
DNSSEC is onvoorstelbaar complex DNSKEY, RSASHA1, RSASHA256, ECDSA, GOST, NSEC, NSEC3, DS, RRSIG, NSEC3PARAM, Chain Walking, Iteration counts, Salted Hashes, Key Signing Keys, Zone Signing Keys, Trust Anchors, White Lies, Downgrade attacks, UDP Fragmentation, UDP PMTU Probing.. Maar, dat is GSM ook. MSISDN, IMSI, IMEI, HLR, GSMA, SS7, UMTS, SIM, CDMA, TDMA, VLR, SMSC, MSC, UTRAN, A5.1, A3/A8,K_i... Bellen is niet moeilijk echter!
De kern van DNSSEC Een DNS antwoord krijgt een RRSIG, een digitale handtekening Deze handtekening wordt gemaakt door een DNSKEY, een sleutel In de echte wereld zetten sleutels geen handtekeningen.. hier wel Van deze DNSKEY wordt een afschrift door SIDN in de.nl zone gestopt Zo controleert de wereld de echtheid van de sleutel, en vervolgens de echtheid van de handtekening
Het signing process www.uwbedrijf.nl IN A 1.2.3.4 DNSSEC SIGN www.uwbedrijf.nl IN A 1.2.3.4 DNS
Het verficatie process DNS www.uwbedrijf.nl IN A 1.2.3.4 DNS DNSSEC VERIFY OK!
Het verankeren van de sleutel SIDN
Het verficatie process DNS www.uwbedrijf.nl IN A 1.2.3.4 DNS DNSSEC VERIFY OK! SIDN
Waar het om draait www.uwbedrijf.nl IN A 1.2.3.4 Oorspronkelijke DNS data Nodig om handtekeningen te zetten. Private sleutel = geheim! De handtekening onder uw DNS antwoord (RRSIG) De publieke sleutel waarmee de handtekening gecontroleerd kan worden (DNSKEY) Pasfoto van de publieke sleutel, verkrijgbaar bij SIDN, waar de publieke sleutel dan weer mee gecontroleerd kan worden (DS)
Waar up op moet letten www.uwbedrijf.nl IN A 1.2.3.4 Als de oorspronkelijke DNS data wijzigt moet de handtekening vernieuwd worden. Als de private sleutel uitlekt is de beveiliging van DNSSEC over. Handtekeningen hebben een levensduur, en horen bij precies 1 sleutel. Als de sleutel verandert, moeten de handtekeningen opnieuw. Handtekeningen verlopen ook, vaak binnen een paar weken! Publieke en private sleutels moeten wel bij elkaar passen! Als er iets verandert aan de sleutel moet een nieuwe/extra pasfoto gepubliceerd worden
Stappen om tot DNSSEC te komen 1.Kies de juiste software & hardware, en indien nodig de juiste DNSSEC parameters (*) 2.Genereer een privaat/publiek sleutel paar per zone (in de praktijk: 2 paar) 3.Zet handtekeningen op uw bestaande DNS data 4.Genereer de DS (pasfoto) van uw sleutelpaar en stuur deze op naar SIDN 5.Regel in dat stap 2 periodiek herhaald wordt, en sowieso na iedere wijziging in de DNS
Dat viel best mee! Valkuilen: Het tekenproces stopt met lopen niemand merkt daar iets van tot de handtekeningen verlopen zijn. Dit gebeurt gegarandeerd (volgelopen disk..) Slaves halen opnieuw getekende zones niet vanzelf op! SOA serial blijft gelijk namelijk. Handtekeningen verlopen op de slave. Na rommelige klachten over dat het soms niet werkt blijkt de firewall grote paketten te blokkeren Als er iets mis is kost het 48 uur om DNSSEC uit te (laten) zetten!
Bruikbare software Zonder moderne software is DNSSEC een veel groter drama! Veel handmatige keuzes, handtekeningproces loopt niet robuust, geen automatisering voor slaves, moeilijk sleutelbeheer.. Presentaties over DNSSEC gaan meestal over deze tools geschikt voor nerds BIND10 (2012) OpenDNSSEC + BIND9 of NSD PowerDNS 3.0 ('PowerDNSSEC') Hardware oplossingen (Xelerance) Nominum (?)
Een woordje van dank SIDN draagt actief bij aan de ontwikkeling van bruikbare DNSSEC technologie & standaarden Waaronder OpenDNSSEC & PowerDNS 3.0 Dank! Peter Koch (DENIC), Olaf Kolkman (NLNetLabs), Wouter Wijngaards (NLNetLabs), Marco Davids (SIDN), Markus Travaille, Leen Besselink, Antoin Verschuren (SIDN), Olafur Gudmundsson (IETF), Dan Kaminsky (Recursion Ventures), Roy Arends (Nominet), Miek Gieben (SIDN), Stephane Bortzmeyer (AFNIC), Michael Braunoeder (nic.at), Peter van Dijk, Maik Zumstrull, Jose Arthur Benetasso Villanova (Locaweb), Stefan Schmidt, Roland van Rijswijk (Surfnet), Paul Bakker (Brainspark/Fox-IT), Mathew Hennessy, Johannes Kuehrer (Austrian World4You GmbH), Marc van de Geijn (bhosted.nl), Stefan Arentz and Martin van Hensbergen (Fox-IT), Christof Meerwald, Detlef Peeters, Jack Lloyd, Frank Altpeter, frederik danerklint, Vasiliy G Tolstov, Brielle Bruns, Evan Hunt, Ralf van der Enden, Marc Laros, Serge Belyshev, Jan-Piet Mens, Niek Willems, Stef Van Dessel, John Leach, Thor Spruyt, Aki Tuomi...
Praktijk: PowerDNS Uitgaande van een werkende PowerDNS installatie: Wijzig het database schema volgens de handleiding, upgrade naar 3.0 Voer uit: pdnssec secure-zone uwbedrijf.nl Controleer of de klokken van uw servers goed staan Voer uit: pdnssec show-zone uwbedrijf.nl en noteer de DS (pasfoto) Stuur deze naar SIDN (*) Klaar (*)
Andere manieren Een signing-slave (PowerDNS, OpenDNSSEC) Deze plaatst u naast uw bestaande nameservers De signing-slave configureert u als slave van al uw bestaande domeinen De slave haalt de domeinen binnen & signed ze U vertelt uw registries dat uw signing slaves nu de baas zijn Dit kan vrij letterlijk zonder frontend wijzigingen!
Nog meer manieren Phreebird - kunt u voor uw nameservers schuiven en alles wordt (live) gesigned Leuk idee, implementatie meer proof of concept Xelerance: Appliance oplossing, automatiseert DNSSEC geheel BIND10: Nog onder ontwikkeling, maar kent ook sleutelbeheer & automatisch signen Nominum: Commercieel DNS bedrijf, alles onder NDA, maar schijnt ook een oplossing te hebben
Aandachtspunten DNSSEC parameters: goed over nadenken. Verkeerde keuze kan betekenen: Iedereen kan uw zones transferen Uw DNS antwoorden worden zo groot dat ze her en der niet aankomen Uw DNS handtekeningen gebruiken nog niet breed ondersteunde protocollen, en werken niet overal Gebruik de default of raadpleeg een expert
Aandachtspunten Als u een firewall voor uw nameservers heeft staan dan moet deze: TCP/IP poort 53 doorlaten Grote UDP paketten doorlaten ICMP niet filteren IP fragments doorlaten Veel firewalls in default configuratie voldoen niet aan bovenstaande eisen! Als dit niet geregeld is lijkt alles te werken..
Aandachtspunten Verhuizen van een domein is een heel circus Het herstellen van verkeerde DNSSEC parameters is veel gedoe Als u uw DNS sleutelmateriaal wilt veranderen moet dit heel zorgvuldig gebeuren, anders gaat uw domein down Ook met perfecte automatisering is niet te ontkennen dat DNSSEC veel complexer is dan DNS. Heeft u voldoende tijd over? Er is een performance impact
Nieuwe mogelijkheden DNSSEC maakt ook bijzondere nieuwe dingen mogelijk Meest spannende ontwikkeling: DANE Op dit moment gebruiken we SSL om https websites mee te beveiligen Probleem is dat 1500 bedrijven SSL certificaten uit kunnen geven doen ze dat ook aan boeven (JA) Via DANE wordt het enige juiste SSL certificaat gecontroleerd via DNSSEC En stiekem kan het ook zonder CA..
Afsluitend DNSSEC is hier & nu Uw klanten beginnen het van u te verwachten Het is niet meer zo moeilijk als het was Met de juiste tools best te doen Aandachtspunten blijven echter Complexiteit neemt toe Met DNSSEC worden mooie dingen mogelijk
DNSSEC zonder (al) te veel moeite Bert Hubert PowerDNS Deze presentatie & links verschijnen op http://tinyurl.com/powersidn Hashtag: #powerdns Bert.hubert@netherlabs.nl 06-22440095