Security Intelligence for TLD Operators. Moritz Müller SIDN Relatiedag, 1 december 2016, Utrecht

Vergelijkbare documenten
Internet: een kwestie van vertrouwen

Te mooi om waar te zijn. Chiel van Spaandonk, Giovane Moura, Moritz Müller ECP Jaarcongres 15 september 2018

Fake webshops, real counterattacks

Domeinregistratie. Dienstbeschrijving. Copyright The Voip Company 2011 Pagina 1 van 5

Van 27 tot domeinnamen met DNSSEC in Nederland: hoe dat komt en wat hebben we geleerd

.bedomeinnamen. & registrars

Genkgo Hosting. A. Wat is hosting?...2. B. Welke hostingscenario's zijn er mogelijk?...3. Scenario 1: Verhuizen domeinnaam, verhuizen ...

DNSSEC voor.nl. 1 Inleiding

DNS Problemen en hun oplossingen

Detectie van peer-to-peer botnets

.bedomeinnamen. onder de loep 2011

Ervaringen met privacybeheer voor DNS- big data -toepassingen

1 Wat is Dns? 2 Logische Structuur van DNS. 3 Fysische structuur van DNS. 4 Records. 5 Hoe werkt nu DNS. 6 DNS in windows 2008

IC Mail Gateway Gebruikershandleiding

Registrar Scorecard H2 2018

Handleiding Service plans, Customers en Subscriptions aanmaken in Plesk 11

Denit Handleiding Service plans, Customers en Subscriptions aanmaken in Plesk 11

This appendix lists all the messages that the DRS may send to a registrant's administrative contact.

Forensisch IT Onderzoek Authenticatie

Security bij de European Registry for Internet Domain Names

Early phishing in.nl through the ENTRADA plaxorm

IAAS HANDLEIDING - SOPHOS FIREWALL

De Enterprise Security Architectuur

Domein API Handleiding

Introductie Veiligheidseisen Exploiten Conclusie. Browser security. Wouter van Dongen. RP1 Project OS3 System and Network Engineering

KULSYSMN [SPAM?] 14 december Products that can improve your life! Dirk Janssens LUDIT - KULeuvenNet

herdelegatie ENUM Thomas de Haan Ministerie van Economische Zaken Directoraat Generaal Energie en Telecommunicatie minez.

Handleiding toevoegen van een nieuwe domeinnaam aan uw bestaande hostingpakket in DirectAdmin.

Je website veilig de zomer(vakantie) door

Handleiding Domeinnaam Online

.bedomeinnamen. & registrars

Veiligheid en PC. Belangrijkste bedreigingen: Virussen: schade toebrengen aan PC, server

Anti Spam Poort 25 Policy RoutIT

Easyhosting Handleiding Service plans, Customers en Subscriptions aanmaken binnen Plesk 12 voor resellers

EPP keyrelay: oplossing voor de laatste DNSSEC deployment hobbel

IAAS - QUICK START GUIDE

Website beoordeling akcpdistributor.de.ipaddress.com

Specifieke voorwaarden en contract bepalingen voor MyALERT (ALERT PHR - Elektronisch Patienten Gezondheidsdossier)

HOWTO: Microsoft Domain Controller en Linux DNS-server. geschreven door Johan Huysmans

SLA level Iron Bronze Silver Gold Platinum

HANDLEIDING DOMEINREGISTRATIE EN DNS- BEHEER

Gain Automation Technology Specialist in technische en industriële automatisering

Module VIII - DNS. Stefan Flipkens - Cursus: Internet - Intranet ( )

TECHNISCHE HANDLEIDING IB PORTAAL. Versie 2.2 Datum Juli 2018 Afdeling Communicatie Inlichtingenbureau

DHCP Scope overzetten van Windows Server 2003 R2 naar Windows Server 2012

Mail Service. Dienstbeschrijving. Copyright The Voip Company 2011 Pagina 1 van 9

Instructies Eudora OSE Pagina 1

KANSEN & ANTWOORDEN.

TECHNISCHE HANDLEIDING IB PORTAAL. Versie 2.1 Datum Mei 2018 Afdeling Communicatie Inlichtingenbureau

Remote access. Deze cursus is eigendom van Stagobel Electro

Instructies Android Smartphone & Tablet Pagina 1

Hackers; Hoe wordt je een doelwit? De consument in de keten

DNS & de nieuwe Generieke Top Level Domeinen (gtld s)

WHITEPAPER DEEPBLUE HONEYPOT

Een SIEM Een SIEM normaliseert log data en kan d.m.v. correlaties en logica alarmen laten triggeren

Easyhosting Handleiding Pakketswitch DirectAdmin

RESILIENCE. Hoe geeft mijn organisatie concreet invulling aan weerbaarheid? SECURITY CONGRES ir. Gerard Klop

Network Security Albert Kooijman & Remko Hartlief

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

Veiligheidsscan Gebruikershandleiding

Website beoordeling akcpsensor.de.ipaddress.com

SHAREPOINT ONLINE (SAMEN-)WERKEN IN DE WOLKEN. - Workshop SharePoint 1

Real Time Monitoring & Adaptive Cyber Intelligence SBIR13C038

Firewallpolicy VICnet/SPITS

Standard Parts Installatie Solid Edge ST3

The bad guys. Motivatie. Info. Overtuiging. Winst

Instructies Microsoft Outlook 2013 Pagina 1

5W Security Improvement

CONTAINERIZATION OF APPLICATIONS WITH MICROSOFT AZURE PAAS SERVICES

Shenandoa a Forensic Challenge DIGITAL INVESTIGATION B.V.

8 aandachtspunten bij beveiliging voor gemeenten

MULTIFUNCTIONELE DIGITALE SYSTEMEN. Instellen en gebruiken van LDAP met Active Directory

Internettechnlogie, systteem- en netwerkbeheer MODULECODE STUDIEPUNTEN 10 VRIJSTELLING MOGELIJK ja

Partners in Information Security. Partners in Information Security. Peter Rietveld. DDoS in perspectief

Gebruikershandleiding

DNSSEC is vandaag! Marco Davids Technisch adviseur 22 maart 2013 KING Leveranciersbijeenkomst Utrecht

Wat te doen tegen ransomware

optipoint 400 HFA / CorNet TS


Verhuizing/Registratie Domeinnaam en hosting

Domeinregistratie EuroNet Domeinnaam-overeenkomst formulier A GP001-19EUDEF001 DOMAIN/AANVR/A

Je eigen IPv6 DDoS-aanval in drie simpele stappen

Oracle PaaS en IaaS Public Cloud Services P I L L A R - D O C U M E N T A T I E J U L I

Stappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006

sur strategy, deliverability & infrastructure Authenticatie EMMA-nl Workshop Maarten Oelering

Het ALICE Project: Beeldbellen voor ouderen

SecureLink Customer portal handleiding

Technische handleiding. Versie 1.0 Datum 7 maart 2011 EXPRESS

ENUM in Nederland. van plan tot dienst! Frank Hondsmerk (SIDN)

SCAN UW NETWERK SECURITY. Krijg een helder beeld van de kwetsbaarheden en voorkom schade

Kiezen voor All In Content betekent dat u over kennis van een compleet team beschikt in plaats van afhankelijk te worden van één enkele consultant:

Registratie Hosting /Domeinnaamregistratie

UPS-sen bijplaatsen On The Flight

ESET NEDERLAND SECURITY SERVICES PREDICTION

Transport Layer Security. Presentatie Security Tom Rijnbeek

Moderne standaarden Veiliger

De Yokogawa visie op veilige, beveiligde en betrouwbare assets

Transcriptie:

Security Intelligence for TLD Operators Moritz Müller SIDN Relatiedag, 1 december 2016, Utrecht

Assets van een TLD Operator Domeinnamen Registrant informatie Registrar informatie Registratiesysteem (DRS) Domein queries (DNS)

SITO Probleem: generieke defense tools (zoals Firewalls) ongeschikt Geen inzicht in registratie transacties Geen verstand van DNS-queries en -responses SITO = Security Intelligence for TLD Operators Doel: het automatisch herkennen van afwijkend gedrag in DRS- en DNS-verkeer om de integriteit en veiligheid van.nl te beschermen

Overzicht Registrant Registrar Registry Zone File AuthNS DNS Resolvers Domain Registra?on Domain Resolu?on DRS Records SITO TLD Dashboards (.nl) Registry Security Engineers User ENTRADA Datasets

Overzicht Registrant Registrar Registry Zone File AuthNS DNS Resolvers Domain Registra?on User Domain Resolu?on Alerts DRS Records SITO TLD Dashboards (.nl) Registry Security Engineers ENTRADA Datasets

Voorbeeld transacties Domain create: creëren van een nieuwe domeinnaam Domain transfer: verhuizen van een domeinnaam naar een andere registrar Domain update: veranderen van houdergegevens (b.v. mail of telefoonnummer) Name server change: veranderen van name server IP-adres (glue) Afwijkingen herkennen (potentieel misbruik) door te berekenen wat normaal is

Afwijkende transacties Verdachte name server updates Gebaseerd op IP-adres en land Ongewone transfers B.v. transfer op rare tijdstippen Mislukte transacties B.v. transfer met verkeerde token

Afwijkende verhuizingen Ongewenst verhuizen van domeinnamen Registrars hebben vaak een gelijkmatig patroon van verhuizingen Eventueel verdacht als op een moment veel domeinnamen worden verhuisd

Mislukte transacties Registrar probeert domeinnaam te verhuizen met foute token Registrar probeert registrant of name server te wijzigen die niet onder zijn beheer is Registrar heeft mislukte logins (EPP of Web)

Voorbeeld 1200 Transac?es per minuut Transac?es per dag 100 1000 800 600 75 50 25 0 400 200 0 Mislukte transfers van een registrar Meer dan 1.000 verschillende domeinnamen betrokken

Voorlopige resultaten Weinig security incidenten in DRS (en dat weten we nu ook) Afwijkend gedrag vaak misconfiguratie Evaluatie nodig om afwijkend gedrag te prioriteren en beter in te schatten

Voorlopige resultaten Weinig security incidenten in DRS (en dat weten we nu ook) Afwijkend gedrag vaak misconfiguratie Evaluatie nodig om afwijkend gedrag te prioriteren en beter in te schatten Vragen aan registrars: Wat zijn andere indicatoren voor security incidenten? Zijn er andere waardes in de data? Willen jullie alerts ontvangen? Zo ja, hoe?

Voorbeelden van misbruik van domeinnamen Business Spam? Registratie info DNS Traffic Records Phishing (nieuw) Ja Zwak Sterk Zwak Phishing (gehacked) Ja Geen Sterk Zwak Nepwinkel Ja Zwak Sterk Zwak Botnet C&C Nee Gemiddeld Sterk Gemiddeld Blackhat SEO Nee Gemiddeld Gemiddeld Sterk

Voorbeelden van misbruik van domeinnamen Business Spam? Registratie info DNS Traffic Records Phishing (nieuw) Ja Zwak Sterk Zwak Phishing (gehacked) Ja Geen Sterk Zwak Nepwinkel Ja Zwak Sterk Zwak Botnet C&C Nee Gemiddeld Sterk Gemiddeld Blackhat SEO Nee Gemiddeld Gemiddeld Sterk

DNS verkeer Nieuwe phishing domeinnamen tonen vaak afwijkend DNS verkeer in vergelijking met ongevaarlijke domeinnamen 0 5 10 15 20 Days After Registration 25 30 150 0 50 4.5 5.5 Daily Queries Phishing 3.5 Daily Queries Random Sample Jan Mar, 2015 0 5 10 15 20 25 Days After Registration G. Moura, M. Mueller, M. Wullink, and C. Hesselman, ndews: a New Domains Early Warning System for TLDs, IEEE/IFIP International Workshop on Analytics for Network and Service Management (AnNet 2016), Istanbul, Turkey, April 2016 30

Resultaten ndews Fake webwinkels, b.v.: Schoenen Medicijnen Phishing We draaien een pilot

Resultaten ndews Fake webwinkels, b.v.: Schoenen Medicijnen Phishing We draaien een pilot Wij zoeken meer registrars die willen meedoen!

ndews email alerts en feedback # domain,registrar,timestampcreation,totalrequests,totalips,totalcountries,totalases,feedbackurl example.nl,.,1479376012,8599,3493,124,1386,https://ndews.sidnlabs.nl:5443/ndews/getfeedback/15621685723

Conclusies en vervolgstappen Security intelligence om afwijkend gedrag op te sporen en.nl nog veiliger te maken Beschermen van registratie lastig maar belangrijk punt Wij zoeken registrars die met onze ndews-pilot mee willen meedoen We willen de detectie van malafide domeinnamen uitbreiden

Conclusies en vervolgstappen Security intelligence om afwijkend gedrag op te sporen en.nl nog veiliger te maken Beschermen van registratie lastig maar belangrijk punt Vragen? Moritz Müller Research Engineer moritz.muller@sidn.nl Wij zoeken registrars die met onze ndews-pilot mee willen meedoen We willen de detectie van malafide domeinnamen uitbreiden @dhr_moe www.sidnlabs.nl

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback