extension DMS vx DNSSEC DNSSEC em sua zona DNSSEC no serv DNSSEC DNS com mais seguran¸ ca Centro de Tecnologia da Informa¸ c˜ ao e Comunica¸ c˜ ao - CTIC Universidade Federal do Par´ a -UFPA Carlos Nogueida Agnaldo N. Marinho November 1, 2012
extension DMS vx DNSSEC DNSSEC em sua zona DNSSEC no serv DNS - Domain Name System #1 Arquitetura hier´ aquiva, dados dispostos em uma ´ arvore invertida Descentralizado e distribuido Novas funcionalidades al´ em do dom´ ınio – IP
extension DMS vx DNSSEC DNSSEC em sua zona DNSSEC no serv Servidor Autorativo #1 Responde com autoridade para uma zona especifica Deve estar disponivel publicamente para toda a internet Pode ser do tipo Master ou Slave Servido Recursivo #2 N˜ ao ´ e respons´ avel por uma ´ unica zona Ao receber uma requisi¸ c˜ ao, consulta servidores autoritativos para obter a informa¸ c˜ ao desejada faz cache de informa¸ c˜ oes Pode ter acesso controlado
extension DMS vx DNSSEC DNSSEC em sua zona DNSSEC no serv Fluxo de Dados Resolver faz consultas no Recursivo Recursivo faz consultas no Master ou Slaves Master tem uma zona original (via arquivo ou Dynamic update) Slave recebe a zona do Master (ZXFR ou IXFR)
extension DMS vx DNSSEC DNSSEC em sua zona DNSSEC no serv Solu¸ c˜ oes TSIG – Transaction Signatures - RFC 2854 #1 Tr´ afego assinado com uma chave compartilhada (sim´ etrica) entre as duas parte Utilizado principalmente em transferˆ encia de zona (mater e slave) DNSSEC #2 Assinatura digital das informa¸ coes de zona Utiliza o conceito de chaves assim´ etrica (public e privado) Garante integridade e autenticidade das informa¸ c˜ oes Provˆ e seguran¸ ca para a resolu¸ c˜ ao de endere¸ cos
extension DMS vx DNSSEC DNSSEC em sua zona DNSSEC no serv DNSSEC - Domain Name System SECurity extension#1 Extens˜ ao do protocolo DNS para implementar mecanismo de seguran¸ ca Faz uso da criptografia assim´ etrica - Chave publica e chave privada. Novos Resources Records. Os protocolo DNSSEC ´ e descrito em trˆ es RFCs (RFC 4033, RFC 4034, RFC 4035)
extension DMS vx DNSSEC DNSSEC em sua zona DNSSEC no serv Uso da Chaves Assim´ etricas#1 A chave public ´ e armazenada no registro DNSKEY Podemos utilizar chaves (dois registros DNSKEY) Uma dessas chave ser´ a utiliza para assinar o registro da zona(Zona Signing KEY - ZSK) A outra ser´ a utilizada para assinar apenas os registros DNSKEY (Key Signing Key - KSK)
extension DMS vx DNSSEC DNSSEC em sua zona DNSSEC no serv Novos Resource Records #1 DNSKEY Chave p´ ublica (inclu´ ıda na sua pr´ opria zona) RRSIG Assinatura do RRset (somente registros com autoridade) DS Delegatio Signer (Ponteiro para a cadeia de confian¸ ca) NSEC(3) Next Secure (Prova de n˜ ao existˆ encia)
extension DMS vx DNSSEC DNSSEC em sua zona DNSSEC no serv DNSKEY #1 Representa a chave p´ ublica de uma zona Consulta DNSKEY #2 $dig ufpa.br dnskey +dnssec
extension DMS vx DNSSEC DNSSEC em sua zona DNSSEC no serv RPSIG #1 Representa a assinatura de um RRset especifico com uma determinada chave (DNSKEY) Possui uma validade inicial (inception) e final (expiration) Consulta RPSIG #2 $dig @10.57.10.7 ufpa.br SOA +dnssec +noadditional
extension DMS vx DNSSEC DNSSEC em sua zona DNSSEC no serv DS - Delegation Signer #1 Representa uma hash de um record DNSKEY Indica #2 Que a zona delegada et´ a assinada Qual a chave usada na zona delegada O record DS n˜ ao deve aparecer no seu filho ´ E poss´ ıvel obter os DS da zona utilizando os sistema whois: $whois ufpa.br
extension DMS vx DNSSEC DNSSEC em sua zona DNSSEC no serv NSEC - Next Secure#1 Permite autenticar uma resposta negativa Indica o pr´ oximo nome seguro da zona Indica os tipos de RRsets existentes para o nome Circular (´ Ultimo aponta para o primeiro) Prova de n˜ ao existˆ encia, com pr´ e-assinatura, sem necessidade de chave on-line para assinatura on-demand. Diminuindo a possibilidade de DOS.
extension DMS vx DNSSEC DNSSEC em sua zona DNSSEC no serv NSEC3 - DNSEC Hashed Authenticated Denial of Existence#1 RFC 5155 Soluciona o problema de ”Zona Walking” Substitui o record NSEC pelo record NSEC3 Consiste na sequencia de hashes de nomes da zona
extension DMS vx DNSSEC DNSSEC em sua zona DNSSEC no serv Funcionamento #1 RRsets s˜ ao assinados com a chave privada da zona, gerando RRSIGs Chave p´ ublica ´ e usada para verificar a assinatura (RRSIG) dos RRsets Autencidade da chave ´ e verificada pelo record DS assinado na zona pai (hash da chave p´ ublica da zona filha) NSEC fornece prova de n˜ ao existencia
extension DMS vx DNSSEC DNSSEC em sua zona DNSSEC no serv Pr´ e-requisos #1 Servidor de Nomes utilizado:bind9 zona em que se est´ a implantando DNSSEC: exemplo-dnssec.br Localiza¸ c˜ ao dos arquivos de configura¸ c˜ ao:
extension DMS vx DNSSEC DNSSEC em sua zona DNSSEC no serv Configura¸ c˜ ao do Bind - gerando a chave ZSK #2 Primeiro passo ´ e definir a politica de gerenciamento de chaves, tamanho do KSK e ZSK, dura¸ c˜ ao das chaves Primeiro geramos a chave KSK, que ser´ a usada somente para a assinatura dos registros DNSKEY #mkdir -p /etc/bind/keys # dnssec-keygen -a rsasha1 -b 1280 -f KSK -r /dev/urandom exemplo-dnsec.br vai gerar um arquivo com o nome Kexemplo-dnssec.br+005+50148
extension DMS vx DNSSEC DNSSEC em sua zona DNSSEC no serv Configura¸ c˜ ao do Bind - gerando a chave KSK#2 Gerando a chave ZSK, que ser´ a usada somente para assinatura dos demais registros da zona dnssec-key -a rsasha1 -b 1152 -r /dev/urandom exemplo-dnsec.br gera um arquivo Kexemplo-dnsec.br.+005+39539
extension DMS vx DNSSEC DNSSEC em sua zona DNSSEC no serv Configura¸ c˜ ao do Bind #2 Inclui-l´ as no arquivo da zona. A chave que ser´ a inclusa ´ e a chave p´ ublica, tando da KSK quando da ZSK. Lembre-se de atualizar o Serial da zona depois da inclus˜ ao das chaves. Checar se nossa altera¸ c˜ ao, cont´ em algum problema: named-checkzone exemplo-dnssec.br /etc/bind/var/exemplo-dnssec.zone
extension DMS vx DNSSEC DNSSEC em sua zona DNSSEC no serv Assindo a zona #2 O procedimento de assinatura consistem em ordenar o arquivo da zona, gerar os registros NSEC, e assinar os RRsets da zona dnsse-signzone -K /etc/bind/keys -o exemplo-dnssec.br -g . altere o bind onde define a zone, para utilizar a versao assinada do arquivo zone. finalizando renicie o daemon do bind
extension DMS vx DNSSEC DNSSEC em sua zona DNSSEC no serv Divulgando a chave p´ ublica da KSK #2 Caso zona parent ja possui o DNSSEC implantando, vamos simplesmente solicitar a inclus˜ ao do registro DS na zona parent. Caso seu dominio esteja abaixo da zona .br, acesse a p´ agina de atualiza¸ c˜ ao de dados de seu dominio, no site do registro.br, fa¸ ca a inclus˜ ao do registro o arquivo dsset-exemplo-dnssec.br gerado na etapa anterior
extension DMS vx DNSSEC DNSSEC em sua zona DNSSEC no serv Configura¸ c˜ ao do DNSSEC #1 Primeiro prescisamos obter as chaves publicas da zona DNSSEC-habilitadas inclue no named.conf o bind.keys Adicionar a chave da zona raiz ao conjunto de gerenciadas do bind (managed-keys) Dizer para o bind usar a chave DLV do ISC na valida¸ c˜ ao das consultas DNS e ativar DNSSEC Agora basta reiniciar o daemon do bind para carregar essas novas configura¸ c˜ ao:
indirect
morihirok
nenonaninu
budougumi0617
qatonchan
hikarusato
sohsatoh
brainpadpr
bengo4com
yokawasa
takahashim
shazi7804
caitiem20
sergeychernyshev
maggiecrowley
bkeepers
skipperchong
morganepeng
jonrohan
eileencodes
malarkey
destraynor
gr2m
shlominoach
