DNSSEC v2

DNSSEC von Andreas Pfohl

Überblick • Wiederholung DNS • Was ist DNSSEC? • Was
kann ich mit DNSSEC machen? • Was sind die Probleme von DNSSEC? • Was muss ich tun, um DNSSEC zu nutzen?

• Domain Name System • Namensauflösung • Zone Records DNS

Namensauflösung - DNS www.netz39.de. 78.46.22.20

Records - DNS netz39.de. A 78.46.22.20 netz39.de. MX 10 mail
netz39.de. NS ns1.domain… mail A 78.46.22.20 www CNAME @

DNSSEC • DNS Security Extensions • Authentizität • Integrität

Man in the Middle - DNSSEC Client Nameserver Provider netz39.de.?
netz39.de.? 78.46.22.20 17.142.160.59

Key Man in the Middle - DNSSEC Client Nameserver Provider
netz39.de.? netz39.de.? 78.46.22.20 + Signatur 17.142.160.59 + Signatur Key failed

Schlüssel - DNSSEC • Public Key Cryptography • Zone-Signing-Key •
Key-Signing-Key • Chain of Trust

Chain of Trust - DNSSEC . ZSK DS com. KSK
ZSK DS example.com. KSK ZSK Trust Anchor KSK KSK A

Anwendungen • Sicherer Verbindungsaufbau • Mail Exchange • SSH Fingerprints
• GnuPG Schlüssel • DANE

Mail - Anwendungen • MX Record • Mailserver gehört zur
Domain

SSH - Anwendungen • SSHFP Record • Korrekte SSH-Keys •
Überprüfung bei Verbindungsaufbau

GnuPG - Anwendungen • OPENPGPKEY Record • Public-Keys im DNS
• Domain-Verifizierung

DANE - Anwendungen • DNS-based Auth. of Named Entities •
TLSA Record • Fingerprints von Zertifikaten • Zertifikat gehört zu Server/Port

Probleme • Denial of Service Angriffe • DNS Amplification Attacks
• Zone Walking • Verifizierung

Probleme • Root-Key von USA verwaltet • Hohe Fehlerrate bei
Implementierung • Schwer zu verstehen • Alte Kryptographie

Voraussetzungen • Registrar unterstützt DNSSEC • Registrar trägt DS-Records ein
• Eigene Domain • Eigene Nameserver

OwnDNS.io • Eigene Experimentier-Domain • [email protected] • Besseres Verständnis des
DNS • Verbreitung von DNSSEC • Tutorials

Workshop • September 2015 • Eigener Nameserver • Eigene Domain
• DNSSEC

Danke E-Mail: [email protected] Twitter: @andreaspfohl

DNSSEC v2

DNSSEC v2

Andreas Pfohl

More Decks by Andreas Pfohl

Other Decks in Technology

Featured

Transcript

DNSSEC von Andreas Pfohl

Überblick • Wiederholung DNS • Was ist DNSSEC? • Was

• Domain Name System • Namensauflösung • Zone Records DNS

Namensauflösung - DNS www.netz39.de. 78.46.22.20

Records - DNS netz39.de. A 78.46.22.20 netz39.de. MX 10 mail

DNSSEC • DNS Security Extensions • Authentizität • Integrität

Man in the Middle - DNSSEC Client Nameserver Provider netz39.de.?

Key Man in the Middle - DNSSEC Client Nameserver Provider

Schlüssel - DNSSEC • Public Key Cryptography • Zone-Signing-Key •

Chain of Trust - DNSSEC . ZSK DS com. KSK

Anwendungen • Sicherer Verbindungsaufbau • Mail Exchange • SSH Fingerprints

Mail - Anwendungen • MX Record • Mailserver gehört zur

SSH - Anwendungen • SSHFP Record • Korrekte SSH-Keys •

GnuPG - Anwendungen • OPENPGPKEY Record • Public-Keys im DNS

DANE - Anwendungen • DNS-based Auth. of Named Entities •

Probleme • Denial of Service Angriffe • DNS Amplification Attacks

Probleme • Root-Key von USA verwaltet • Hohe Fehlerrate bei

Voraussetzungen • Registrar unterstützt DNSSEC • Registrar trägt DS-Records ein

OwnDNS.io • Eigene Experimentier-Domain • [email protected] • Besseres Verständnis des

Workshop • September 2015 • Eigener Nameserver • Eigene Domain

Danke E-Mail: [email protected] Twitter: @andreaspfohl