DNSSEC. Jarle Greipsland. Norid

DNSSEC Jarle Greipsland Norid 2013 12 04

Outline DNSSEC repetisjon DNSSEC hos Norid Norids registreringsystem Norids registreringsystem DNSSEC hos registrarene DNSSEC - mål for aktiviteten Spørsmål og svar

Hva er problemet?.no NS Root.no DNS A? q868.vg.no no NS... A? q868.vg.no vg.no NS... A? q868.vg.no ISP resolver A? q868.vg.no? <> vg.no NS ns.vg.no ns.vg.no A 6.6.6.6 Bruker applikasjon vg.no NS vg.no DNS NXDOMAIN NS ns-foo.linpro.net Angriper Falsk NS vg.no IP=6.6.6.6

DNSSEC egenskaper Autentisering av avsender Integritetskontroll for DNS data Ingen kondidensialitet / kryptering av data Pre-beregning av data, dvs. ikke store beregningsbehov ved publisering Beskytter ikke mot DoS-angrep Signaleringsmekanismer mellom autoritativ navnetjener og resolver om bruken av DNSSEC Bakoverkompatibel de usikrede delene av DNS fungerer som før

DNSSEC byggeklosser Hash-funksjoner ( enveisfunksjoner ) Matematisk funksjon over en angitt datamengde Lite ressurskrevende å beregne Resultat utgjør (vanligvis) mindre datamengde enn opprinnelig Umulig å gå fra resultat til opprinnelig datamengde 0 sjanse for å finne to datamengder med samme hash-verdi Hashverdien kan i noen sammenhenger behandles som representant for datamengde. Offentlig nøkkel-kryptografi Nøkkelpar En privat/hemmelig nøkkel En offentlig/publisert nøkkel En signatur generert over et datasett av den private nøkkelen kan valideres av den offentlige nøkkelen

Signert sone ZSK secret key www A 158.38.130.37 www RRSIG A 5 3 60... RRSIG er signatur generert over postsettet RRSIG har gyldig fra/gyldig til tidsmerker (UTC) RRSIG er statisk, varierer ikke per oppslag

Signert sone med NSEC-poster ZSK secret key www A 158.38.130.37 www RRSIG A 5 3 60... www NSEC zzz A RRSIG NSEC www RRSIG NSEC 5 2 60...... ingen navn her... zzz A 1.2.3.4 NSEC kan benekte eksistens av navn i gitt intervall NSEC kan benekte eksistens av posttyper for noden

Signert sone med KSK /ZSK @ DNSKEY 257 3 5 AwEAAZY... @ DNSKEY 256 3 5 AwEAAc5... @ RRSIG DNSKEY 5 1... KSK secret key ZSK secret key www A 158.38.130.37 www RRSIG A 5 3 60... Ønsker å jevnlig bytte ut ZSK. Publiserer ZSK og KSK i DNSKEY-poster KSK brukes kun til å signere DNSKEY-settet

Signert delegering @ DNSKEY 256 3 5 AwEAAc5... del NS ns1.del.no. del RRSIG NS 5 2... del DS 18937 B5C4... del RRSIG DS 5 2... @ DNSKEY 257 3 5 AwEAAdhJA... @ DNSKEY 256 3 5 BQEAA... @ NS ns1.del.no. @ RRSIG DNSKEY 5 2... ZSK secret key KSK secret key ZSK secret key DS (delegation signer) er en hash av en KSK fra barnsonen

Nye posttyper for DNSSEC host.example.com. 86400 IN RRSIG A 5 3 86400 ( 20030322173103 20030220173103 2642 example.com. ojb1w6wngv+ldvq3wdg0mqkg5iehjrip8wtr PYGv07h108dUKGMeDPKijVCHX3DDKdfb+v6o B9wfuh3DTJXUAfI/M0zmO/zz8bW0Rznl8O3t GNazPwQKkRN20XPXV6nwwfoXmJQbsLNrLfkG J5D6fwFm8nN+6pBzeDQfsS3Ap3o= ) alfa.example.com. 86400 IN NSEC host.example.com. ( A MX RRSIG NSEC TYPE1234 )

Nye posttyper for DNSSEC dskey.example.com. 86400 IN DNSKEY 256 3 5 ( AQOeiiR0GOMYkDshWoSKz9Xz fwjr1aytsmx3tgkjanxvbfi/ 2pHm822aJ5iI9BMzNXxeYCmZ DRD99WYwYqUSdjMmmAphXdvx egxd/m5+x7orzkbambcvdflu Uh6DhweJBjEVv5f2wwjM9Xzc nof+epbtg9dmbmadjfdc2w/r ljwvfw== ) ; key id = 60485 dskey.example.com. 86400 IN DS 60485 5 1 ( 2BB183AF5F22588179A53B0A98631FAD1A292118 )

DNSSEC med validering Root Secret KSK Root A? q868.vg.no no NS... A? q868.vg.no Root Public KSK ISP resolver A? q868.vg.no Bruker applikasjon.no NS.no DNS vg.no NS... vg.no DS 5 2 10F6... vg.no RRSIG DS 5 2... <> vg.no NS ns.vg.no ns.vg.no A 6.6.6.6 vg.no NS vg.no DNS Angriper Falsk NS vg.no IP=6.6.6.6 En validerende resolver kan signalisere at den kan DNSSEC En publiserende navnetjener kan sende med ekstra-informasjon

DNSSEC med validering Root Secret KSK Root A? q868.vg.no no NS... A? q868.vg.no Root Public KSK ISP resolver A? q868.vg.no Bruker applikasjon.no NS.no DNS vg.no NS... A? q868.vg.no <> vg.no NS ns.vg.no ns.vg.no A 6.6.6.6 vg.no NS vg.no DNS Angriper NXDOMAIN vg.no SOA... vg.no RRSIG SOA... Falsk NS vg.no IP=6.6.6.6 vg.no NSEC a.vg.no NS SOA NSEC RRSIG... vg.no RRSIG NSEC 5 2... post.vg.no NSEC www.vg.no A NSEC RRSIG... post.vg.no RRSIG NSEC 5 2...

NSEC3 Problem: Zone walking Kan følge NSEC-postene gjennom alle navnene i en sone Gir istedet bevis for ikke-eksistens i et hashet navnerom a b c d e ax/l8x9...nsec3 e33ixaa... e33ixaa...nsec3 gnh09qv... gnh09qv...nsec3 jaa1+kf... jaa1+kf...nsec3 muu8vpx... muu8vpx...nsec3 x8halp7... Dersom H(qname) er dekket av en NSEC3-post finnes ikke navnet.

DNSSEC, Norid, registrarer,... Norid Signert sonefil m/ds-poster Root DNS EPP m/ds.no NS + DS Registrar Nøkkelansvarlig.no DNS DNSKEY DS Usignert sone Signert sone vg.no NS + DS Abonnent DNSKEY DS Soneeditor vg.no DNS

Nøkkelrullering Dobbelsignering? 1. Utgangsposisjon: én ZSK, signert alle RR-sett. 2. Generer ny ZSK, signer alle RR-sett med begge nøklene, og nytt DNSKEY-sett med KSK. 3. Fjern gammel ZSK og dens signaturer, resigner DNSKEY-sett med KSK. eller ikke? 1. Utgangsposisjon: én ZSK, signert alle RR-sett. 2. Generer ny ZSK, addér til DNSKEY-sett, signer dette med KSK. 3. Signer alle RR-sett med ny ZSK, fjern signaturer fra gammel ZSK. 4. Fjern gammel ZSK, resigner DNSKEY-settet.

Bytte av DNS-operatør Samarbeidende DNS-operatører: Ingen utveksling av hemmelige nøkler Gammel og ny DNS-operatør publiserer (og signerer) hverandres KSK i tillegg til egen. DS-poster for begge KSK ene publiseres i mor-sonen. Delegering endres. Gammel DS-post fjernes. Ved ikke-samarbeidende DNS-operatører kan en måtte avsikre registreringen mens redelegeringen pågår.

Nye muligheter Kan stole på sikkerhetskritiske data i DNS dersom en kan stole på DNS. SSHFP. Kan publisere offentlig del av hostnøkkel for ssh-tjenere. IPSECKEY. Samme for ipsec-anvendelser. TLSA. Kan angi hvilke (få) sertifikatutstedere (av mange) som er gyldige for tjenester tilknyttet et domene. _443._tcp.www.example.com. IN TLSA ( 0 0 1 d2abde240d7cd3ee6b4b28c54df034b9 7983a1d16e8a410e4561cb106618e971 )

Sonefilproduksjon uten DNSSEC Publiseringsnode Publiseringsnode Sonefilgenerering i.nic.no x.nic.no... z.nic.no Robustifiserer distribusjon av sonefiler Genererer sonefiler som før, men automatisk og (etterhvert) hyppigere. Overføres til distribusjonsmaskinene Overføres derfra til slavenavnetjenere på vanlig måte.

Sonefilproduksjon med DNSSEC Publiseringsnode Publiseringsnode Sonefilgenerering DNSSECsignering i.nic.no x.nic.no... z.nic.no Egen maskin for signering ( bump on the wire ). OpenDNSSEC som signeringsprogramvare.

Om OpenDNSSEC Key and Signing Policy KASP Enforcer Security Module Input adapter Unsigned zone Signer Engine Signed zone Output adapter Konfigurasjon av Key and Signing Policy: Nøkkel-typer, -lengder og -levetid NSEC eller NSEC3? Signaturintervaller Én policy kan brukes av flere soner Forsinkelsesestimater

OpenDNSSEC hos Norid Security Module? I starten Soft-HSM Vurdere anskaffelse av fysisk HSM i 2014. NSEC3 med opt-out DS-poster fra registrydatabase DNSKEY- / NSEC3PARAM-poster fra OpenDNSSEC. Ellers følge anbefalinger fra bl.a. IETF.

Utrulling Utrullingssteg: Nytt opplegg for distribusjon av sonefiler. Testsignering og nøkkelrullering med.sj. Publisere ikke-validerbar soner. Publisere validerbaree soner. Sikret delegering av.no. Tilby sikrede registreringer. Kvalitetssikring: Har konsultert med referansegruppe av registrarer. Har bedt IIS (.se) om å gjøre en risikoanalyse av DNSSEC-oppsettet vårt.

Norids EPP-grensesnitt Bruker standard EPP-utvidelse (RFC-5910) Vil støtte <secdns:dsdata>-formatet. Kan legge til <secdns:keydata> som valgfritt element. Om elementet finnes vil Norid validere at DNSKEY og DS matcher. Vil tillate de aller fleste hash-algoritmer og signeringsalgoritmer. Liste over gyldige valg vil bli publisert. Vil kreve at minst én av DS-postene kan brukes til å validere soneinnhold. Alle registrarer må kunne avsikre et domene.

Norids EPP-grensesnitt Bruk av <secdns:dsdata> som del av create-kommando: <secdns:dsdata> <secdns:keytag>12345</secdns:keytag> <secdns:alg>3</secdns:alg> <secdns:digesttype>1</secdns:digesttype> <secdns:digest>49fd46e6c4b45c55d4ac</secdns:digest> </secdns:dsdata> Bruk av <secdns:dsdata> med <secdns:keydata> som del av create-kommando: <secdns:dsdata> <secdns:keytag>12345</secdns:keytag> <secdns:alg>3</secdns:alg> <secdns:digesttype>1</secdns:digesttype> <secdns:digest>49fd46e6c4b45c55d4ac</secdns:digest> <secdns:keydata> <secdns:flags>257</secdns:flags> <secdns:protocol>3</secdns:protocol> <secdns:alg>1</secdns:alg> <secdns:pubkey>aqpj////4q==</secdns:pubkey> </secdns:keydata>

Registrarbytte Ikke alle registrarer må støtte DNSSEC. Hva om et sikret domene flyttes til en ikke-dnssec-kapabel registrar? Nekte overføringen? Fjerne DNSSEC-informasjon som del av overføringen? (.nl gjør dette) Beholde DNSSEC-informasjonen? (.se gjør dette) Kreve at alle registrarer må kunne avsikre domener? Flagg for å markere at en registrar er DNSSEC-kapabel. Autostripp -flagg i tillegg?

DNS-operatør Signeringsløsning: Integrasjon med eksisterende systemer? Redigerer abonnenten DNS-innhold selv? Hvem skal generere og rullere nøkler? Hvor ofte? Tilstrekkelig god tilfeldig-tall-kilde? Skalering: Hvor mange signerte soner? Gjenbruke nøkler for flere soner? Hva slags nøkler? Nøkkellengder? NSEC eller NSEC3? Levetid for signaturer vs. levetid for poster? Vedlikehold må automatiseres! RFC-6781 har mange gode tips

Registraren som data-formidler Abonnenten har selv ansvaret for DNS: Registraren må kunne motta DNSSEC-data fra abonnenten En eller flere DS-poster? En eller flere DNSKEY-poster? Begge deler? Skal registrarens systemer støtte sekvenser av operasjoner? F.eks. ved nøkkelrullering?

Registraren som faglig kontaktpunkt Hvilke råd om DNSSEC skal en gi abonnenten? Hvilke alternativer tilbyr registraren? Hjelp til konfigurasjon? Hjelp til feilsøking? Hjelp til å formidle informasjon?

Sikret (nasjonal) infrastruktur Langsiktige mål: (Nesten) alle.no-domener er sikret med DNSSEC. (Nesten) alle resolvere validerer DNS-oppslag. Hvordan kommer vi dit? Norid vil sponse DNSSEC hos registrarene. Ser på utbetalingsmodeller à la.se og.nl. Kurs for registrarene. Standard DNS-kurs. Kurs om ymse DNSSEC-relaterte emner. Mer informateriell om DNSSEC på Norid websider (kommer!) Skal få ut test-systemer så snart vi klarer. Vil koordinere med resolveroperatører. Samarbeide med norske myndigheter.

Spørsmål?