encarna torado Universidad Polit cnica de Madrid

Document Sample
encarna torado Universidad Polit cnica de Madrid Powered By Docstoc
					                                    DNSSEC


DNS Security Extensions
(DNSSEC)

  Aplicaciones distribuidas avanzadas
           (curso 2002/2003)
                                                  DNSSEC

    Apartados
   Introducción a DNS.
   Vulnerabilidades en DNS.
   DNSSEC (RFC2535++).
   DNSSEC (TSIG/SIG0).
   DNSSEC KEY/SIG/NXT.
   Firma dominios locales.
   Redes de confianza (chain of trust).
   Caso práctico: Autenticación en BGP.

                                           lopezber@dit.upm.es
                                                                                 DNSSEC

     Introducción a DNS.
 Pregunta: www.dit.upm.es A


                                     2
           1
                                         www.dit.upm.es A ?       root-server
     www.dit.upm.es A ?                                    3 “ask es server @ ns1.nic.es”
Resolver                  Caching             4
           138.4.2.61   forwarder            www.dit.upm.es A ?
                   10
                        (recursive)                                 ns1.nic.es
                                              5   “ask upm server @ einstein.ccupm.upm.e
                  11
               Add to cache
                                 8                     6    www.dit.upm.es A ?
                          9
                    138.4.2.61   www.dit.upm.es A ?
                                                            einstein.ccupm.upm.es
                        dns.dit.upm.es             7
                                                  “ ask dit server @ dns.dit.upm.es”
                                                                          lopezber@dit.upm.es
                                                         DNSSEC

      Introducción a DNS (II).
Zone administrator
                  1
                                   4
 Zone file            master           Caching forwarder

              2
                               3                        5

  Dynamic
  updates
                      slaves                         resolver




                                                  lopezber@dit.upm.es
                                                                           DNSSEC

      Vulnerabilidades en DNS
Corrupting data           Impersonating master
                                                                 Cache impersonation
                      1
                                             4
   Zone file              master                     Caching forwarder

                  2
                                   3                                        5
   Dynamic
   updates
                          slaves                                         resolver
                                           Cache pollution by
                                             Data spoofing
      Unauthorized updates




           Server protection                                       lopezber@dit.upm.es
                                                      Data protection
                                                             DNSSEC

DNSSEC (RFC2535++)
DNSEC ofrece:
   Protección entre servidores (masterslave).
       DNSSEC (TSIG/SIG0) permite la autenticación entre
        servidores, asegurando la transferencia de zonas.
   Protección datos.
       DNSSEC (KEY/SIG/NXT) establece mecanismos de
        autenticación e integridad de datos
       DNSSEC (DS) permite un mecanismo de seguridad
        distribuida basado en el establecimiento de redes de
        confianza (Chains of Trust)
   Una infraestructura de distribución de claves
    públicas ??
       Posible utilidad en el establecimiento de túneles IPSEC
        dinámicos (Opportunistic IPSEC)
                                                      lopezber@dit.upm.es
       DNSSEC (TSIG/SIG0)
     Protección entre servidores
                            Impersonating master


 Zone file        master                      Caching forwarder



Dynamic
updates            slaves

                                                            resolver

  Unauthorized updates
                                                                       DNSSEC

Transaction Signature: TSIG
Transaction Signature: TSIG
   TSIG (RFC 2845)
          Autenticación entre las partes basada en firmas digitales.
          Algoritmos HMAC-MD5.
          Uso de claves simétricas previamente establecidas.
          Independiente de otros servicios DNSSEC.
                      AXFR      Query: AXFR      AXFR

                      Sig ...                    Sig ...verification


           Slave                                    Master
            KEY:                                      KEY:
         %sgs!f23fv                                %sgs!f23fv



          SOA                                     SOA
          …                                       …
          SOA
         Sig ...                                  SOA
                                                 Sig ...
verifica                        Response: Zone
  tion                                                          lopezber@dit.upm.es
                                                                      DNSSEC

Transaction Signature: TSIG
Configuración TSIG en BIND 9
 generar claves simétricas
       # dnssec-keygen -a HMAC-MD5 -b 128 -n HOST master-slave.upm.es.

   configurar servidor secundario (slave)
       server 192.249.249.1 {
                    keys { master-slave.upm.es.; };
        };
   configurar servidor primario (master)
       zone " upm.es" {
               type master;
               file "db.upm.es";
               allow-transfer { key master-slave.upm.es.; };
               };



                                                               lopezber@dit.upm.es
      DNSSEC KEY/SIG/NXT
Autenticación e Integridad de datos
                                            cache Impersonation


  Zone file   master               Caching forwarder



 Dynamic
 updates      slaves

                                                   resolver
                       Cache pollution by
                         Data spoofing
                                                              DNSSEC

DNSSEC New RRs
   Existentes en DNS:
       Resource Record:
         www.ripe.net.   7200    IN    A       192.168.10.3
       RRset: conjunto de RRs
         www.ripe.net.   7200    IN    A       192.168.10.3
                                       A       10.0.0.3
                                       A       172.25.215.2

   Nuevas extensiones DNSSEC:
       SIG: firma de RRset, mediante clave privada.
       KEY: clave pública, necesaria para verificar SIG.
       DS: Delegation Signer, permite construir redes de
        confianza.
       NXT: Indica el siguiente RRset dentro de una zona
          necesario para autenticar la NO existencia de datos.


                                                      lopezber@dit.upm.es
                                           DNSSEC

KEY RDATA
 16 bits: FLAGS
 8 bits: protocol

 8 bits: algorithm

 N*32 bits: public key

Example:
ripe.net. 3600 IN KEY       256 3 5 (
             AQOvhvXXU61Pr8sCwELcqqq1g4JJ
             CALG4C9EtraBKVd+vGIF/unwigfLOA
             O3nHp/cgGrG6gJYe8OWKYNgq3kDChN)


                                    lopezber@dit.upm.es
                                                 DNSSEC

 SIG RDATA
    16 bits - type covered
    8 bits - algorithm
    8 bits - nr. labels covered
    32 bits - original TTL

ripe.net. 3600 IN SIG A 1 2 3600 (
         20030604144523 20030504144523 3112 ripe.net.
         VJ+8ijXvbrTLeoAiEk/qMrdudRnYZM1VlqhN
         vhYuAcYKe2X/jqYfMfjfSUrmhPo+0/GOZjW
         66DJubZPmNSYXw== )

                                          lopezber@dit.upm.es
                                                             DNSSEC

NXT RDATA
   Especifica el siguiente registro en la zona.
   Permite comprobar la Inexistencia de un registro.
            $ORIGIN ripe.net.
            @   SOA       …..
                       NS       NS.ripe.net.
                       KEY         …..
                       NXT      mailbox.ripe.net. SOA NS NXT KEY
              SIG
            mailbox    A        192.168.10.2
                       NXT      www.ripe.net. A NXT SIG
            WWW        A        192.168.10.3
                       NXT       ripe.net. A NXT SIG
   Una consulta “popserver.ripe.net” tendría como resultado:
        aa bit set   RCODE=NXDOMAIN
        authority: mailbox.ripe.net.    NXT www.ripe.net.     A NXT
          SIG



                                                      lopezber@dit.upm.es
                                                              DNSSEC

Firma dominios locales
       Generación pares claves (Zone Signing Key, Key
        Signing Key).
       Firma de la zona:
         ordenación alfabética.
         añade NXT records.
         incluye SIG records (firman cada RRset).
       Distribución de clave pública, dos opciones:
    1. La clave es distribuida a los interesados de forma “manual”.
    2. incluyendo DS records (se establecen redes de confianza).




                                                       lopezber@dit.upm.es
                                                                       DNSSEC

         Firma dominios locales (II)
                                                                Key signing key
                                          $ORIGIN kids.net.

$ORIGIN net.                              @ NS     ns1
                                            SIG   NS (…) kids.net.
kids NS   ns1.kids                          KEY   (…) (1234)
     DS (…) 1234                            KEY   (…) (3456)
     SIG DS (…)net.                         SIG   key … 1234 kids.net. …
                                            SIG   key … 3456 kids.net. …
money NS   ns1.money
      DS   (…)         Zone signing key   beth    A 127.0.10.1
      SIG DS (…)net.                              SIG A (…) 3456 kids.net. …
                                          ns1     A 127.0.10.3
                                                  SIG A (…) 3456 kids.net. …




                                                                lopezber@dit.upm.es
                                                             DNSSEC

Redes de confianza (chain of trust)

                 net.              com.


       money.net. kids.net.        os.net.

                                                  Secure entry points
      corp      dop               mac     unix   nt
                        marnick
dev   market dilbert
                                   Out of band key-exchanges




                                                      lopezber@dit.upm.es
                                                                                                                                                                       DNSSEC

Caso práctico: Autenticación en BGP.
                       192.168.11.0/24  AS100

                                                                                                          DNSSEC
 ARIN



         192.168.11.0/24  AS100


                                                                              ¿195.1.92.0/26 ? AS400 ?
                                                                              ¿195.1.90.0/26 ? AS400 ?


              192.168.12.16/28                                                                                             ¿192.168.11.0/24 ? AS100 ?
                                  AS 100                                                                                   ¿192.168.12.0/24 ? AS100 ?
                                                  192.168.12.0/28


  192.168.14.0/24


                                                                               192.168.11.0/24
                                                                               192.168.12.0/22
                                                                                    BGP
                          192.168.11.0/24                      192.     RB1



                                                                                                          19 .1.86
                                                                                                           19 BG
                                                                                    P 0/2 6




                                                                                                            5.1
                                                                                 BG 90. .0/2
                                                                                         6




                                                                                                             5
                                                                                                               .88 .0/26
                                                                                   1. 2
                                                                                 5. .9
                                                                               19 95.1




  192.168.15.0/24                                                                                                 .0/
                                                                                                                    P

                                                                                                                     26
                                                                                 1




               192.168.12.64/28
                                                                                     RB4
                                      192.168.12.80/28                                                                     RB3

                                                                                                                                          195.1.88.0/26
                                                                                                                                         RRC1


                                                                                           AS 400
                                                                      RRE1
                                                                                                                                                          AS
                                               195.1.92.0/26                              RRD1
                                                                                                                                                          300
                                                                                                                                  195.1.86.0/26
                                                                                                                                 RRB1
                                                                                          195.1.90.0/26

                                                                                                                                                                lopezber@dit.upm.es
                                                            DNSSEC

Conclusiones
   DNSSEC amplía a DNS definiendo procedimientos,
    extensiones de seguridad.
   DNSSEC supone mayor complejidad (administrativa) que la
    versión actualmente en uso (DNS).
   DNSSEC permitiría definir una nueva forma (redundante,
    tolerante a fallos, distribuida) de autenticación de servicios
    basada en clave pública.
   En la actualidad DNSSEC es soportado por las últimas
    versiones de BIND, si bien es de esperar cambios en las
    especificaciones finales del protocolo.




                                                     lopezber@dit.upm.es

				
DOCUMENT INFO
Shared By:
Categories:
Tags:
Stats:
views:15
posted:3/30/2011
language:Spanish
pages:19