La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

DNS Security Extensions (DNSSEC) Aplicaciones distribuidas avanzadas (curso 2002/2003) DNSSEC.

Publicada porVictoria del Río Araya Modificado hace 9 años

Presentaciones similares

Presentación del tema: "DNS Security Extensions (DNSSEC) Aplicaciones distribuidas avanzadas (curso 2002/2003) DNSSEC."— Transcripción de la presentación:

1 DNS Security Extensions (DNSSEC) Aplicaciones distribuidas avanzadas (curso 2002/2003) DNSSEC

2 lopezber@dit.upm.es Apartados Introducción a DNS. Vulnerabilidades en DNS. DNSSEC (RFC2535++). DNSSEC (TSIG/SIG0). DNSSEC KEY/SIG/NXT. Firma dominios locales. Redes de confianza (chain of trust). Caso práctico: Autenticación en BGP.

3 DNSSEC lopezber@dit.upm.es Introducción a DNS. Resolver Pregunta: www.dit.upm.es A www.dit.upm.es A ? Caching forwarder (recursive) root-server www.dit.upm.es A ? “ask es server @ ns1.nic.es” ns1.nic.es www.dit.upm.es A ? “ask upm server @ einstein.ccupm.upm.es” einstein.ccupm.upm.es “ ask dit server @ dns.dit.upm.es” 138.4.2.61 12 3 45 6 7 Add to cache 11 8 www.dit.upm.es A ? dns.dit.upm.es 10 www.dit.upm.es A ? 138.4.2.61 9

4 DNSSEC lopezber@dit.upm.es Introducción a DNS (II). master Caching forwarder resolver Zone administrator Zone file Dynamic updates 1 2 slaves 3 4 5

5 DNSSEC lopezber@dit.upm.es master Caching forwarder resolver Zone file Dynamic updates 1 2 slaves 3 Server protection 45 Corrupting data Impersonating master Unauthorized updates Cache impersonation Cache pollution by Data spoofing Data protection Vulnerabilidades en DNS

6 DNSSEC lopezber@dit.upm.es DNSSEC (RFC2535++) DNSEC ofrece: Protección entre servidores (master  slave). DNSSEC (TSIG/SIG0) permite la autenticación entre servidores, asegurando la transferencia de zonas. Protección datos. DNSSEC (KEY/SIG/NXT) establece mecanismos de autenticación e integridad de datos DNSSEC (DS) permite un mecanismo de seguridad distribuida basado en el establecimiento de redes de confianza (Chains of Trust) Una infraestructura de distribución de claves públicas ?? Posible utilidad en el establecimiento de túneles IPSEC dinámicos (Opportunistic IPSEC)

7 DNSSEC (TSIG/SIG0) Protección entre servidores Zone file slaves master Caching forwarder resolver Dynamic updates Unauthorized updates Impersonating master

8 DNSSEC lopezber@dit.upm.es Transaction Signature: TSIG TSIG (RFC 2845) Autenticación entre las partes basada en firmas digitales. Algoritmos HMAC-MD5. Uso de claves simétricas previamente establecidas. Independiente de otros servicios DNSSEC. Transaction Signature: TSIG SOA … SOA Sig... Master AXFR Slave KEY: %sgs!f23fv AXFR Sig... SOA … SOA Sig... Slave KEY: %sgs!f23fv verifica tion Query: AXFR Response: Zone

9 DNSSEC lopezber@dit.upm.es Transaction Signature: TSIG Configuración TSIG en BIND 9 generar claves simétricas # dnssec-keygen -a HMAC-MD5 -b 128 -n HOST master-slave.upm.es. configurar servidor secundario (slave) server 192.249.249.1 { keys { master-slave.upm.es.; }; }; configurar servidor primario (master) zone " upm.es" { type master; file "db.upm.es"; allow-transfer { key master-slave.upm.es.; }; };

10 DNSSEC KEY/SIG/NXT Autenticación e Integridad de datos Zone file slaves master Caching forwarder resolver Dynamic updates Cache pollution by Data spoofing cache Impersonation

11 DNSSEC lopezber@dit.upm.es DNSSEC New RRs Existentes en DNS: Resource Record: www.ripe.net. 7200 INA 192.168.10.3 RRset: conjunto de RRs www.ripe.net. 7200IN A192.168.10.3 A10.0.0.3 A172.25.215.2 Nuevas extensiones DNSSEC: SIG: firma de RRset, mediante clave privada. KEY: clave pública, necesaria para verificar SIG. DS: Delegation Signer, permite construir redes de confianza. NXT: Indica el siguiente RRset dentro de una zona necesario para autenticar la NO existencia de datos.

12 DNSSEC lopezber@dit.upm.es KEY RDATA 16 bits: FLAGS 8 bits: protocol 8 bits: algorithm N*32 bits: public key Example: ripe.net. 3600 IN KEY256 3 5 ( AQOvhvXXU61Pr8sCwELcqqq1g4JJ CALG4C9EtraBKVd+vGIF/unwigfLOA O3nHp/cgGrG6gJYe8OWKYNgq3kDChN)

13 DNSSEC lopezber@dit.upm.es SIG RDATA 16 bits - type covered 8 bits - algorithm 8 bits - nr. labels covered 32 bits - original TTL ripe.net. 3600 IN SIG A 1 2 3600 ( 20030604144523 20030504144523 3112 ripe.net. VJ+8ijXvbrTLeoAiEk/qMrdudRnYZM1VlqhN vhYuAcYKe2X/jqYfMfjfSUrmhPo+0/GOZjW 66DJubZPmNSYXw== )

14 DNSSEC lopezber@dit.upm.es NXT RDATA Especifica el siguiente registro en la zona. Permite comprobar la Inexistencia de un registro. $ORIGIN ripe.net. @SOA ….. NSNS.ripe.net. KEY ….. NXT mailbox.ripe.net. SOA NS NXT KEY SIG mailboxA192.168.10.2 NXT www.ripe.net. A NXT SIG WWWA192.168.10.3 NXT ripe.net. A NXT SIG Una consulta “ popserver.ripe.net ” tendr í a como resultado: aa bit set RCODE=NXDOMAIN authority: mailbox.ripe.net. NXT www.ripe.net. A NXT SIG

15 DNSSEC lopezber@dit.upm.es Generación pares claves (Zone Signing Key, Key Signing Key). Firma de la zona: ordenación alfabética. añade NXT records. incluye SIG records (firman cada RRset ). Distribución de clave pública, dos opciones: 1. La clave es distribuida a los interesados de forma “ manual ”. 2. incluyendo DS records (se establecen redes de confianza). Firma dominios locales

16 DNSSEC lopezber@dit.upm.es Firma dominios locales (II) $ORIGIN net. kids NS ns1.kids DS (…) 1234 SIG DS (…)net. money NS ns1.money DS (…) SIG DS (…)net. $ORIGIN kids.net. @ NS ns1 SIG NS (…) kids.net. KEY (…) (1234) KEY (…) (3456) SIG key … 1234 kids.net. … SIG key … 3456 kids.net. … beth A 127.0.10.1 SIG A (…) 3456 kids.net. … ns1 A 127.0.10.3 SIG A (…) 3456 kids.net. … Zone signing key Key signing key

17 DNSSEC lopezber@dit.upm.es Redes de confianza (chain of trust) net. money.net. kids.net. dop corp dev market dilbert unixmac marnick nt os.net. com. Out of band key-exchanges Secure entry points

18 DNSSEC lopezber@dit.upm.es Caso práctico: Autenticación en BGP.

19 DNSSEC lopezber@dit.upm.es DNSSEC amplía a DNS definiendo procedimientos, extensiones de seguridad. DNSSEC supone mayor complejidad (administrativa) que la versión actualmente en uso (DNS). DNSSEC permitiría definir una nueva forma (redundante, tolerante a fallos, distribuida) de autenticación de servicios basada en clave pública. En la actualidad DNSSEC es soportado por las últimas versiones de BIND, si bien es de esperar cambios en las especificaciones finales del protocolo. Conclusiones

Descargar ppt "DNS Security Extensions (DNSSEC) Aplicaciones distribuidas avanzadas (curso 2002/2003) DNSSEC."

Presentaciones similares

Servicios de directorio de Internet

Servicios de directorio de Internet
Enrutamiento, Movilidad y Calidad de Servicio en IPv6

Enrutamiento, Movilidad y Calidad de Servicio en IPv6
Servicio DNS.

Servicio DNS.
Kerberos Practica sobre Kerberos

Kerberos Practica sobre Kerberos
Servicios de DNS en LACNIC

Servicios de DNS en LACNIC
Jorge De Nova Segundo. Los servidores DMS que declaran zonas esclavas o secundarias obtienen los archivos de zona (los registros de recursos) de otros.

Jorge De Nova Segundo. Los servidores DMS que declaran zonas esclavas o secundarias obtienen los archivos de zona (los registros de recursos) de otros.
Registros de recursos DNS: - Formato general

Registros de recursos DNS: - Formato general
Seguridad del protocolo HTTP

Seguridad del protocolo HTTP
Servidores de nombres de dominio (DNS):

Servidores de nombres de dominio (DNS):
Transferencias de Zona:

Transferencias de Zona:
Servidores de nombres de dominio (DNS)

Servidores de nombres de dominio (DNS)
DNSSEC en .ES José Eleuterio López Red.es.

DNSSEC en .ES José Eleuterio López Red.es.
Seguridad en BGP Saulo Barajas Universidad Carlos III de Madrid

Seguridad en BGP Saulo Barajas Universidad Carlos III de Madrid
Introducción Presentación multimedia: Función de DNS en las infraestructuras de redes Instalar el servicio Servidor DNS Configurar las propiedades del.

Introducción Presentación multimedia: Función de DNS en las infraestructuras de redes Instalar el servicio Servidor DNS Configurar las propiedades del.
DIDACTIFICACION DE IPv6 3.2 Stateless. Introducción a IPv6 RFC 4862: Stateless Address Autoconfiguration (SLAC) En la configuración stateless los equipos.

DIDACTIFICACION DE IPv6 3.2 Stateless. Introducción a IPv6 RFC 4862: Stateless Address Autoconfiguration (SLAC) En la configuración stateless los equipos.
Servidores LAMP (Linux Apache MySQL PHP) ING CARLOS EDUARDO PUENTES F. UNIVERSIDAD MANUELA BELTRAN.

Servidores LAMP (Linux Apache MySQL PHP) ING CARLOS EDUARDO PUENTES F. UNIVERSIDAD MANUELA BELTRAN.
5. Sistemas de archivos avanzados1 Tema 5: Sistemas de Archivos Avanzados Resumen: –Sistema de archivos distribuido –File Replication Service.

5. Sistemas de archivos avanzados1 Tema 5: Sistemas de Archivos Avanzados Resumen: –Sistema de archivos distribuido –File Replication Service.
Redes de área local Unidad 2 O PERACIONES A UXILIARES CON T ECNOLOGÍAS DE LA I NFORMACIÓN Y LA C OMUNICACIÓN.

Redes de área local Unidad 2 O PERACIONES A UXILIARES CON T ECNOLOGÍAS DE LA I NFORMACIÓN Y LA C OMUNICACIÓN.
ESCALABILIDAD DE DIRECCIONES IP Semestre 4 Capítulo 1

ESCALABILIDAD DE DIRECCIONES IP Semestre 4 Capítulo 1
Seguridad en SIP Aplicaciones Distribuidas Avanzadas Doctorado Ingeniería Telemática Antonio Guerrero Junio 2003.

Seguridad en SIP Aplicaciones Distribuidas Avanzadas Doctorado Ingeniería Telemática Antonio Guerrero Junio 2003.

Presentaciones similares

Anuncios Google