DNSSEC - PowerPoint PPT Presentation

1 / 22
About This Presentation
Title:

DNSSEC

Description:

No lo s , pero te digo el servidor DNS. de .es (nombre e ... (dejan obsoleta la RFC 2535 de mar99) DNSSEC aporta. autentificaci n e integridad de datos al DNS ... – PowerPoint PPT presentation

Number of Views:80
Avg rating:3.0/5.0
Slides: 23
Provided by: sauloN2
Category:
Tags: dnssec | dejan

less

Transcript and Presenter's Notes

Title: DNSSEC


1
DNSSEC
Universidad Carlos III de Madrid Internet
Avanzado Saulo Barajas12feb04
2
Contenido
  • Repaso de DNS (resolución, zonas, servidores...)
  • Aspectos de seguridad
  • DNSSEC
  • Nuevos registros
  • Funcionamiento
  • Autentificación de servidores
  • Conclusiones
  • Preguntas y comentarios

3
Resolución DNS
Pregunta www.ejemplo.es A
DNS raíza.root-servers.net
Cliente (resolver)
Servidor caché (caching forwarder)
4
Flujo de datos
Archivo de zona
Actualizaciones dinámicas
Cliente(resolver)
Pre gunta yres puesta
Modificaciones de zona
Comunicacióncaché-servidores
Servidor DNS primario de la zona
Servidorcaché
Transferencias de zona
Servidor DNS secundario 1 de la zona
Servidor DNS secundario n de la zona
  • DNSSEC
  • Autent. servidores

5
Aspectos de seguridad
  • Cómo sabemos que la respuesta que recibimos
    (por ejemplo, la IP de nuestro banco) es
    correcta?
  • Los datos pueden haber sido modificados en
    tránsito ? integridad
  • Los datos pueden proceder de un servidor
    suplantador ? autenticidad
  • Cómo sabe un servidor secundario que está
    hablando con el verdadero primario? ?
    autentificar los servidores
  • Se podrían introducir datos inválidos en el
    servidor primario ? firmar los datos

6
DNSSEC
  • Domain Name System Security Extensions
  • Estado actual (drafts dic03)
  • I-D.ietf-dnsext-dnssec-intro
  • I-D.ietf-dnsext-dnssec-records
  • I-D.ietf-dnsext-dnssec-protocol
  • (dejan obsoleta la RFC 2535 de mar99)
  • DNSSEC aporta autentificación e integridad de
    datos al DNS
  • Para ello se firmarán los registros (RRset) de
    la zona y el resolver verificará las firmas. A la
    zona se añaden nuevos registros con claves,
    firmas...

7
Qué es un RR?
  • Una zona es una porción del espacio de nombres
    de dominio (un dominio y puede que subdominios).
  • La información de una zona se almacena en un
    servidor en forma de un archivo de texto formado
    por RRs (Resource Records).
  • Ejemplo

Nombre (propietario)
TTL
Clase
Tipo
RDATA
brythunia.uc3m.es. 7200 IN A
163.117.136.92
8
Nuevos RRs de DNSSEC
  • DNSKEY ? Contiene una clave pública de DNSSEC.
    Esta clave se utilizará para verificar las firmas
    (hechas con la clave privada asociada).
  • RRSIG ? Firma (signature) de un RRset según una
    clave. Un RRset es un conjunto de RRs con igual
    propietario, clase y tipo.
  • NSEC ? Indica los tipos de RRsets con un mismo
    nombre (propietario) y el siguiente nombre.
    Demuestra la falta de datos.
  • DS (Delegation Signer)? Registro situado en el
    padre que apunta a la zona delegada hija. Permite
    extender la confianza a zonas delegadas.

9
Registro DNSKEY
dominio.com. 86400 IN DNSKEY 256 3 5 (
AQPSKmynfzW4kyBv015MUG2DeIQ3Cbl BBZH4b/0PY1kxkmv
HjcZc8nokfzj31GajIQK Y5CptLr3buXA10hWqTkF7H6RfoR
qXQeog mMHfpftfMv1LyBUgia7za6ZEzOJBOztyvhjL7 42i
U/TpPSEDhm2SNKLijfUppn1UaNvv4w )
10
Registro DNSKEY
dominio.com. 86400 IN DNSKEY 256 3 5 (
AQPSKmynfzW4kyBv015MUG2DeIQ3Cbl BBZH4b/0PY1kxkmv
HjcZc8nokfzj31GajIQK Y5CptLr3buXA10hWqTkF7H6RfoR
qXQeog mMHfpftfMv1LyBUgia7za6ZEzOJBOztyvhjL7 42i
U/TpPSEDhm2SNKLijfUppn1UaNvv4w )
11
Registro RRSIG
www.saulo.net. 86400 IN RRSIG A 5 3 86400
20040311170359 ( 20040211170359 2642
saulo.net. oJB1W6WNGvldvQ3WDG0MQkg5IEhjRip8 WTr
PYGv07h108dUKGMeDPKijVCHX3DDKd fbv6oB9wfuh3DTJXU
AfI/M0zmO/zz8bW0Rz nl8O3tGNazPwQKkRN20XPXV6nwwfoX
mJQb sLNrLfkGJ5D6fwFm8nN6pBzeDQfsS3Ap3o )
12
Registro RRSIG
Fecha de expiración
www.saulo.net. 86400 IN RRSIG A 5 3 86400
20040312180359 ( 20040212180359 2642
saulo.net. oJB1W6WNGvldvQ3WDG0MQkg5IEhjRip8 WTr
PYGv07h108dUKGMeDPKijVCHX3DDKd fbv6oB9wfuh3DTJXU
AfI/M0zmO/zz8bW0Rz nl8O3tGNazPwQKkRN20XPXV6nwwfoX
mJQb sLNrLfkGJ5D6fwFm8nN6pBzeDQfsS3Ap3o )
13
Registro RRSIG
En este ejemplo, la firma corresponde al RRset
www.saulo.net IN A (utilizando la clave con
tag 2642 y algoritmo RSA-SHA1 de la zona
saulo.net.)
Fecha de expiración
www.saulo.net. 86400 IN RRSIG A 5 3 86400
20040312180359 ( 20040212180359 2642
saulo.net. oJB1W6WNGvldvQ3WDG0MQkg5IEhjRip8 WTr
PYGv07h108dUKGMeDPKijVCHX3DDKd fbv6oB9wfuh3DTJXU
AfI/M0zmO/zz8bW0Rz nl8O3tGNazPwQKkRN20XPXV6nwwfoX
mJQb sLNrLfkGJ5D6fwFm8nN6pBzeDQfsS3Ap3o )
14
Registro NSEC
Fecha de expiración
host1.dominio.com. 86400 IN NSEC host3.dominio.co
m. ( A RRSIG NSEC )
Este registro prueba que, por ej.,
host2.dominio.com NO existe.También prueba que
host1 NO tiene asociado un RR MX, p. ej.
15
Registro DS (Delegation Signer)
Fecha de expiración
(en la zona com.)dominio.com. 86400 IN DS 60485
5 1 ( 2BB183AF5F22588179A53B0A 98631FAD1A292118
) (en la zona delegada
dominio.com.)dominio.com. 86400 IN DNSKEY 256 3
5 ( AQOeiiR0GOMYkDsh.... ....) KSK tag
60485
16
Claves de una zona
Fecha de expiración
En cada zona se almacenan dos claves
ZSK (Zone-Signing-Key)
KSK (Key-Signing-Key)
17
Cadena de confianza
Almacenada localmente clave confianza . 8907
Fecha de expiración
Zona .
Zona com.
Zona dom.com.
18
Cómo autentificar una respuesta
Almacenada localmente clave confianza . 8907
com. DNSKEY ..feOP.. KSK 7834 DNSKEY ..O56f..
ZSK 5612 RRSIG DNSKEY .. 7834 net.
1fii..dom.com. DS 4252 ... hYTA.. RRSIG
DS ... 5612 com. AoIh..
Fecha de expiración
Zona .
  • Cliente recibe que www.dom.com es 200.1.1.1 junto
    a su firma.
  • Comprueba fechas de validez del RRSIG.
  • Autentifica desde el raíz. Cliente dispone de
    clave 8907.
  • Comprueba que clave 8907 existe en zona raíz y
    verifica firma. Claves raíz autentificadas.
  • Cliente busca registro DS de com. y verifica su
    firma.

Zona com.
Zona dom.com.
19
Cómo autentificar una respuesta
Almacenada localmente clave confianza . 8907
com. DNSKEY ..feOP.. KSK 7834 DNSKEY ..O56f..
ZSK 5612 RRSIG DNSKEY .. 7834 net.
1fii..dom.com. DS 4252 ... hYTA.. RRSIG
DS ... 5612 com. AoIh..
Fecha de expiración
Zona .
  • En la zona com., busca DNSKEY que encaje con el
    DS que ya se autentificó.
  • Comprueba firma del DNSKEY. Claves de com.
    autentificadas.
  • Busca registro DS para dom.com. y lo autentifica.
  • Autentifica claves de dom.com.
  • Comprueba finalmente firma recibida al principio
    del registro A.

Zona com.
Zona dom.com.
20
Autentificación de servidores
  • Hasta ahora hemos visto cómo firmar y verificar
    los RR de las zonas.
  • Para ofrecer una seguridad de DNS completa
    necesitamos además, autentificar las
    comunicaciones entre servidores actualizaciones
    dinámicas y transferencias de zonas.
  • Cómo autentificar servidores?
  • TSIG. Utiliza un secreto compartido.
  • SIG(0). Utiliza claves privadas/públicas.
  • IPSec.

21
Conclusiones
  • DNS es en la actualidad muy vulnerablea
    ataques.
  • Es necesario garantizar la traducción de nombre
    a IP.
  • DNSSEC aporta integridad y autenticidad a los
    datos de las zonas mediante firmas digitales.
  • Requiere actualizar software en la parte cliente
    y en la parte servidora. Se pierde eficiencia.
    Mayor complejidad de gestión.

22
Preguntas y comentarios
DNSSEC
Write a Comment
User Comments (0)
About PowerShow.com
Home About Us Terms and Conditions Privacy Policy Presentation Removal Request Contact Us
Copyright 2024 CrystalGraphics, Inc. — All rights Reserved. PowerShow.com is a trademark of CrystalGraphics, Inc.
The PowerPoint PPT presentation: "DNSSEC" is the property of its rightful owner.
Do you have PowerPoint slides to share? If so, share your PPT presentation slides online with PowerShow.com. It's FREE!