Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Domain name system security extension

1,338 views

Published on

We explain how DNS and DNSSEC works, in German. The presentation was held on 14th of November 2013. It was made by students in the 3rd semester and presented in "Rechnernetze"-course.

For best experience we ask you to download the presentation (otherwise you won't see any animations).

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Domain name system security extension

  1. 1. November 14, 2013 Dmitrij Petrov, Artur Beikel, Samuel Abt, Betuelle Ndem a Kedi Domain Name System Security Extensions (DNSSEC) “…authentication of DNS data, …, and data integrity, but not availability or confidentiality”(Wikipedia) Dmitrij Petrov
  2. 2. Overview Allgemein zu DNS Geschichte Funktionsweise 3 Typen von DNS Angriffen 2 Beispiele aus dem Jahr 2013 DNSSEC Funktionsweise Keys (KSK, ZSK) Implementierung Registrar und Registrant Dmitrij Petrov
  3. 3. DNS Geschichte 4 Generationen DNS(SEC) 1) RFC 1034(35) gelten als Anfang vom Protokoll (1987) 2) RFC 2136/2181/2308 „heutige Version“ (1997) a) NOTIFY b) Dynamic Updates c) Incremental Zone Transfer (IXFR) 3) RFC 2535 erste Schritte zu DNSSEC (1999) „One History of DNS“ von Ross Rader (2001) [2] http://blog.neustar.biz/dns-matters/the-evolution-of-dns-starting-from-the-beginning/ [2] http://www.byte.org/blog/one-history-of-dns.pdf Dmitrij Petrov
  4. 4. Domain Name System  Übersetzt Domainnamen in IP Adressen -> leicht zu merken (facebook.com == 31.13.81.81)  Erst in hosts-dateien, dann in Datenbanken über 370 Root Name Server, die über 13 IP Adressen erreichbar sind [1]  Verteilte Datenbank (jeder kann eigenen DNS haben) -> Extrem zuverlässig  Aber mit Redundanz (3 verschiedene Name Server fur e.g. domane.de) [1] http://goo.gl/maps/FYxDU [Rest] http://wiki.bravenet.com/How_the_domain_name_system_works http://www.netnod.se/sites/default/files/dns.png Dmitrij Petrov
  5. 5. So (einfach) funktioniert es  Ich mochte www.google.com besuchen, tippe URL ein  Browser wird URL in IP Adresse  Dialog mit Name Server  Name konvertieren Server (z.B.: bei ISP) kann IP Adresse zurückgeben In Cache Nicht in Cache • IP wir an Browser abgegeben • Frage an Root Name Server • Frage an .com Name Server • Frage an google.com Name Server http://technet.microsoft.com/en-us/library/bb962069.aspx Dmitrij Petrov
  6. 6. http://thecybersaviours.com/dns-changer-malware Dmitrij Petrov
  7. 7. 3 Typen von DNS Angriffe  “DNS Cache poisoning attack”  „inject“ bösartigen DNS-Daten in die rekursive DNS-Server, die von vielen ISPs betrieben werden  DNSSEC hilft das zu sichern  Angriff an den autoritativen DNS Server  Angriff an den Registrator von Domänen und Änderung von autoritativen DNS-Server Betuelle
  8. 8. Beispiel von Cache Poisoning Attack http://www.cira.ca/assets/Uplo ads/_resampled/resizedimage6 00593-Cache-Poisoning2.jpg Betuelle
  9. 9. Beispiele von 2 Angriffen http://www.pcworld.com/article/2054120/googles-malaysia-site-latest-to-be-felled-in-dns-attacks.html http://rt.com/news/sea-hack-nyt-site-twitter-077/ Betuelle
  10. 10. DNS Security Extensions – Geschichte  1995: Diskussionen über Sicherheit von DNS  1999: Erste Implementierung von DNSSEC (RFC2535)  2001: Die Implementierung  Hatte Korrekturen zur Folge  2002/03/04:  2005: Funktionsfähig, Testen, Standardisieren Schweden (.se) unterschreibt als 1.Land die Zone  1.12.2009-1.6.2010  Im „ hatte Fehler werden alle (13) Root-Server unterschrieben 2011 Q1: .com .net .org Zonen unterschrieben .de ist DNSSEC seit Mai 2011“ [2] http://cs.wikipedia.org/wiki/DNSSEC [2] http://www.denic.de/domains/dnssec.html Artur Beikel
  11. 11. DNSSEC  Der Zonenschlüssel besteht aus einem Schlüsselpaar  Identifikation  Beinhalten durch eine Nummer (Key Tag) Gültigkeits- und Enddatum Public Key Private Key Zone Signing Key Artur Beikel
  12. 12. Funktionsweise Ohne DNSSEC Mit DNSSEC http://www.d enic.de/dom ains/dnssec.h tml Artur Beikel
  13. 13. Keys – KSK and ZSK Zone Signing Key Key Signing Key signs Artur Beikel
  14. 14. “Each field must represent a fact about the key, the Whole Key and Nothing but the Key” (Bill Kent) http://iiw.idcommons.net/DNSSEC http://www.pravinshetty.com/DbSys/Course/Semester12005/Lect03.ppt Artur Beikel
  15. 15. Implementierung Registrar DNSSEC Registrant Samuel Abt
  16. 16. Implementierung: Registrar TLD muss signiert sein Public und Private Key werden erzeugt Private Key wird auf Nameservern gespeichert Public Key wird an NICs gereicht DNSKey wird in Resource Records eingebunden Samuel Abt
  17. 17. Implementation: Registrant  Registrar has to support DNSSEC  Delegate  OR the implementation to the registrar implement DNSSEC on your dedicated Nameserver  Recommended to change the ZSK and the KSK regularly Samuel Abt
  18. 18. Überprüfen http://dnssec- debugger.verisignlabs.com/ Samuel Abt
  19. 19. Fragen & Diskussion http://www.slideshare.net/F789GH/domain-name-systemsecurity-extensions

×