Dnssec in UA - Talk at UAdom 2011
Apr. 22, 2013•0 likes•409 views
Download to read offline
Report
Dmitry KohmanyukFollow
Recommended
Максим Дунин, Nginx, Inc.Ontico
DNSSECPhilipp Kulin
Tyurin Alexey - NTLM. Part 1. Pass-the-HashDefconRussia
Как devops исчерпывает себя, и что будет дальше / Кирилл Вечера (Jetware)Ontico
Системный администратор Vkontakte. Как? / Антон Кирюшкин (Vkontakte)Ontico
Опыт внедрения DNSSECPhilipp Kulin
More Related Content
What's hot
Юрий Насретдинов-«Сбор логов в «облаке» в Badoo»Tanya Denisyuk
Что нового в nginx? / Максим Дунин (Nginx, Inc.)Ontico
Быстрое прототипирование бэкенда игры с геолокацией на OpenResty, Redis и Doc...Ontico
Дмитрий Лазаренко-«Живая миграция и отказоустойчивость контейнеров в гибридно...Tanya Denisyuk
2017-03-11 01 Игорь Родионов. Docker swarm vs KubernetesОмские ИТ-субботники
Механика DDoS (Александр Крижановский)Ontico
Similar to Dnssec in UA - Talk at UAdom 2011
A popular DNS security overviewPhilipp Kulin
FlexiregFAITID
Обеспечение безопасности в локальных сетях.pptxElvinKerimov3
Wi-Fi Audit WorkshopKirill Murzin
Высокая доступность приложений в гибридном облаке на базе Jelastic и Azure Tr...Dmitry Lazarenko
Hosting for forbes.ru_drupalconf
More from Dmitry Kohmanyuk
UA Perspectives: Talk at UAdom 2012Dmitry Kohmanyuk
DNS Alphabet SoupDmitry Kohmanyuk
IPv6 for Developers - icamp.lviv.ua 2011Dmitry Kohmanyuk
.UA ccTLD Overview - ENOG1Dmitry Kohmanyuk
DNSSEC in UA Domain (ENOG2)Dmitry Kohmanyuk
DNSSEC in UA: Zero to Live in Six MonthsDmitry Kohmanyuk
Dnssec in UA - Talk at UAdom 2011
- 1. DNSSEC в домене .UA Дмитрий Кохманюк UAdom 2011
- 2. Как пройти к Верховной Раде
- 4. Как работает DNSSEC • Администратор rada.gov.ua подписывает адресную информацию цифровой подписью • Подпись состоит из открытой и закрытой частей. Открытая часть публикуется • Пользователь получает подпись вместе с ответом DNS-сервера и может проверить подпись с помощью открытого ключа
- 5. Как работает DNSSEC. Иерархия
- 6. Как работает DNSSEC. Корень • Каждый вышестоящий узел удостоверяет подписи нижестоящих узлов • Корневой узел уже подписан • Пользователь получает корневую подпись по каналам, независимым от DNS: – Вместе с операционной системой – Вместе с интернет-броузером
- 7. Как работает DNSSEC. Противоречие • Ключ должен быть сложным, чтобы его нельзя было бы взломать быстро • Ключ должен быть коротким, чтобы его могла передать система DNS • Короткие ключи надо менять часто, но часто переподписывать домены невозможно • Выход: Суперключ (KSK)
- 8. Как работает DNSSEC. Суперключ • У каждого домена есть сложный суперключ (KSK), который меняется один раз в год. • С помощью этого суперключа администратор домена создают простые ключи • Ключи слабые, но они часто меняются.
- 9. План
- 10. Тестирование в UA.UA • Специальный домен • Ключ сгенерирован на "Мастерской IPv6» 8 ноября 2011 • Зона подписана с помощью утилит bind 9.7 (DNSSEC for Humans) • Открытая часть ключа опубликована http://hostmaster.ua/dnssec
- 12. Подготовка • Переход инфраструктуры на bind 9.8+ • Отдельные сервера подписания и публикаций • Возможно использование DLV
- 14. Выбор алгоритма RSAMD5 DSA RSASHA1 DSA-NSEC3-SHA1 RSASHA1-NSEC3-SHA1 DH RSASHA256 ECC RSASHA512 ECC-GOST
- 15. Потенциальные сложности • GOST – нет полноценной поддержки • Алгоритм, поддерживаемый в IANA RZM • Безопасное хранение ключей
- 16. Запуск • Генерация ключа – сегодня • Параметры RSASHA512, 2048/1024 bits • Тестирование в копии домена • Публикация контрольной суммы публичного ключа в IANA и на наших собственных ресурсах
- 17. Сопровождение • Ротация ключей: суперключ (KSK) – 3 года, ZSK – 3 месяца • Украинский алгоритм эллиптических кривых (необходим RFC)
- 18. Вопросы? www.hostmaster.ua Whois.ua info@hostmaster.ua