SlideShare a Scribd company logo

DNSSEC - una breve introduzione

Marco d'Itri
Marco d'Itri

DNSSEC - una breve introduzione.

Internet
1 of 13
Download to read offline
DNSSEC Una breve introduzione Marco d’Itri <md@seeweb.it> Seeweb s.r.l. Peering workshop NaMeX - 9 luglio 2010
DNSSEC Che cosa è? Permette di garantire l’autenticità di un record DNS grazie a crittografia a chiave pubblica e firme digitali. A cosa serve? Protegge i client impedendo di accettare record DNS falsificati. Marco d’Itri DNSSEC
Perché? Il corretto funzionamento del DNS è alla base di quasi ogni altro protocollo. Senza DNSSEC il protocollo è intrinsecamente vulnerabile a diversi tipi di attacco (es: Kaminsky). DNSSEC è un enabler Ancora non conosciamo tutti i modi in cui sarà usato! Marco d’Itri DNSSEC
Cosa non è Non fornisce confidenzialità dei dati nel DNS. Non impedisce attacchi DoS all’infrastruttura DNS. Non crea un canale sicuro tra client e resolver. Marco d’Itri DNSSEC
Storia Prima versione - 1997 RFC 2065: non scala (il parent doveva firmare ogni record del figlio). Aggiunti record DS (KSK/ZSK) - 2005 RFC 4033: permette lo zone walking. Aggiunto record NSEC3 - 2008 RFC 5155: ce l’abbiamo fatta! Marco d’Itri DNSSEC
Le novità del protocollo Nuovi resource record DNSKEY, RRSIG, NSEC e DS. Nuovi bit Checking Disabled (CD) e Authenticated Data (AD), uso di EDNS. Marco d’Itri DNSSEC
In breve, come funziona? Risposta positiva Il record richiesto è accompagnato dal suo RRSIG. Risposta negativa Un record NSEC è accompagnato dal suo RRSIG. Ogni zona è firmata dal proprio amministratore I RRSIG sono verificati con le chiavi dei DNSKEY, le chiavi sono confermate dai record DS nella zona superiore. Marco d’Itri DNSSEC
Turtles all the way down Dove trovo le chiavi? Si procede ricorsivamente a validare una zona cercando la sua chiave nella zona superiore o finché non si arriva a una trust anchor nota. Quindi? Aspettiamo la pubblicazione della trust anchor per la root. Marco d’Itri DNSSEC
Perché non lo usa nessuno? Non funzionerà mai... Non sarà mai standardizzato... .com non sarà mai firmata... La root non sarà mai firmata... Marco d’Itri DNSSEC
Possibili svantaggi DNSSEC non perdona gli errori! Occorre automatizzare le operazioni ed automatizzare i controlli. Servono più risorse CPU per firmare e verificare i record. RAM per zone più grandi. Banda per trasmettere le risposte più grandi (con EDNS o TCP). Software moderno. Marco d’Itri DNSSEC
Possibili problemi Slave con software troppo vecchio. TCP bloccato. Problemi di path MTU discovery. Indispensabile NTP! Alcuni CPE hanno proxy DNS pieni di bug. Registrar che non supportano (davvero) DNSSEC. Marco d’Itri DNSSEC
Verificare o no? Se una zona è firmata male non sarà visibile ai soli resolver che verificano. Ai propri clienti non importa di chi è la colpa. Marco d’Itri DNSSEC
Domande? http://www.linux.it/~md/text/dnssec.pdf (google . . . Marco d’Itri . . . I feel lucky) Marco d’Itri DNSSEC

Recommended

Digital Forensics: metodologie analisi multipiattaforma
Digital Forensics: metodologie analisi multipiattaformaDigital Forensics: metodologie analisi multipiattaforma
Digital Forensics: metodologie analisi multipiattaformaMarco Ferrigno
 
Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)Gianfranco Tonello
 
Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...Marco Ferrigno
 
Cyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiCyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiMarco Ferrigno
 
Clustering Magento
Clustering MagentoClustering Magento
Clustering MagentoMageSpecialist
 
Firewalling pfsense-part2
Firewalling pfsense-part2Firewalling pfsense-part2
Firewalling pfsense-part2Dario Tion
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoMarco Ferrigno
 
Analisi delle vulnerabilità del protocollo SSL
Analisi delle vulnerabilità del protocollo SSLAnalisi delle vulnerabilità del protocollo SSL
Analisi delle vulnerabilità del protocollo SSLSimone Amati
 

Recommended

Digital Forensics: metodologie analisi multipiattaforma
Digital Forensics: metodologie analisi multipiattaformaDigital Forensics: metodologie analisi multipiattaforma
Digital Forensics: metodologie analisi multipiattaformaMarco Ferrigno
 
Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)Gianfranco Tonello
 
Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...Linux Security Hardening - panoramica sui principi generali per la riduzione...
Linux Security Hardening - panoramica sui principi generali per la riduzione...Marco Ferrigno
 
Cyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiCyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiMarco Ferrigno
 
Clustering Magento
Clustering MagentoClustering Magento
Clustering MagentoMageSpecialist
 
Firewalling pfsense-part2
Firewalling pfsense-part2Firewalling pfsense-part2
Firewalling pfsense-part2Dario Tion
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoMarco Ferrigno
 
Analisi delle vulnerabilità del protocollo SSL
Analisi delle vulnerabilità del protocollo SSLAnalisi delle vulnerabilità del protocollo SSL
Analisi delle vulnerabilità del protocollo SSLSimone Amati
 
Lezione sul Domain Name System (DNS)
Lezione sul Domain Name System (DNS)Lezione sul Domain Name System (DNS)
Lezione sul Domain Name System (DNS)Antonio De Piano
 
Sicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberrySicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberryOrazio Sarno
 
Maze Enterprise: front-end e back-end. Trova la miglior soluzione!
Maze Enterprise: front-end e back-end. Trova la miglior soluzione!Maze Enterprise: front-end e back-end. Trova la miglior soluzione!
Maze Enterprise: front-end e back-end. Trova la miglior soluzione!Codemotion
 
Sametime 8.x configurarlo ed installarlo
Sametime 8.x configurarlo ed installarloSametime 8.x configurarlo ed installarlo
Sametime 8.x configurarlo ed installarloDominopoint - Italian Lotus User Group
 
SQL Server Failover Cluster Instances con Amazon FSx in AWS
SQL Server Failover Cluster Instances con Amazon FSx in AWSSQL Server Failover Cluster Instances con Amazon FSx in AWS
SQL Server Failover Cluster Instances con Amazon FSx in AWSGianluca Hotz
 
ClearOS - Linux Small Business Server
ClearOS - Linux Small Business ServerClearOS - Linux Small Business Server
ClearOS - Linux Small Business ServerFrancesco Taurino
 
Presentazione Analisi delle dipendenze architetturali dei servizi di autentic...
Presentazione Analisi delle dipendenze architetturali dei servizi di autentic...Presentazione Analisi delle dipendenze architetturali dei servizi di autentic...
Presentazione Analisi delle dipendenze architetturali dei servizi di autentic...LeonardoSimonini
 
Drupal Day 2011 - Node.js e Drupal
Drupal Day 2011 - Node.js e DrupalDrupal Day 2011 - Node.js e Drupal
Drupal Day 2011 - Node.js e DrupalDrupalDay
 
introduzione_a_pfSense
introduzione_a_pfSenseintroduzione_a_pfSense
introduzione_a_pfSenseMassimo Giaimo
 
(in)Sicurezze delle reti wireless 802.11b
(in)Sicurezze delle reti wireless 802.11b(in)Sicurezze delle reti wireless 802.11b
(in)Sicurezze delle reti wireless 802.11bAlfredo Morresi
 
Hardening
HardeningHardening
HardeningNaLUG
 
Simulazione di un Penetration Test
Simulazione di un Penetration TestSimulazione di un Penetration Test
Simulazione di un Penetration TestSalvatore Lentini
 
Security and hacking Engineering
Security and hacking EngineeringSecurity and hacking Engineering
Security and hacking EngineeringNaLUG
 
Darknet 1.2.2
Darknet 1.2.2Darknet 1.2.2
Darknet 1.2.2Alessandro Selli
 
Nagios in alta affidabilità con strumenti open source
Nagios in alta affidabilità con strumenti open sourceNagios in alta affidabilità con strumenti open source
Nagios in alta affidabilità con strumenti open sourceBabel
 
MySQL Tech Tour 2015 - Soluzioni di alta disponibilità con MySQL
MySQL Tech Tour 2015 - Soluzioni di alta disponibilità con MySQLMySQL Tech Tour 2015 - Soluzioni di alta disponibilità con MySQL
MySQL Tech Tour 2015 - Soluzioni di alta disponibilità con MySQLPar-Tec S.p.A.
 
SLA Confidential
SLA ConfidentialSLA Confidential
SLA ConfidentialVMUG IT
 
CloudWALL DNS | Domain Name Security
CloudWALL DNS | Domain Name SecurityCloudWALL DNS | Domain Name Security
CloudWALL DNS | Domain Name SecurityCloudWALL Italia
 
Da Zero all'open per PA e PMI
Da Zero all'open per PA e PMIDa Zero all'open per PA e PMI
Da Zero all'open per PA e PMINaLUG
 
Da 0 all'open per PA e PMI
Da 0 all'open per PA e PMIDa 0 all'open per PA e PMI
Da 0 all'open per PA e PMIFrancesco Taurino
 
Exploring the Huawei HG8010H GPON ONT
Exploring the Huawei HG8010H GPON ONTExploring the Huawei HG8010H GPON ONT
Exploring the Huawei HG8010H GPON ONTMarco d'Itri
 
BGP security at internet exchanges
BGP security at internet exchangesBGP security at internet exchanges
BGP security at internet exchangesMarco d'Itri
 

More Related Content

Similar to DNSSEC - una breve introduzione

Lezione sul Domain Name System (DNS)
Lezione sul Domain Name System (DNS)Lezione sul Domain Name System (DNS)
Lezione sul Domain Name System (DNS)Antonio De Piano
 
Sicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberrySicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberryOrazio Sarno
 
Maze Enterprise: front-end e back-end. Trova la miglior soluzione!
Maze Enterprise: front-end e back-end. Trova la miglior soluzione!Maze Enterprise: front-end e back-end. Trova la miglior soluzione!
Maze Enterprise: front-end e back-end. Trova la miglior soluzione!Codemotion
 
SQL Server Failover Cluster Instances con Amazon FSx in AWS
SQL Server Failover Cluster Instances con Amazon FSx in AWSSQL Server Failover Cluster Instances con Amazon FSx in AWS
SQL Server Failover Cluster Instances con Amazon FSx in AWSGianluca Hotz
 
ClearOS - Linux Small Business Server
ClearOS - Linux Small Business ServerClearOS - Linux Small Business Server
ClearOS - Linux Small Business ServerFrancesco Taurino
 
Presentazione Analisi delle dipendenze architetturali dei servizi di autentic...
Presentazione Analisi delle dipendenze architetturali dei servizi di autentic...Presentazione Analisi delle dipendenze architetturali dei servizi di autentic...
Presentazione Analisi delle dipendenze architetturali dei servizi di autentic...LeonardoSimonini
 
Drupal Day 2011 - Node.js e Drupal
Drupal Day 2011 - Node.js e DrupalDrupal Day 2011 - Node.js e Drupal
Drupal Day 2011 - Node.js e DrupalDrupalDay
 
introduzione_a_pfSense
introduzione_a_pfSenseintroduzione_a_pfSense
introduzione_a_pfSenseMassimo Giaimo
 
(in)Sicurezze delle reti wireless 802.11b
(in)Sicurezze delle reti wireless 802.11b(in)Sicurezze delle reti wireless 802.11b
(in)Sicurezze delle reti wireless 802.11bAlfredo Morresi
 
Hardening
HardeningHardening
HardeningNaLUG
 
Simulazione di un Penetration Test
Simulazione di un Penetration TestSimulazione di un Penetration Test
Simulazione di un Penetration TestSalvatore Lentini
 
Security and hacking Engineering
Security and hacking EngineeringSecurity and hacking Engineering
Security and hacking EngineeringNaLUG
 
Nagios in alta affidabilità con strumenti open source
Nagios in alta affidabilità con strumenti open sourceNagios in alta affidabilità con strumenti open source
Nagios in alta affidabilità con strumenti open sourceBabel
 
MySQL Tech Tour 2015 - Soluzioni di alta disponibilità con MySQL
MySQL Tech Tour 2015 - Soluzioni di alta disponibilità con MySQLMySQL Tech Tour 2015 - Soluzioni di alta disponibilità con MySQL
MySQL Tech Tour 2015 - Soluzioni di alta disponibilità con MySQLPar-Tec S.p.A.
 
SLA Confidential
SLA ConfidentialSLA Confidential
SLA ConfidentialVMUG IT
 
CloudWALL DNS | Domain Name Security
CloudWALL DNS | Domain Name SecurityCloudWALL DNS | Domain Name Security
CloudWALL DNS | Domain Name SecurityCloudWALL Italia
 
Da Zero all'open per PA e PMI
Da Zero all'open per PA e PMIDa Zero all'open per PA e PMI
Da Zero all'open per PA e PMINaLUG
 

Similar to DNSSEC - una breve introduzione (20)

Lezione sul Domain Name System (DNS)
Lezione sul Domain Name System (DNS)Lezione sul Domain Name System (DNS)
Lezione sul Domain Name System (DNS)
 
Sicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberrySicurezza e protezione dati su raspberry
Sicurezza e protezione dati su raspberry
 
Maze Enterprise: front-end e back-end. Trova la miglior soluzione!
Maze Enterprise: front-end e back-end. Trova la miglior soluzione!Maze Enterprise: front-end e back-end. Trova la miglior soluzione!
Maze Enterprise: front-end e back-end. Trova la miglior soluzione!
 
Sametime 8.x configurarlo ed installarlo
Sametime 8.x configurarlo ed installarloSametime 8.x configurarlo ed installarlo
Sametime 8.x configurarlo ed installarlo
 
SQL Server Failover Cluster Instances con Amazon FSx in AWS
SQL Server Failover Cluster Instances con Amazon FSx in AWSSQL Server Failover Cluster Instances con Amazon FSx in AWS
SQL Server Failover Cluster Instances con Amazon FSx in AWS
 
ClearOS - Linux Small Business Server
ClearOS - Linux Small Business ServerClearOS - Linux Small Business Server
ClearOS - Linux Small Business Server
 
Presentazione Analisi delle dipendenze architetturali dei servizi di autentic...
Presentazione Analisi delle dipendenze architetturali dei servizi di autentic...Presentazione Analisi delle dipendenze architetturali dei servizi di autentic...
Presentazione Analisi delle dipendenze architetturali dei servizi di autentic...
 
Drupal Day 2011 - Node.js e Drupal
Drupal Day 2011 - Node.js e DrupalDrupal Day 2011 - Node.js e Drupal
Drupal Day 2011 - Node.js e Drupal
 
introduzione_a_pfSense
introduzione_a_pfSenseintroduzione_a_pfSense
introduzione_a_pfSense
 
(in)Sicurezze delle reti wireless 802.11b
(in)Sicurezze delle reti wireless 802.11b(in)Sicurezze delle reti wireless 802.11b
(in)Sicurezze delle reti wireless 802.11b
 
Hardening
HardeningHardening
Hardening
 
Simulazione di un Penetration Test
Simulazione di un Penetration TestSimulazione di un Penetration Test
Simulazione di un Penetration Test
 
Security and hacking Engineering
Security and hacking EngineeringSecurity and hacking Engineering
Security and hacking Engineering
 
Darknet 1.2.2
Darknet 1.2.2Darknet 1.2.2
Darknet 1.2.2
 
Nagios in alta affidabilità con strumenti open source
Nagios in alta affidabilità con strumenti open sourceNagios in alta affidabilità con strumenti open source
Nagios in alta affidabilità con strumenti open source
 
MySQL Tech Tour 2015 - Soluzioni di alta disponibilità con MySQL
MySQL Tech Tour 2015 - Soluzioni di alta disponibilità con MySQLMySQL Tech Tour 2015 - Soluzioni di alta disponibilità con MySQL
MySQL Tech Tour 2015 - Soluzioni di alta disponibilità con MySQL
 
SLA Confidential
SLA ConfidentialSLA Confidential
SLA Confidential
 
CloudWALL DNS | Domain Name Security
CloudWALL DNS | Domain Name SecurityCloudWALL DNS | Domain Name Security
CloudWALL DNS | Domain Name Security
 
Da Zero all'open per PA e PMI
Da Zero all'open per PA e PMIDa Zero all'open per PA e PMI
Da Zero all'open per PA e PMI
 
Da 0 all'open per PA e PMI
Da 0 all'open per PA e PMIDa 0 all'open per PA e PMI
Da 0 all'open per PA e PMI
 

More from Marco d'Itri

Exploring the Huawei HG8010H GPON ONT
Exploring the Huawei HG8010H GPON ONTExploring the Huawei HG8010H GPON ONT
Exploring the Huawei HG8010H GPON ONTMarco d'Itri
 
BGP security at internet exchanges
BGP security at internet exchangesBGP security at internet exchanges
BGP security at internet exchangesMarco d'Itri
 
The Internet of (other people's) Things
The Internet of (other people's) ThingsThe Internet of (other people's) Things
The Internet of (other people's) ThingsMarco d'Itri
 
Introduzione alla sicurezza di BGP
Introduzione alla sicurezza di BGPIntroduzione alla sicurezza di BGP
Introduzione alla sicurezza di BGPMarco d'Itri
 
Introduzione al peering
Introduzione al peeringIntroduzione al peering
Introduzione al peeringMarco d'Itri
 
The Internet of (other people's) Things
The Internet of (other people's) ThingsThe Internet of (other people's) Things
The Internet of (other people's) ThingsMarco d'Itri
 
State-encouraged BGP hijacking
State-encouraged BGP hijackingState-encouraged BGP hijacking
State-encouraged BGP hijackingMarco d'Itri
 
Un mistero di censura all'italiana
Un mistero di censura all'italianaUn mistero di censura all'italiana
Un mistero di censura all'italianaMarco d'Itri
 
Interconnessioni tra le reti Italiane
Interconnessioni tra le reti ItalianeInterconnessioni tra le reti Italiane
Interconnessioni tra le reti ItalianeMarco d'Itri
 
An introduction to peering in Italy
An introduction to peering in ItalyAn introduction to peering in Italy
An introduction to peering in ItalyMarco d'Itri
 
Peering e depeering
Peering e depeeringPeering e depeering
Peering e depeeringMarco d'Itri
 
Introduzione al peering
Introduzione al peeringIntroduzione al peering
Introduzione al peeringMarco d'Itri
 
Depeering di Telecom Italia
Depeering di Telecom ItaliaDepeering di Telecom Italia
Depeering di Telecom ItaliaMarco d'Itri
 
Piano di indirizzamento di una rete IPv6
Piano di indirizzamento di una rete IPv6Piano di indirizzamento di una rete IPv6
Piano di indirizzamento di una rete IPv6Marco d'Itri
 
Transizione a IPv6: come la vedo io
Transizione a IPv6: come la vedo ioTransizione a IPv6: come la vedo io
Transizione a IPv6: come la vedo ioMarco d'Itri
 
Networking in ambienti cloud
Networking in ambienti cloudNetworking in ambienti cloud
Networking in ambienti cloudMarco d'Itri
 

More from Marco d'Itri (20)

Exploring the Huawei HG8010H GPON ONT
Exploring the Huawei HG8010H GPON ONTExploring the Huawei HG8010H GPON ONT
Exploring the Huawei HG8010H GPON ONT
 
BGP security at internet exchanges
BGP security at internet exchangesBGP security at internet exchanges
BGP security at internet exchanges
 
The Internet of (other people's) Things
The Internet of (other people's) ThingsThe Internet of (other people's) Things
The Internet of (other people's) Things
 
Introduzione alla sicurezza di BGP
Introduzione alla sicurezza di BGPIntroduzione alla sicurezza di BGP
Introduzione alla sicurezza di BGP
 
Introduzione al peering
Introduzione al peeringIntroduzione al peering
Introduzione al peering
 
The Internet of (other people's) Things
The Internet of (other people's) ThingsThe Internet of (other people's) Things
The Internet of (other people's) Things
 
State-encouraged BGP hijacking
State-encouraged BGP hijackingState-encouraged BGP hijacking
State-encouraged BGP hijacking
 
Sicurezza di BGP
Sicurezza di BGPSicurezza di BGP
Sicurezza di BGP
 
Un mistero di censura all'italiana
Un mistero di censura all'italianaUn mistero di censura all'italiana
Un mistero di censura all'italiana
 
Interconnessioni tra le reti Italiane
Interconnessioni tra le reti ItalianeInterconnessioni tra le reti Italiane
Interconnessioni tra le reti Italiane
 
An introduction to peering in Italy
An introduction to peering in ItalyAn introduction to peering in Italy
An introduction to peering in Italy
 
Peering e depeering
Peering e depeeringPeering e depeering
Peering e depeering
 
Introduzione al peering
Introduzione al peeringIntroduzione al peering
Introduzione al peering
 
Depeering di Telecom Italia
Depeering di Telecom ItaliaDepeering di Telecom Italia
Depeering di Telecom Italia
 
RPSL and rpsltool
RPSL and rpsltoolRPSL and rpsltool
RPSL and rpsltool
 
Piano di indirizzamento di una rete IPv6
Piano di indirizzamento di una rete IPv6Piano di indirizzamento di una rete IPv6
Piano di indirizzamento di una rete IPv6
 
Il nuovo Bryar.pm
Il nuovo Bryar.pmIl nuovo Bryar.pm
Il nuovo Bryar.pm
 
Transizione a IPv6: come la vedo io
Transizione a IPv6: come la vedo ioTransizione a IPv6: come la vedo io
Transizione a IPv6: come la vedo io
 
Networking in ambienti cloud
Networking in ambienti cloudNetworking in ambienti cloud
Networking in ambienti cloud
 
RPSL e rpsltool
RPSL e rpsltoolRPSL e rpsltool
RPSL e rpsltool
 

DNSSEC - una breve introduzione

  • 1. DNSSEC Una breve introduzione Marco d’Itri <md@seeweb.it> Seeweb s.r.l. Peering workshop NaMeX - 9 luglio 2010
  • 2. DNSSEC Che cosa è? Permette di garantire l’autenticità di un record DNS grazie a crittografia a chiave pubblica e firme digitali. A cosa serve? Protegge i client impedendo di accettare record DNS falsificati. Marco d’Itri DNSSEC
  • 3. Perché? Il corretto funzionamento del DNS è alla base di quasi ogni altro protocollo. Senza DNSSEC il protocollo è intrinsecamente vulnerabile a diversi tipi di attacco (es: Kaminsky). DNSSEC è un enabler Ancora non conosciamo tutti i modi in cui sarà usato! Marco d’Itri DNSSEC
  • 4. Cosa non è Non fornisce confidenzialità dei dati nel DNS. Non impedisce attacchi DoS all’infrastruttura DNS. Non crea un canale sicuro tra client e resolver. Marco d’Itri DNSSEC
  • 5. Storia Prima versione - 1997 RFC 2065: non scala (il parent doveva firmare ogni record del figlio). Aggiunti record DS (KSK/ZSK) - 2005 RFC 4033: permette lo zone walking. Aggiunto record NSEC3 - 2008 RFC 5155: ce l’abbiamo fatta! Marco d’Itri DNSSEC
  • 6. Le novità del protocollo Nuovi resource record DNSKEY, RRSIG, NSEC e DS. Nuovi bit Checking Disabled (CD) e Authenticated Data (AD), uso di EDNS. Marco d’Itri DNSSEC
  • 7. In breve, come funziona? Risposta positiva Il record richiesto è accompagnato dal suo RRSIG. Risposta negativa Un record NSEC è accompagnato dal suo RRSIG. Ogni zona è firmata dal proprio amministratore I RRSIG sono verificati con le chiavi dei DNSKEY, le chiavi sono confermate dai record DS nella zona superiore. Marco d’Itri DNSSEC
  • 8. Turtles all the way down Dove trovo le chiavi? Si procede ricorsivamente a validare una zona cercando la sua chiave nella zona superiore o finché non si arriva a una trust anchor nota. Quindi? Aspettiamo la pubblicazione della trust anchor per la root. Marco d’Itri DNSSEC
  • 9. Perché non lo usa nessuno? Non funzionerà mai... Non sarà mai standardizzato... .com non sarà mai firmata... La root non sarà mai firmata... Marco d’Itri DNSSEC
  • 10. Possibili svantaggi DNSSEC non perdona gli errori! Occorre automatizzare le operazioni ed automatizzare i controlli. Servono più risorse CPU per firmare e verificare i record. RAM per zone più grandi. Banda per trasmettere le risposte più grandi (con EDNS o TCP). Software moderno. Marco d’Itri DNSSEC
  • 11. Possibili problemi Slave con software troppo vecchio. TCP bloccato. Problemi di path MTU discovery. Indispensabile NTP! Alcuni CPE hanno proxy DNS pieni di bug. Registrar che non supportano (davvero) DNSSEC. Marco d’Itri DNSSEC
  • 12. Verificare o no? Se una zona è firmata male non sarà visibile ai soli resolver che verificano. Ai propri clienti non importa di chi è la colpa. Marco d’Itri DNSSEC
  • 13. Domande? http://www.linux.it/~md/text/dnssec.pdf (google . . . Marco d’Itri . . . I feel lucky) Marco d’Itri DNSSEC