SlideShare a Scribd company logo

A popular DNS security overview. Modern theory and practice

Overview. DNSSEC, DNSCrypt, DNS-over-TLS, DNS-over-HTTPS. Servers, clients, resolvers.

1 of 39
Download to read offline
Безопасность DNS
Популярный обзор современной
теории и практик
1
D I P H O S T Филипп Кулин, III квартал 2018 года, UNLICENSECryptoInstallFest 5Эшер II
DNS это просто?
Три каверзных вопроса
Каков максимальный размер доменного имени?
● Точку на конце надо ставить?
● Что именно спрашивает ресолвер и что отвечают DNS-
сервера при рекурсивном обходе?
2
D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
Устройство DNS
root
RU
gov.ru spb.ru
COM
vk.com test.com
metro.spb.ru gov.spb.ru
П
о
т
р
е
б
и
т
е
л
ь
Р
е
с
о
л
в
е
р
ы
технические связи
административные связи
3
D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
Особенности классического DNS
● UDP транспорт. Нет соединения
● Нет идентификации серверов DNS
● Нет контроля данных
● Нет шифрования
4
D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
Угрозы в системе DNS
root
RU
gov.ru spb.ru
metro.spb.ru gov.spb.ru
П
о
т
р
е
б
и
т
е
л
ь
Р
е
с
о
л
в
е
р
ы
технические связи
административные связи взлом сервера
несанкционированный доступ
отравление прослушка, подделка
spb.ru
ложный сервер
5
D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
Заложенная в DNS безопасность
6
D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE

Recommended

A popular DNS security overview
A popular DNS security overviewA popular DNS security overview
A popular DNS security overviewPhilipp Kulin
 
Технические аспекты блокировки интернета в России. Проблемы и перспективы
Технические аспекты блокировки интернета в России. Проблемы и перспективыТехнические аспекты блокировки интернета в России. Проблемы и перспективы
Технические аспекты блокировки интернета в России. Проблемы и перспективыPhilipp Kulin
 
Flexireg
FlexiregFlexireg
FlexiregFAITID
 
Стажировка 2016-08-04 01 Денис Нелюбин. Шифрование и безопасность
Стажировка 2016-08-04 01 Денис Нелюбин. Шифрование и безопасностьСтажировка 2016-08-04 01 Денис Нелюбин. Шифрование и безопасность
Стажировка 2016-08-04 01 Денис Нелюбин. Шифрование и безопасностьSmartTools
 
Опыт внедрения DNSSEC
Опыт внедрения DNSSECОпыт внедрения DNSSEC
Опыт внедрения DNSSECPhilipp Kulin
 
Вячеслав Бирюков - HTTP и HTTPS
Вячеслав Бирюков - HTTP и HTTPSВячеслав Бирюков - HTTP и HTTPS
Вячеслав Бирюков - HTTP и HTTPSYandex
 
Андрей Лескин, QratorLabs/HLL
Андрей Лескин, QratorLabs/HLLАндрей Лескин, QratorLabs/HLL
Андрей Лескин, QratorLabs/HLLOntico
 
Управление секретами в кластере Kubernetes при помощи Hashicorp Vault / Серге...
Управление секретами в кластере Kubernetes при помощи Hashicorp Vault / Серге...Управление секретами в кластере Kubernetes при помощи Hashicorp Vault / Серге...
Управление секретами в кластере Kubernetes при помощи Hashicorp Vault / Серге...Ontico
 

More Related Content

What's hot

DDoS-атаки вчера, сегодня, завтра
DDoS-атаки вчера, сегодня, завтраDDoS-атаки вчера, сегодня, завтра
DDoS-атаки вчера, сегодня, завтраQrator Labs
 
Secure data transfer (безопасная передача данных)
Secure data transfer (безопасная передача данных)Secure data transfer (безопасная передача данных)
Secure data transfer (безопасная передача данных)Acceptic
 
DDoS как актуальная проблема безопасности
DDoS как актуальная проблема безопасностиDDoS как актуальная проблема безопасности
DDoS как актуальная проблема безопасностиQrator Labs
 
Защищаем сеть от DDoS-атак
Защищаем сеть от DDoS-атакЗащищаем сеть от DDoS-атак
Защищаем сеть от DDoS-атакSkillFactory
 
Защита веб-ресурса от DDoS-атак на примере нашего клиента - Rutracker.org
Защита веб-ресурса от DDoS-атак на примере нашего клиента - Rutracker.orgЗащита веб-ресурса от DDoS-атак на примере нашего клиента - Rutracker.org
Защита веб-ресурса от DDoS-атак на примере нашего клиента - Rutracker.orgIT61
 
UDP Amplifiers на примере DNS и способы противодействия
UDP Amplifiers на примере DNS и способы противодействияUDP Amplifiers на примере DNS и способы противодействия
UDP Amplifiers на примере DNS и способы противодействияAndrey Leskin
 
Практические примеры использования API в инфраструктурных продуктах Cisco для...
Практические примеры использования API в инфраструктурных продуктах Cisco для...Практические примеры использования API в инфраструктурных продуктах Cisco для...
Практические примеры использования API в инфраструктурных продуктах Cisco для...Cisco Russia
 
DDoS-­атаки: почему они возможны, и как их предотвращать
 DDoS-­атаки: почему они возможны, и как их предотвращать DDoS-­атаки: почему они возможны, и как их предотвращать
DDoS-­атаки: почему они возможны, и как их предотвращатьQrator Labs
 
Новые вызовы кибербезопасности
Новые вызовы кибербезопасностиНовые вызовы кибербезопасности
Новые вызовы кибербезопасностиCisco Russia
 
Вебинар "Дизайн и архитектура UCCE Live Data"
Вебинар "Дизайн и архитектура UCCE Live Data"Вебинар "Дизайн и архитектура UCCE Live Data"
Вебинар "Дизайн и архитектура UCCE Live Data"Cisco Russia
 
HighLoad весна 2014 лекция 6
HighLoad весна 2014 лекция 6HighLoad весна 2014 лекция 6
HighLoad весна 2014 лекция 6Technopark
 
Qlogic: Технологии Ethernet
Qlogic: Технологии EthernetQlogic: Технологии Ethernet
Qlogic: Технологии EthernetExpolink
 
HighLoad весна 2014 лекция 2
HighLoad весна 2014 лекция 2HighLoad весна 2014 лекция 2
HighLoad весна 2014 лекция 2Technopark
 
Tyurin Alexey - NTLM. Part 1. Pass-the-Hash
Tyurin Alexey - NTLM. Part 1. Pass-the-HashTyurin Alexey - NTLM. Part 1. Pass-the-Hash
Tyurin Alexey - NTLM. Part 1. Pass-the-HashDefconRussia
 
5 способов деплоя PHP-кода в условиях хайлоада / Юрий Насретдинов (Badoo)
5 способов деплоя PHP-кода в условиях хайлоада / Юрий Насретдинов (Badoo)5 способов деплоя PHP-кода в условиях хайлоада / Юрий Насретдинов (Badoo)
5 способов деплоя PHP-кода в условиях хайлоада / Юрий Насретдинов (Badoo)Ontico
 
Logbroker: сбор и поставка больших объёмов данных. Алексей Озерицкий
 Logbroker: сбор и поставка больших объёмов данных. Алексей Озерицкий Logbroker: сбор и поставка больших объёмов данных. Алексей Озерицкий
Logbroker: сбор и поставка больших объёмов данных. Алексей ОзерицкийYandex
 
7 способов «провалиться» в качестве Wi-Fi эксперта
7 способов «провалиться» в качестве Wi-Fi эксперта7 способов «провалиться» в качестве Wi-Fi эксперта
7 способов «провалиться» в качестве Wi-Fi экспертаCisco Russia
 
HighLoad весна 2014 лекция 5
HighLoad весна 2014 лекция 5HighLoad весна 2014 лекция 5
HighLoad весна 2014 лекция 5Technopark
 

What's hot (20)

DDoS-атаки вчера, сегодня, завтра
DDoS-атаки вчера, сегодня, завтраDDoS-атаки вчера, сегодня, завтра
DDoS-атаки вчера, сегодня, завтра
 
Secure data transfer (безопасная передача данных)
Secure data transfer (безопасная передача данных)Secure data transfer (безопасная передача данных)
Secure data transfer (безопасная передача данных)
 
DDoS как актуальная проблема безопасности
DDoS как актуальная проблема безопасностиDDoS как актуальная проблема безопасности
DDoS как актуальная проблема безопасности
 
Защищаем сеть от DDoS-атак
Защищаем сеть от DDoS-атакЗащищаем сеть от DDoS-атак
Защищаем сеть от DDoS-атак
 
Защита веб-ресурса от DDoS-атак на примере нашего клиента - Rutracker.org
Защита веб-ресурса от DDoS-атак на примере нашего клиента - Rutracker.orgЗащита веб-ресурса от DDoS-атак на примере нашего клиента - Rutracker.org
Защита веб-ресурса от DDoS-атак на примере нашего клиента - Rutracker.org
 
UDP Amplifiers на примере DNS и способы противодействия
UDP Amplifiers на примере DNS и способы противодействияUDP Amplifiers на примере DNS и способы противодействия
UDP Amplifiers на примере DNS и способы противодействия
 
DNSSEC
DNSSECDNSSEC
DNSSEC
 
Практические примеры использования API в инфраструктурных продуктах Cisco для...
Практические примеры использования API в инфраструктурных продуктах Cisco для...Практические примеры использования API в инфраструктурных продуктах Cisco для...
Практические примеры использования API в инфраструктурных продуктах Cisco для...
 
DDoS-­атаки: почему они возможны, и как их предотвращать
 DDoS-­атаки: почему они возможны, и как их предотвращать DDoS-­атаки: почему они возможны, и как их предотвращать
DDoS-­атаки: почему они возможны, и как их предотвращать
 
Новые вызовы кибербезопасности
Новые вызовы кибербезопасностиНовые вызовы кибербезопасности
Новые вызовы кибербезопасности
 
Вебинар "Дизайн и архитектура UCCE Live Data"
Вебинар "Дизайн и архитектура UCCE Live Data"Вебинар "Дизайн и архитектура UCCE Live Data"
Вебинар "Дизайн и архитектура UCCE Live Data"
 
HighLoad весна 2014 лекция 6
HighLoad весна 2014 лекция 6HighLoad весна 2014 лекция 6
HighLoad весна 2014 лекция 6
 
Qlogic: Технологии Ethernet
Qlogic: Технологии EthernetQlogic: Технологии Ethernet
Qlogic: Технологии Ethernet
 
HighLoad весна 2014 лекция 2
HighLoad весна 2014 лекция 2HighLoad весна 2014 лекция 2
HighLoad весна 2014 лекция 2
 
Tyurin Alexey - NTLM. Part 1. Pass-the-Hash
Tyurin Alexey - NTLM. Part 1. Pass-the-HashTyurin Alexey - NTLM. Part 1. Pass-the-Hash
Tyurin Alexey - NTLM. Part 1. Pass-the-Hash
 
Ddos
DdosDdos
Ddos
 
5 способов деплоя PHP-кода в условиях хайлоада / Юрий Насретдинов (Badoo)
5 способов деплоя PHP-кода в условиях хайлоада / Юрий Насретдинов (Badoo)5 способов деплоя PHP-кода в условиях хайлоада / Юрий Насретдинов (Badoo)
5 способов деплоя PHP-кода в условиях хайлоада / Юрий Насретдинов (Badoo)
 
Logbroker: сбор и поставка больших объёмов данных. Алексей Озерицкий
 Logbroker: сбор и поставка больших объёмов данных. Алексей Озерицкий Logbroker: сбор и поставка больших объёмов данных. Алексей Озерицкий
Logbroker: сбор и поставка больших объёмов данных. Алексей Озерицкий
 
7 способов «провалиться» в качестве Wi-Fi эксперта
7 способов «провалиться» в качестве Wi-Fi эксперта7 способов «провалиться» в качестве Wi-Fi эксперта
7 способов «провалиться» в качестве Wi-Fi эксперта
 
HighLoad весна 2014 лекция 5
HighLoad весна 2014 лекция 5HighLoad весна 2014 лекция 5
HighLoad весна 2014 лекция 5
 

Similar to A popular DNS security overview. Modern theory and practice

ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSECENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSECPhilipp Kulin
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco Russia
 
DNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасностиDNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасностиAleksey Lukatskiy
 
Защита корпоративной сети. От продуктов к решению.
Защита корпоративной сети. От продуктов к решению.Защита корпоративной сети. От продуктов к решению.
Защита корпоративной сети. От продуктов к решению.Expolink
 
ГК Конфидент. Сергей Ламанов. "Особенности проектов по информационной безопас...
ГК Конфидент. Сергей Ламанов. "Особенности проектов по информационной безопас...ГК Конфидент. Сергей Ламанов. "Особенности проектов по информационной безопас...
ГК Конфидент. Сергей Ламанов. "Особенности проектов по информационной безопас...Expolink
 
Защита корпоративной среды от «С-Терра СиЭсПи»
Защита корпоративной среды от «С-Терра СиЭсПи»Защита корпоративной среды от «С-Терра СиЭсПи»
Защита корпоративной среды от «С-Терра СиЭсПи»S-Terra CSP
 
ГК Конфидент. Сергей Кузнецов. "Продуктовая линейка СЗИ Dallas Lock. Новые во...
ГК Конфидент. Сергей Кузнецов. "Продуктовая линейка СЗИ Dallas Lock. Новые во...ГК Конфидент. Сергей Кузнецов. "Продуктовая линейка СЗИ Dallas Lock. Новые во...
ГК Конфидент. Сергей Кузнецов. "Продуктовая линейка СЗИ Dallas Lock. Новые во...Expolink
 
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...Expolink
 
S-terra: Защита корпоративной среды
S-terra: Защита корпоративной средыS-terra: Защита корпоративной среды
S-terra: Защита корпоративной средыExpolink
 
защита Web приложений f5 cti
защита Web приложений f5 ctiзащита Web приложений f5 cti
защита Web приложений f5 ctiCTI_analytics
 
Защита и контроль приложений
Защита и контроль приложенийЗащита и контроль приложений
Защита и контроль приложенийCisco Russia
 
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Aleksey Lukatskiy
 
Лучшие практики CI/CD с Kubernetes и GitLab / Дмитрий Столяров (Флант)
Лучшие практики CI/CD с Kubernetes и GitLab / Дмитрий Столяров (Флант)Лучшие практики CI/CD с Kubernetes и GitLab / Дмитрий Столяров (Флант)
Лучшие практики CI/CD с Kubernetes и GitLab / Дмитрий Столяров (Флант)Ontico
 
Конфидент. Евгений Мардыко "Опыт построения защищенной инфраструктуры. Новые ...
Конфидент. Евгений Мардыко "Опыт построения защищенной инфраструктуры. Новые ...Конфидент. Евгений Мардыко "Опыт построения защищенной инфраструктуры. Новые ...
Конфидент. Евгений Мардыко "Опыт построения защищенной инфраструктуры. Новые ...Expolink
 
2016-09-17 02 Игорь Гончаровский. Техническая и программная сторона VoIP
2016-09-17 02 Игорь Гончаровский. Техническая и программная сторона VoIP2016-09-17 02 Игорь Гончаровский. Техническая и программная сторона VoIP
2016-09-17 02 Игорь Гончаровский. Техническая и программная сторона VoIPОмские ИТ-субботники
 
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANВизуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANАльбина Минуллина
 
AVITO. Решардинг Redis без даунтайма. DevConf 2012
AVITO. Решардинг Redis без даунтайма. DevConf 2012AVITO. Решардинг Redis без даунтайма. DevConf 2012
AVITO. Решардинг Redis без даунтайма. DevConf 2012Roman Pavlushko
 
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...Expolink
 
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...Expolink
 

Similar to A popular DNS security overview. Modern theory and practice (20)

ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSECENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
 
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
 
DNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасностиDNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасности
 
Защита корпоративной сети. От продуктов к решению.
Защита корпоративной сети. От продуктов к решению.Защита корпоративной сети. От продуктов к решению.
Защита корпоративной сети. От продуктов к решению.
 
ГК Конфидент. Сергей Ламанов. "Особенности проектов по информационной безопас...
ГК Конфидент. Сергей Ламанов. "Особенности проектов по информационной безопас...ГК Конфидент. Сергей Ламанов. "Особенности проектов по информационной безопас...
ГК Конфидент. Сергей Ламанов. "Особенности проектов по информационной безопас...
 
Защита корпоративной среды от «С-Терра СиЭсПи»
Защита корпоративной среды от «С-Терра СиЭсПи»Защита корпоративной среды от «С-Терра СиЭсПи»
Защита корпоративной среды от «С-Терра СиЭсПи»
 
ГК Конфидент. Сергей Кузнецов. "Продуктовая линейка СЗИ Dallas Lock. Новые во...
ГК Конфидент. Сергей Кузнецов. "Продуктовая линейка СЗИ Dallas Lock. Новые во...ГК Конфидент. Сергей Кузнецов. "Продуктовая линейка СЗИ Dallas Lock. Новые во...
ГК Конфидент. Сергей Кузнецов. "Продуктовая линейка СЗИ Dallas Lock. Новые во...
 
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...
 
S-terra: Защита корпоративной среды
S-terra: Защита корпоративной средыS-terra: Защита корпоративной среды
S-terra: Защита корпоративной среды
 
защита Web приложений f5 cti
защита Web приложений f5 ctiзащита Web приложений f5 cti
защита Web приложений f5 cti
 
Защита и контроль приложений
Защита и контроль приложенийЗащита и контроль приложений
Защита и контроль приложений
 
Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?
 
Лучшие практики CI/CD с Kubernetes и GitLab / Дмитрий Столяров (Флант)
Лучшие практики CI/CD с Kubernetes и GitLab / Дмитрий Столяров (Флант)Лучшие практики CI/CD с Kubernetes и GitLab / Дмитрий Столяров (Флант)
Лучшие практики CI/CD с Kubernetes и GitLab / Дмитрий Столяров (Флант)
 
Конфидент. Евгений Мардыко "Опыт построения защищенной инфраструктуры. Новые ...
Конфидент. Евгений Мардыко "Опыт построения защищенной инфраструктуры. Новые ...Конфидент. Евгений Мардыко "Опыт построения защищенной инфраструктуры. Новые ...
Конфидент. Евгений Мардыко "Опыт построения защищенной инфраструктуры. Новые ...
 
2016-09-17 02 Игорь Гончаровский. Техническая и программная сторона VoIP
2016-09-17 02 Игорь Гончаровский. Техническая и программная сторона VoIP2016-09-17 02 Игорь Гончаровский. Техническая и программная сторона VoIP
2016-09-17 02 Игорь Гончаровский. Техническая и программная сторона VoIP
 
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANВизуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PAN
 
Смотрим в HTTPS
Смотрим в HTTPSСмотрим в HTTPS
Смотрим в HTTPS
 
AVITO. Решардинг Redis без даунтайма. DevConf 2012
AVITO. Решардинг Redis без даунтайма. DevConf 2012AVITO. Решардинг Redis без даунтайма. DevConf 2012
AVITO. Решардинг Redis без даунтайма. DevConf 2012
 
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...
 
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...
Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...
 

More from Philipp Kulin

Разбор и сравнение данных в большом XML на маленькой VDS
Разбор и сравнение данных в большом XML на маленькой VDSРазбор и сравнение данных в большом XML на маленькой VDS
Разбор и сравнение данных в большом XML на маленькой VDSPhilipp Kulin
 
ENOG-14. Ограничение доступа в России
ENOG-14. Ограничение доступа в РоссииENOG-14. Ограничение доступа в России
ENOG-14. Ограничение доступа в РоссииPhilipp Kulin
 
Опыт использования IPv6 год спустя
Опыт использования IPv6 год спустяОпыт использования IPv6 год спустя
Опыт использования IPv6 год спустяPhilipp Kulin
 
Как взломать WordPress/Joomla за 5 минут
Как взломать WordPress/Joomla за 5 минутКак взломать WordPress/Joomla за 5 минут
Как взломать WordPress/Joomla за 5 минутPhilipp Kulin
 
Опыт внедрения IPv6 и статистика
Опыт внедрения IPv6 и статистикаОпыт внедрения IPv6 и статистика
Опыт внедрения IPv6 и статистикаPhilipp Kulin
 
Внедрение IPv6
Внедрение IPv6Внедрение IPv6
Внедрение IPv6Philipp Kulin
 
Хостинг-провайдер и противоправный контент
Хостинг-провайдер и противоправный контентХостинг-провайдер и противоправный контент
Хостинг-провайдер и противоправный контентPhilipp Kulin
 
перспективы черного списка
перспективы черного спискаперспективы черного списка
перспективы черного спискаPhilipp Kulin
 

More from Philipp Kulin (8)

Разбор и сравнение данных в большом XML на маленькой VDS
Разбор и сравнение данных в большом XML на маленькой VDSРазбор и сравнение данных в большом XML на маленькой VDS
Разбор и сравнение данных в большом XML на маленькой VDS
 
ENOG-14. Ограничение доступа в России
ENOG-14. Ограничение доступа в РоссииENOG-14. Ограничение доступа в России
ENOG-14. Ограничение доступа в России
 
Опыт использования IPv6 год спустя
Опыт использования IPv6 год спустяОпыт использования IPv6 год спустя
Опыт использования IPv6 год спустя
 
Как взломать WordPress/Joomla за 5 минут
Как взломать WordPress/Joomla за 5 минутКак взломать WordPress/Joomla за 5 минут
Как взломать WordPress/Joomla за 5 минут
 
Опыт внедрения IPv6 и статистика
Опыт внедрения IPv6 и статистикаОпыт внедрения IPv6 и статистика
Опыт внедрения IPv6 и статистика
 
Внедрение IPv6
Внедрение IPv6Внедрение IPv6
Внедрение IPv6
 
Хостинг-провайдер и противоправный контент
Хостинг-провайдер и противоправный контентХостинг-провайдер и противоправный контент
Хостинг-провайдер и противоправный контент
 
перспективы черного списка
перспективы черного спискаперспективы черного списка
перспективы черного списка
 

A popular DNS security overview. Modern theory and practice

  • 1. Безопасность DNS Популярный обзор современной теории и практик 1 D I P H O S T Филипп Кулин, III квартал 2018 года, UNLICENSECryptoInstallFest 5Эшер II
  • 2. DNS это просто? Три каверзных вопроса Каков максимальный размер доменного имени? ● Точку на конце надо ставить? ● Что именно спрашивает ресолвер и что отвечают DNS- сервера при рекурсивном обходе? 2 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 3. Устройство DNS root RU gov.ru spb.ru COM vk.com test.com metro.spb.ru gov.spb.ru П о т р е б и т е л ь Р е с о л в е р ы технические связи административные связи 3 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 4. Особенности классического DNS ● UDP транспорт. Нет соединения ● Нет идентификации серверов DNS ● Нет контроля данных ● Нет шифрования 4 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 5. Угрозы в системе DNS root RU gov.ru spb.ru metro.spb.ru gov.spb.ru П о т р е б и т е л ь Р е с о л в е р ы технические связи административные связи взлом сервера несанкционированный доступ отравление прослушка, подделка spb.ru ложный сервер 5 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 6. Заложенная в DNS безопасность 6 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 7. Основные проблемы Подделка ● Отравление ● Перехват и подделка ● Взлом серверов и замена записей ● Поддельные серверы, BGP-injection Прослушка ● Промышленный шпионаж ● Система блокировок сайтов ● Шпионаж ● Маркетинговые исследования 7 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 8. Защита от подделки DNS ● Расширение DNSSEC ● Не «взлетевший» DNSCurve 8 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 9. Расширение DNSSEC Подпись записей зоны Записи зоны подписаны с помощью системы электронной подписи. Подписи и открытый ключ, соответствующий закрытому, публикуются в зоне. Цепочка доверия Родительская зона подтверждает достоверность ключа, которым подписана зона потомка. Подтверждения выстраиваются в цепочку доверия. Если мы доверяем данному ключу, то мы имеем возможность проверить любую подписанную запись. 9 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 10. DNSSEC. Подпись зоны DNSKEY AAAA NS SOA Key-signing key (KSK) Ключом KSK подписан сам ключ KSK и ключ ZSK DNSKEY Zone-signing key (ZSK) Ключом ZSK подписаны все записи зоны 10 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 11. DNSSEC. Цепочка доверия DNSKEY (KSK) example DS .tld DNSKEY (KSK) sub.example DS example.tld DNSKEY (KSK) sub.example.tld 11 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 12. DNSSEC. Особенности ● Требует аккуратности и непрерывного обслуживания даже в статическом состоянии ● Сложное обслуживание ● Большой размер ответа ● Сложные реализации «отрицательного ответа» ● Возможность атаки с использованием предыдущих значений записей, которые ещё не устарели ● Необходимость стартовых настроек клиента ● Крайне слабая глубина внедрения ● Источник ответа не важен 12 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 13. DNSSEC. Использование Прозрачная проверка Потребитель получает фильтрованные ответы Явная проверка Потребитель явно указывает ресолверу, что хочет получить проверенный результат. Проверяет флаги ответа Усиленная проверка Потребитель проверяет подписи сам. Например, чтобы гарантировать подлинность записей для работы с DANE 13 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 14. DNSSEC. Тренды Алгоритм ECDSA ● скорость ● небольшой размер ответов по сравнению с RSA Подпись «на лету» ● использование «белой лжи» ● использование «чёрной лжи» Один ключ (Common Signing Key) ● уменьшает безопасность ● упрощает ротацию ключей 14 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 15. DNSSEC. Поддержка Клиенты DNS exim, systemd-resolved, утилиты dig, drill Ресолверы BIND, unbound, dnsmasq, PowerDNS recursor Авторитативные сервера DNS BIND, NSD, KNOT, PowerDNS, YADIFA, CoreDNS Сервера DNS с подписью «на лету» KNOT, CoreDNS, PowerDNS (частично) 15 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 16. DNSSEC. Типовые схемы клиента Серверы ● Настроен локальный кэширующий DNS с проверкой ● Настроен удаленный кэширующий DNS с проверкой ● Используется systemd-resolved и какой-нибудь удаленный кэширующий DNS ПК ● Настроен локальный кэширующий DNS с проверкой ● Настроен кэширующий DNS с проверкой на роутере ● Проверку реализует браузер 16 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 17. DNSSEC. Полезные материалы Полезные ссылки http://dnsviz.net/ Визуализация DNS и DNSSEC Мои презентации https://www.slideshare.net/schors/dnssec-71055077 Руководство оператора DNS https://www.slideshare.net/schors/dnssec-71055077 Руководство регистратора RFC RFC 4033 Введение в DNSSEC RFC 4034 Ресурсные записи для DNSSEC RFC 4035 Модификации протокола DNS для DNSSEC RFC 6781 Эксплуатация DNSSEC RFC 7583 Соображения по ротации ключей DNSSEC 17 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 18. DNSCurve Основные задачи ● Аутентификация авторитативного DNS-сервера ● Защита обмена между ресолвером и авторитативным сервером Принцип действия В записях NS домена задаётся публичный ключ DNS- сервера, предваряемый магической строкой "uz5": uz5qry75vfy162c239jgx7v2knkwb01g3d04qd4379s6mtcx2f0828.dnscurve.io. Между ресолвером и DNS-сервером устанавливается защищенное соединение по специальному протоколу с использованием шифрования ED25519. 18 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 19. DNSCurve. Особенности ● Представляет исключительно академический интерес ● Не меняет саму спецификацию DNS ● Основан на вере в целостность системы ● Зависимость от источника ответа ● Не продумана ротация ключей и миграция ● Протокол «прибит» к определенному шифру ● Реализации исключительно ознакомительные ● Внедрение отсутствует 19 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 20. DNSCurve. Материалы https://dnscurve.io/ Основной сайт https://tools.ietf.org/html/draft-dempsky-dnscurve-01 DNSCurve Draft https://mojzis.com/software/dq/ Реализация 20 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 21. Защита от прослушки DNS ● DNSCrypt ● DNS-over-TLS ● DNS-over-HTTPS Google API ● DNS-over-HTTP/2 ● Минимизация QNAME при запросах 21 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 22. DNSCrypt Основные задачи ● Аутентификация ресолвера ● Защита обмена между потребителем ресолвером Принцип действия Между потребителем и ресолвером устанавливается защищенное соединение по специальному протоколу с использованием шифрования ED25519. Протокол обмена полностью идентичен DNSCurve 22 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 23. DNSCrypt. Ключи Каждая сессия начинается запросом ключей и сертификатов KEY1 Короткий ключ CERT1 Короткий сертификат KEY Мастер-ключ Ресолвер отвечает списком ключей и сертификатов, с ограниченным временем жизни Все сертификаты утверждены мастер-ключом ресолвера. Он используется клиентами для аутентификации ресолвера. 23 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 24. DNSCrypt. Особенности ● Нет ни RFC, ни Draft. Только спецификация на сайте ● Не меняет спецификацию DNS ● Протокол «прибит» к определенному шифру ● Не предусмотрена замена мастер-ключа ● Заметное распространение ● Достаточно простой и быстрый ● 443 порт 24 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 25. DNSCrypt. Поддержка Клиенты Яндекс.Браузер Ресолверы (могут принять) unbound, dnsdist Ресолверы (могут спросить) dnscrypt-proxy Сервисы Яндекс.DNS… Это оказалось сложным, большинство публичных списков не актуальны 25 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 26. DNSCrypt. Материалы https://dnscrypt.info/protocol/ Спецификация DNSCrypt https://www.nlnetlabs.nl/projects/unbound Кэширующий DNS-сервер https://dnsdist.org/ DNS load balanser https://github.com/jedisct1/dnscrypt-proxy DNSCrypt-proxy 2 https://github.com/cofyc/dnscrypt-wrapper Серверная обёртка DNSCrypt https://dns.yandex.ru/ Яндекс.DNS 26 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 27. DNS-over-TLS (DoT) Основные задачи ● Аутентификация ресолвера ● Защита обмена между потребителем ресолвером Принцип действия Между потребителем и ресолвером устанавливается защищенное TLS-соединение. Внутри соединения – стандартный DNS протокол. 27 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 28. DNS-over-TLS. Особенности ● Требует установки TLS-соединения ● Не меняет спецификацию DNS ● Требует стартовых настроек клиента, если вы не Cloudflare и не можете получить сертификат x509 на IP-адрес ● 853 порт 28 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 29. DNS-over-TLS. Поддержка Клиенты systemd-resolved Ресолверы (могут принять) unbound, CoreDNS, dnsdist, KNOT Resolver Ресолверы (могут спросить) unbound, CoreDNS Сервисы Cloudflare DNS, Quad9 29 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 30. DNS-over-TLS. Материалы RFC7858 Спецификация DNS-over-TLS https://www.nlnetlabs.nl/projects/unbound Кэширующий DNS-сервер https://dnsdist.org/ DNS load balanser https://coredns.io/ CoreDNS сервер 30 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 31. DNS-over-HTTPS (Google API) Google предоставляет JSON-API к DNS Страница с описанием: https://developers.google.com/speed/public-dns/docs/dns-over-https Массово используется для веб-приложений 31 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 32. DNS-over-HTTPS (DoH) Основные задачи ● Аутентификация ресолвера ● Защита обмена между потребителем ресолвером Принцип действия Формируется специальный HTTP-запрос к ресолверу, в котором в один из параметров закодировано стандартное сообщение DNS. В ответ ресолвер отдает соответствующее сообщение DNS. 32 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 33. DNS-over-HTTPS. Особенности ● Работа через HTTPS ● Требует стартовых настроек клиента, если вы не Cloudflare и не можете получить сертификат x509 на IP-адрес ● Экспериментальный 33 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 34. DNS-over-HTTPS. Поддержка Клиенты FireFox, curl Ресолверы (могут принять) dnsdist-doh, facebook doh-proxy Ресолверы (могут спросить) dnscrypt-proxy Сервисы Cloudflare DNS, Google DNS 34 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 35. DNS-over-HTTPS. Материалы https://tools.ietf.org/html/draft-ietf-doh-dns-over-https-14 DoH Draft https://facebookexperimental.github.io/doh-proxy/ Facebook DoH proxy https://github.com/ahupowerdns/pdns/tree/dnsdist-doh Dnsdist-doh https://github.com/curl/curl/wiki/DNS-over-HTTPS Страница Curl о DoH Страница FireFox о DNS-over-HTTPS: https://blog.nightly.mozilla.org/2018/06/01/improving-dns-privacy-in-firefox/ 35 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 36. Минимизация QNAME Во время рекурсивного обхода ресолвер запрашивает у каждого сервера искомый домен. В итоге каждый сервер на пути обхода знает, кто и что конкретно искал. RFC7816 предлагает экспериментальную методику увеличения приватности при рекурсивном обходе. 36 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 37. Некоторые соображения ● Многие программы по умолчанию настраивают "opportunistic" режим. Это опасно ● Методов стало больше одного, информация не всегда обновляется и зачастую запутанна ● Just do it! Полезные ссылки https://dnsprivacy.org Проект DNSPrivacy 37 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 38. Вопросы Если возникли вопросы, предложения или требуется помощь, да и в любом случае — пишите мне: phil@diphost.ru 38 D I P H O S T CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE
  • 39. Это бесплатный документ, переданный в общественное достояние. Любой человек может свободно копировать, изменять, публиковать, цитировать, использовать, продавать или распространять этот документ на любых носителях целиком или по частям для любых коммерческих или некоммерческих целей во всех смыслах. Общественное достояние D I P H O S T 39 CryptoInstallFest 5Эшер II Филипп Кулин, III квартал 2018 года, UNLICENSE