Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

DNSSEC

438 views

Published on

Линуксовка. Январь 2013

  • Be the first to comment

  • Be the first to like this

DNSSEC

  1. 1. DNSSECФилипп Кулин,schors@gmail.com30.01.2013
  2. 2. Зачем DNSSEC• Цепочка доверия для записей откорневой зоны.• Предотвращение атаки «мужикпосерёдке»• Вкусняшки: RR CERT, RR SSHFP, DANE
  3. 3. Принцип работы DNSSEC• Ключи ZSK и KSK задаются в записяхтипа DNSKEY• Все наборы записей зоныподписываются ZSK (записи RRSIG)• Набор записей DNSKEYподписываются в том числе KSK• Хэш KSK передаётся родителю (записьDS)
  4. 4. NSEC и NSEC3Защита от подделки отрицательногоответа (домена не существует).В отрицательном ответе выдаётся NSEСзапись для следующего домена. NSEC3 –для хэшированного имени следующегодомена.
  5. 5. Алоритмы• Традиционный RSASHA1 и SHA1• Новые RSASHA256 и SHA256• Алиасы традиционных для поддержкиNSEC3 – RSANSEC3SHA1• Алгоритмы ГОСТ (не поддерживаютхэш NSEC3)
  6. 6. Границы времени DNSSEC• Максимальное TTL зоны• Время действия подписи в RRSIG• TTL должно быть частью временидействия подписи• Действия с DNSSEC должны бытьаккуратно расписаны по временнымметкам
  7. 7. Ротация ключей• Для смены ZSK обычно публикуютновый ZSK заранее.• Для смены KSK публикуют новый KSK иподписывают новым и старымодновременно.
  8. 8. Настройка и ПО• Ldns http://www.nlnetlabs.nl/projects/ldns/• BIND (лучше сразу 9.9)• DNSSEC-Tools (на основе BIND Tools)https://www.dnssec-tools.org• Алгоритмы ГОСТ
  9. 9. Практика эксплуатацииRFC 6781
  10. 10. Сложности DNSSEC• Смена NS. Легче через промежуточныеключи.• Имеется тяжкое наследие. Путаница вдокументации.• Файл hosts• Метод блокировки сайтов через DNS….
  11. 11. DANE• Реализует цепочку доверия длясертификата, подтверждая егодоменное имя.• Запись TLSA:_443._tcp.example.com. IN TLSA ( 3 0 030820307308201efa003020102020... )• Браузеры пока нет, exim – в разработке.• RFC 6698
  12. 12. Поддержка DNSSEC• Google Public DNS при явном указаниибита DO• Регистратор GoDaddy• Регистратор Directi НЕ поддерживает• RU/SU/РФ подписаны• Из наших регистраторов –пользователи «виртуальногорегистратора», частично RU-CENTER
  13. 13. ВОПРОСЫ?Филипп Кулинschors@gmail.com

×