Проект "Не взлетели": DNSSEC (Zeronights 2014)

•

0 likes•203 views

Artyom Gavrichenkov

Почему внедрение DNSSEC идёт так медленно

Internet

Артём Гавриченков
ximaera@qrator.net
gpg:fa1c670e
http://qrator.net/
Проект «Не взлетели»
DNSSEC

2
Nothing personal, just business
Каков коммерческий потенциал внедрения?

3
Nothing personal, just business
Каков коммерческий потенциал внедрения?
●
>>0
– WPA2: легко внедрить, снижает риски

4
Nothing personal, just business
Каков коммерческий потенциал внедрения?
●
>>0
– WPA2: легко внедрить, снижает риски
●
>0
– IPv6: полезен для бюджета

5
Nothing personal, just business
Каков коммерческий потенциал внедрения?
●
>>0
– WPA2: легко внедрить, снижает риски
●
>0
– IPv6: полезен для бюджета
●
=0
– ECDSA: пока хватает RSA

6
Nothing personal, just business
Каков коммерческий потенциал внедрения?
●
>>0
– WPA2: легко внедрить, снижает риски
●
>0
– IPv6: полезен для бюджета
●
=0
– ECDSA: пока хватает RSA
●
<0
– TLS Enforcement: legacy-устройства

7
Nothing personal, just business
• Risk Management > Risk Elimination
• Тактика > Стратегия

8
Nothing personal, just business
С коммерческой точки зрения,
Интернет – это World Wide Web
и её компоненты.

9
Nothing personal, just business
С коммерческой точки зрения,
Интернет – это World Wide Web
и её компоненты.
HTTP

10
Nothing personal, just business
С коммерческой точки зрения,
Интернет – это World Wide Web
и её компоненты.
HTTP
TCP DNS

11
Nothing personal, just business
С коммерческой точки зрения,
Интернет – это World Wide Web
и её компоненты.
HTTP
TCP
DNS
UDP

12
Nothing personal, just business
С коммерческой точки зрения,
Интернет – это World Wide Web
и её компоненты.
HTTP
TCP
DNS
UDP
IP

13
Формальная модель угроз
STRIDE
S Spoofing identity
T Tampering with data
R Repudiation
I Information disclosure
D Denial of service
E Elevation of privileges

14
World Wide Web
STRIDE
S Spoofing identity SSL+PKI
T Tampering with data SSL
R Repudiation SSL+Auth
I Information disclosure SSL
D Denial of service ?
E Elevation of privileges SSL+Auth

15
Nothing personal, just business
• World Wide Web справляется
без DNSSEC
– Другие протоколы вынуждены делать то же

16
Nothing personal, just business
• World Wide Web справляется
без DNSSEC
– Другие протоколы вынуждены делать то же
• Единственная* проблема HTTP,
которую решает* DNSSEC – это DoS
– DNSSEC можно использовать и для других задач,
но это нецелесообразно
– DNS Cache Poisoning

17
DNS Cache Poisoning
Методы решения:
• DNSSEC
• DNSCurve
• Source port randomization
+ Identification randomization
+ DDoS protection

18
Nothing personal, just business
Что из этого выгоднее реализовать?
• DNSSEC
• DNSCurve
• Source port randomization
+ Identification randomization
+ DDoS protection

Артём Гавриченков
ximaera@qrator.net
gpg:fa1c670e
http://qrator.net/
Спасибо за внимание!

Similar to Проект "Не взлетели": DNSSEC (Zeronights 2014)

Improve your security - 2018

Nikolay Saskovets

Why TDD doesn't work? (Кому что мешает, или почему TDD не работает?)

Acceptic

Визуализация взломов в собственной сети

Denis Batrankov, CISSP

VII Уральский форум Информационная безопасность банков ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ № 3 Аутсорсинг ИБ. Облачные сервисы и другие технологии Шабанов Алексей Алексеевич, эксперт по информационной безопасности SAP Источник: http://ural.ib-bank.ru/materials_2015

Обеспечение информационной безопасности в облачных бизнес-приложениях и дата-...

SelectedPresentations

HighLoad++ 2017 Зал «Сингапур», 8 ноября, 10:00 Тезисы: http://www.highload.ru/2017/abstracts/2948.html Не так часто на конференциях рассказывают про архитектуру платежных систем, особенно если они делались без legacy. Нашей платежной системе всего три года, из которых два в продакшне. Мы изначально проектировали надежную и масштабируемую систему, и за прошедшее время накопилось тем для рассказа. ...

Архитектура платежной системы: почти enterprise / Филипп Дельгядо (Информацио...

Ontico

презентация BitCalm

Evgeny Morozov

DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯ

StormWall.pro

CloudsNN 2013 Мызгин Игорь. Есть ли жизнь за мкадом или облака для всех

Clouds NN

IPv17 is the future of data transfer. We transmit your data around the world 17 times faster! We have a software solution that enables enterprise customers to transfer their data around the world 17 times faster that they can not using current standards. Unlike other companies that have data acceleration technologies our solution does not require additional hardware or bandwidth as a result, we are half the cost of any other solution. Our product will help you cope with the explosive growth of traffic reducing per-unit investment and energy consumption.

IPv17 Rus

Vasily Prosin

Lyamin idc2015

Alexander Lyamin

Lyamin idc2015

Alexander Lyamin

Защита корпоративной среды, Код ИБ, Казань, 15.10.2015

S-Terra CSP

S-Terra. Глеб Клименко, Александр Веселов "Защита корпоративной сети. От прод...

Expolink

С-Терра СиЭсПи. Глеб Клименко и Андрей Шпаков: "Защита корпоративной сети. От...

Expolink

Конфидент. Евгений Мардыко "Опыт построения защищенной инфраструктуры. Новые ...

Expolink

Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...

Expolink

ESET. Александр Зонов. Softline. Николай Загородний. "ESET. Просто. Удобно. Н...

Expolink

ESET. Александр Зонов. Softline. Николай Загородний. "ESET. Просто. Удобно. Н...

Expolink

Частное облако для CIO и CxO

Michael Kozloff

доклад сети и бизнес 1 марта юферов

DDI GROUP

Similar to Проект "Не взлетели": DNSSEC (Zeronights 2014) (20)

Improve your security - 2018

Why TDD doesn't work? (Кому что мешает, или почему TDD не работает?)

Визуализация взломов в собственной сети

Обеспечение информационной безопасности в облачных бизнес-приложениях и дата-...

Архитектура платежной системы: почти enterprise / Филипп Дельгядо (Информацио...

презентация BitCalm

DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯ

CloudsNN 2013 Мызгин Игорь. Есть ли жизнь за мкадом или облака для всех

IPv17 Rus

Lyamin idc2015

Защита корпоративной среды, Код ИБ, Казань, 15.10.2015

S-Terra. Глеб Клименко, Александр Веселов "Защита корпоративной сети. От прод...

С-Терра СиЭсПи. Глеб Клименко и Андрей Шпаков: "Защита корпоративной сети. От...

Конфидент. Евгений Мардыко "Опыт построения защищенной инфраструктуры. Новые ...

Конфидент. Евгений Мардыко: "Опыт построения защищенной инфраструктуры. Новые...

ESET. Александр Зонов. Softline. Николай Загородний. "ESET. Просто. Удобно. Н...

Частное облако для CIO и CxO

доклад сети и бизнес 1 марта юферов

Проект "Не взлетели": DNSSEC (Zeronights 2014)

1. Артём Гавриченков ximaera@qrator.net gpg:fa1c670e http://qrator.net/ Проект «Не взлетели» DNSSEC

2. 2 Nothing personal, just business Каков коммерческий потенциал внедрения?

3. 3 Nothing personal, just business Каков коммерческий потенциал внедрения? ● >>0 – WPA2: легко внедрить, снижает риски

4. 4 Nothing personal, just business Каков коммерческий потенциал внедрения? ● >>0 – WPA2: легко внедрить, снижает риски ● >0 – IPv6: полезен для бюджета

5. 5 Nothing personal, just business Каков коммерческий потенциал внедрения? ● >>0 – WPA2: легко внедрить, снижает риски ● >0 – IPv6: полезен для бюджета ● =0 – ECDSA: пока хватает RSA

6. 6 Nothing personal, just business Каков коммерческий потенциал внедрения? ● >>0 – WPA2: легко внедрить, снижает риски ● >0 – IPv6: полезен для бюджета ● =0 – ECDSA: пока хватает RSA ● <0 – TLS Enforcement: legacy-устройства

7. 7 Nothing personal, just business • Risk Management > Risk Elimination • Тактика > Стратегия

8. 8 Nothing personal, just business С коммерческой точки зрения, Интернет – это World Wide Web и её компоненты.

9. 9 Nothing personal, just business С коммерческой точки зрения, Интернет – это World Wide Web и её компоненты. HTTP

10. 10 Nothing personal, just business С коммерческой точки зрения, Интернет – это World Wide Web и её компоненты. HTTP TCP DNS

11. 11 Nothing personal, just business С коммерческой точки зрения, Интернет – это World Wide Web и её компоненты. HTTP TCP DNS UDP

12. 12 Nothing personal, just business С коммерческой точки зрения, Интернет – это World Wide Web и её компоненты. HTTP TCP DNS UDP IP

13. 13 Формальная модель угроз STRIDE S Spoofing identity T Tampering with data R Repudiation I Information disclosure D Denial of service E Elevation of privileges

14. 14 World Wide Web STRIDE S Spoofing identity SSL+PKI T Tampering with data SSL R Repudiation SSL+Auth I Information disclosure SSL D Denial of service ? E Elevation of privileges SSL+Auth

15. 15 Nothing personal, just business • World Wide Web справляется без DNSSEC – Другие протоколы вынуждены делать то же

16. 16 Nothing personal, just business • World Wide Web справляется без DNSSEC – Другие протоколы вынуждены делать то же • Единственная* проблема HTTP, которую решает* DNSSEC – это DoS – DNSSEC можно использовать и для других задач, но это нецелесообразно – DNS Cache Poisoning

17. 17 DNS Cache Poisoning Методы решения: • DNSSEC • DNSCurve • Source port randomization + Identification randomization + DDoS protection

18. 18 Nothing personal, just business Что из этого выгоднее реализовать? • DNSSEC • DNSCurve • Source port randomization + Identification randomization + DDoS protection

19. Артём Гавриченков ximaera@qrator.net gpg:fa1c670e http://qrator.net/ Спасибо за внимание!

Проект "Не взлетели": DNSSEC (Zeronights 2014)

Recommended

Recommended

More Related Content

Similar to Проект "Не взлетели": DNSSEC (Zeronights 2014)

Similar to Проект "Не взлетели": DNSSEC (Zeronights 2014) (20)

Проект "Не взлетели": DNSSEC (Zeronights 2014)