Документ обсуждает коммерческий потенциал внедрения различных технологий безопасности в интернет-пространстве, таких как WPA2, IPv6 и DNSSEC. Описываются их преимущества и недостатки, а также вопросы управления рисками и защиты от атак. Также рассматриваются методы защиты от DNS-атак, включая DNSSEC и другие альтернативные решения.

1. Артём Гавриченков
ximaera@qrator.net
gpg:fa1c670e
http://qrator.net/
Проект «Не взлетели»
DNSSEC

2. 2
Nothing personal, just business
Каков коммерческий потенциал внедрения?

3. 3
Nothing personal, just business
Каков коммерческий потенциал внедрения?
●
>>0
– WPA2: легко внедрить, снижает риски

4. 4
Nothing personal, just business
Каков коммерческий потенциал внедрения?
●
>>0
– WPA2: легко внедрить, снижает риски
●
>0
– IPv6: полезен для бюджета

5. 5
Nothing personal, just business
Каков коммерческий потенциал внедрения?
●
>>0
– WPA2: легко внедрить, снижает риски
●
>0
– IPv6: полезен для бюджета
●
=0
– ECDSA: пока хватает RSA

6. 6
Nothing personal, just business
Каков коммерческий потенциал внедрения?
●
>>0
– WPA2: легко внедрить, снижает риски
●
>0
– IPv6: полезен для бюджета
●
=0
– ECDSA: пока хватает RSA
●
<0
– TLS Enforcement: legacy-устройства

7. 7
Nothing personal, just business
• Risk Management > Risk Elimination
• Тактика > Стратегия

8. 8
Nothing personal, just business
С коммерческой точки зрения,
Интернет – это World Wide Web
и её компоненты.

9. 9
Nothing personal, just business
С коммерческой точки зрения,
Интернет – это World Wide Web
и её компоненты.
HTTP

10. 10
Nothing personal, just business
С коммерческой точки зрения,
Интернет – это World Wide Web
и её компоненты.
HTTP
TCP DNS

11. 11
Nothing personal, just business
С коммерческой точки зрения,
Интернет – это World Wide Web
и её компоненты.
HTTP
TCP
DNS
UDP

12. 12
Nothing personal, just business
С коммерческой точки зрения,
Интернет – это World Wide Web
и её компоненты.
HTTP
TCP
DNS
UDP
IP

13. 13
Формальная модель угроз
STRIDE
S Spoofing identity
T Tampering with data
R Repudiation
I Information disclosure
D Denial of service
E Elevation of privileges

14. 14
World Wide Web
STRIDE
S Spoofing identity SSL+PKI
T Tampering with data SSL
R Repudiation SSL+Auth
I Information disclosure SSL
D Denial of service ?
E Elevation of privileges SSL+Auth

15. 15
Nothing personal, just business
• World Wide Web справляется
без DNSSEC
– Другие протоколы вынуждены делать то же

16. 16
Nothing personal, just business
• World Wide Web справляется
без DNSSEC
– Другие протоколы вынуждены делать то же
• Единственная* проблема HTTP,
которую решает* DNSSEC – это DoS
– DNSSEC можно использовать и для других задач,
но это нецелесообразно
– DNS Cache Poisoning

17. 17
DNS Cache Poisoning
Методы решения:
• DNSSEC
• DNSCurve
• Source port randomization
+ Identification randomization
+ DDoS protection

18. 18
Nothing personal, just business
Что из этого выгоднее реализовать?
• DNSSEC
• DNSCurve
• Source port randomization
+ Identification randomization
+ DDoS protection

19. Артём Гавриченков
ximaera@qrator.net
gpg:fa1c670e
http://qrator.net/
Спасибо за внимание!