Klik om de stijl te bewerken Klik om de modelstijlen te bewerken Tweede niveau Derde niveau Vierde niveau Vijfde niveau DNSSEC 4 December 2014 Jelte Jansen Wie zijn wij? | Mijlpalen | Organisate | Het huidige internet | Missie - Visie | Diensten | 1 Referentes | Samenvatng SIDN • “.nl” (Registry voor Nederland) • 5.5M domeinnamen, 1.600 registrars • Grootste DNSSEC zone van de wereld (1.9M signed) SIDN Labs • R&D team SIDN • Verdere verbetering diensten SIDN • Expertsecentrum • Verhoging veiligheid van Internet in Nederland • Faciliteren van extern onderzoek DNS DNSSEC in vogelvlucht: Signeren RRSIG example.dom. 7200 RRSIG SOA 5 3 7200 20131113113016 ( 20131014113016 57798 example.dom. TWLzBuUgXWMA9cj+xe6YMjXy2/VdauWnONk7 uAP8JcdzsemcfWov4cFzXowS2YX291+5jBMp m5AlwpM7ijbSBgAGz22ywlKN8JoOg3KtCM2Y UX/c8/ATbYEBPKRjBs+YQKmY1NppwSjFi9Y0 1fVEBbrCnI0EP33c/VK97s8oNG8= ) DNSSEC in vogelvlucht: signen • Maak een keypair aan • Sign je zone(s) ● BIND, NSD+ldns, PowerDNS, Secure64, Infoblox, etc. • Publiceer gesignde zones • Stuur public key naar parent DNSSEC in vogelvlucht: chain of trust • Chain of trust: • Vanaf een Trust Anchor (de root) • Via delegates (.nl, sidn.nl) • Naar het antwoord (www.sidn.nl) DNSSEC in vogelvlucht Root l? n . idn s . w ww at .nl www.sidn.nl? :7b 1 0 20 : 06: 6 : 8 85 www.sidn.nl? .nl 2001:7b8:c05::80:5 sidn.nl at 2001:610:0:800d::5 ww w Resolver 200 1 .sid n :7 b 8 :c 0 5::8 .nl? 0:5 sidn.nl DNSSEC in .nl: zones DNSSEC in .nl: queries DNSSEC in vogelvlucht: Potentele problemen • Sommige fouten worden expliciet ● ● Check je infrastructuur en test! Houd rekening bij verhuizingen en key rollovers • Antwoorden worden groter ● Gebruik RRL if supported • Controleer met online tools DNSSEC Test sites • Validate: • htps://dnssectest.sidnlabs.nl DNSSEC Test sites • Signeren: • htp://portolio.sidnlabs.nl:8080/form DNSSEC validate monitor .nl Registry .nl Registrar Support Desk Support Desk Validatng resolvers at ISP Phone call ValMon server Email (overview) Validaton errors Email (per registrar) Check 4 ISPs SIDN UNBOUND resolver Validate errors Validate errors DNSSEC in vogelvlucht Root l? n . idn s . w ww at .nl www.sidn.nl? :7b 1 0 20 : 06: 6 : 8 85 www.sidn.nl? .nl 2001:7b8:c05::80:5 sidn.nl at 2001:610:0:800d::5 ww w Resolver 200 1 .sid n :7 b 8 :c 0 5::8 .nl? 0:5 sidn.nl DNSSEC als basis • DANE: verbindt X.509 (bekend van htps) met DNS(SEC) ● Aanvullend op CA ● Maakt werkende self-signed certfcates mogelijk • In browser (met plugin) • Mail Transfer Agents DNSSEC Informatesites • htp://www.dnssec.nl • htp://www.dnsseccursus.nl Vragen? Jelte Jansen Research Engineer SIDN Labs [email protected] @twitjeb www.sidnlabs.nl @sidnlabs
© Copyright 2024 ExpyDoc
