5-12-2014 | 1 DNSsec aan de RuG Mente H. Heemstra 5-12-2014 | 2 Agenda › › › › › › › › › Waarom DNSsec Eerste setup: 1 domein (kvi.nl) Tweede setup: (complex) domein rug.nl Onderdelen Challenges opendnssec Generieke challenges Toekomst Resolving Borgen DNS 5-12-2014 | 3 Waarom DNSSEC? › › › › DNS verzoeken leveren antwoorden Kloppen de antwoorden? Gebruik van certificaten Klopt het certificaat niet? Dan zou het antwoord wel eens verdacht kunnen zijn? 5-12-2014 | 4 Implementatie › Eerst KVI.nl op basis van opendnssec › Daarna rug.nl op basis van Bind 9.7 met een signed hidden master op basis van openddnssec 5-12-2014 | 5 Onderdelen implementatie rug.nl › › › › 1 hidden master unsigned (opendnssec) 1 hidden master signed (openddnssec) 3 nameservers voor rug.nl (plus twee van SURFnet) 4 resolvers • 2 fysiek • 2 VMs • Evt SURFnet resolvers 5-12-2014 | 6 Challenges van opendnssec › Niet volautomatisch › Workaround gebouwd: niet probleemloos › Probleem: wijzigingen in signed hidden hebben geen effect op unsigned hidden, dus wijzigingen in unsigned hidden vragen om kennis van serials van signed hidden › Veel handwerk: voor één domein haalbaar, voor meerdere domeinen vrijwel onwerkbaar 5-12-2014 | 7 Generieke challenges › Doorvoeren van wijzigingen › Effectief tenminste drie sleutels (ZSK’s): • Vorige • Huidige • Toekomstige › Ook meerdere versies van KSK (maar rollover eens per jaar, dus niet echt een noodzaak voor een derde) › DS record in .nl moet handmatig worden gewijzigd 5-12-2014 | 8 Toekomst: Bind 9.9 › Overgang naar Bind 9.9 • Integratie van signed en unsigned hidden • Betere automatisering • Eenvoudiger terugkeer naar unsigned • Wel acties via provider (SIDN) voor top-level signatures 5-12-2014 | 9 Openddnssec -> Bind › Procedure voor omzetten van unsigned hidden master naar signed hidden master op basis van Bind 9.9 › Procedures voor key roll overs • ZSK (Zone Signing Key) elke 30 dagen • KSK (Key Signing Key) elk jaar 5-12-2014 | 10 Resolving › Nameservers: voor verzoeken binnen .rug.nl › Resolvers: voor interne clients • Stealth authority voor .rug.nl › DNSsec checking door resolvers 5-12-2014 | 11 DNSsec controle › Resolvers checken signatures • Blokkade specifieke domeinen (key fouten) • Onze eerste reactie: uitzetten DNSSEC resolving • Uiteindelijk: probleem melden en status handhaven • Bind 10? Whitelisting? • En wil je dat? 5-12-2014 | 12 Borgen van DNS › Als de resolvers niet kloppen: • DNS kan worden gekaapt • Antwoorden niet betrouwbaar (sleutel problemen) › Oplossingen • Resolvers specifiek aan de gebruikers melden • DNS proxy 5-12-2014 | 13 Vragen? Bedankt voor uw aandacht!
© Copyright 2024 ExpyDoc
