DNSSEC az időben. Pásztor Miklós március, Debrecen ISZT. Pásztor Miklós (ISZT) DNSSEC az időben március, Debrecen 1 / 39

Hasonló dokumentumok
DNS és IPv6. Pásztor Miklós május, Budapest ISZT, PPKE. Pásztor Miklós (ISZT, PPKE) DNS és IPv május, Budapest 1 / 21

DNSSEC: érvek s ellenérvek

Hálózati architektúrák laborgyakorlat

SZAKDOLGOZAT ÓBUDAI EGYETEM. Neumann János Informatikai kar Alba Regia Egyetemi Központ

DNS hamisítás szerepe, működése, védekezés. Benda Szabolcs G-5S5A Peller Nándor G-5i10 Sőregi Gábor G-5S5A

Névfeloldás hosts, nsswitch, DNS

LINUX BIND. Forrás:

DNS. DNS elmélet és szerverkonfiguráció. Összeállította: Sallai András. Terjesztés csak csak engedéllyel. Copyright 2006 v.2

AST_v3\ 7. Az alkalmazási réteg A DNS

Névszerverek: elsődleges: telenor1.irq.hu másodlagos: telenor2.irq.hu

ENUM technológia. Széchenyi István Egyetem

SPF és spamszűrés. Kadlecsik József KFKI RMKI

Network front-end. Horváth Gábor. Kovács Róbert. ELTE Informatikai Igazgatóság

Az Internet ökoszisztémája és evolúciója. Rétvári Gábor, Heszberger Zalán

ADATVÉDELMI NYILATKOZAT

Hálózati architektúrák és Protokollok GI - 9. Kocsis Gergely

Elnevezési rendszerek. A névtér elosztása (2) 4. előadás. A névfeloldás implementálása (1) A névfeloldás implementálása (2)

Domain Name System (DNS)

DOMAIN NÉV ÁTREGISZTRÁLÓ LAP

Ez a telepítési dokumentum segítséget nyújt abban, hogy szabályosan telepítse az Áfa átállító szoftvert Szerviz 7 programhoz.

Szkriptnyelvek. 1. UNIX shell

SZAKDOLGOZAT ÓBUDAI EGYETEM. Neumann János Informatikai kar Alba Regia Egyetemi Központ

Kiegészítő megállapodás az NIIFI Tagintézményi szerződéshez szerver tanúsítványok kiállítását illetően

VIII. Mérés SZÉCHENYI ISTVÁN EGYETEM GYŐR TÁVKÖZLÉSI TANSZÉK

ELTE, IK, Információs Rendszerek Tanszék

TANÚSÍTVÁNY. tanúsítja, hogy a Magyar Posta Biztosító Zrt. és a Magyar Posta Életbiztosító Zrt., illetve a Magyar Posta Zrt. által üzemeltetett

Transzport Réteg. Transzport réteg protokollok

Saját mail szervert használó Ügyfelek postafiókjainak áttétele Virtualoso szolgáltatásra

SZAKDOLGOZAT ÓBUDAI EGYETEM. Neumann János Informatikai kar Alba Regia Egyetemi Központ

VoIP technológiák összehasonlítása (H.323, SIP)

iranyirorszag REGISZTRÁCIÓS DÖNTNÖK DÖNTÉSE az iranyirorszag.hu domain név tárgyában indult eljárásban

DNS és IPv6. Jákó András BME TIO

Egy hónapja ismert a Kaminsky-DNS probléma Hol tart ma a hazai védekezés? A nagyok léptek, a kicsik lassúak

Az ENUM technológia. - oktatási anyag - Budapesti Műszaki és Gazdaságtudományi Egyetem, Informatikai Központ Verzió: 1.0 Dátum:

ÜGYFÉLKAPU AZONOSÍTÁSI SZOLGÁLTATÁS

A JGrid rendszer biztonsági architektúrája. Magyaródi Márk Juhász Zoltán Veszprémi Egyetem

T-Online-os Ügyfelek postafiókjainak áttétele Virtualoso szolgáltatásra. Ha az ügyfél még nem rendelkezik saját domain névvel

Domain nevek: az átalakuló ökoszisztéma

Bevezető. PoC kit felépítése. NX appliance. SPAN-Proxy

Web harvesztelés. Automatikus módszerekkel

Ingyenes DDNS beállítása MAZi DVR/NVR/IP eszközökön

Számítógépes hálózatok

ÜGYFÉL OLDALI BEÁLLÍTÁSOK KÉZIKÖNYVE

Domainregisztrációs Szolgáltatás Általános Szerződési Feltételei Darkware Bt.

Az Internet DNS Elv és konfiguráció 1. Az Internet DNS Elv és konfiguráció

DNS néz pontok. Tartalom. Pásztor Miklós április, Pécs. 1 Bevezetés Az internet DNS... 2

OpenLAB diák felület dokumentáció

DÖNTÉSE. a creatop. hu és a creatonet.hu domain nevek tárgyában indult eljárásban. Döntést

Linux hálózati adminisztráció

Hálózati beállítások Készítette: Jámbor Zoltán 2016

TERC V.I.P. hardverkulcs regisztráció

Tanszéki szórvány szerverek kiváltása a. Győry Endre Attila ELTE Informatikai Igazgatóság

Aláírási jogosultság igazolása elektronikusan

IBM i. Hálózatkezelés DHCP 7.1

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. 4. óra. Kocsis Gergely, Supák Zoltán

ADATSZOLGÁLTATÁS webes metaadat-szerkesztővel

Gyakorló feladatok az 1. nagy zárthelyire

oktoberfest.co adventbecs.hu oktoberfest.co.hu

A T-Online-os Ügyfelek postafiókjainak áttétele Virtualoso szolgáltatásra. Ha az ügyfél már rendelkezik saját domain névvel

KSHXML2 adatgyűjtési rendszer

Kormányzati Elektronikus Aláíró és Aláírás-ellenőrző Szoftver

Számítógépes Hálózatok 2011

Algoritmuselmélet. Gráfok megadása, szélességi bejárás, összefüggőség, párosítás. Katona Gyula Y.

Fábián Zoltán Hálózatok elmélet

Írásjogtól Rootig AIX-on

A csatlakozási szerződés 1. sz. melléklete

A csatlakozási szerződés 1. sz. melléklete

Vállalkozói szerződés Internetes tárhely szolgáltatás tárgyában

Tájékoztatás a Közbeszerzési Hatóság elektronikus rendszereinek főbb változásairól (Ajánlatkérők és megbízott képviselők számára)

nem kitalálni kiderül ne tippelj! A szerver IP-címe Kérdések: 64 bites Debian. VMWare virtuális gép

Táblázatok fontosabb műveletei 1

Tagi nyilatkozat elektronikus aláírás folyamata MicroSigner alkalmazás használatával

IPv6 alapok, az első lépések. Kunszt Árpád Andrews IT Engineering Kft.

Szolgáltatási csomagok I-SZERVIZ Kft. érvényes szeptember 1-től

Az Informatikai és Hírközlési Minisztérium ajánlása a közigazgatásban alkalmazható hitelesítési rendekre december 7.

Utolsó módosítás:

E s s z é H á l ó z a t I. t a n t á r g y h o z. a D N S

SSL elemei. Az SSL illeszkedése az internet protokoll-architektúrájába

Department of Software Engineering

Windows hálózati adminisztráció segédlet a gyakorlati órákhoz

RÉSZLEGES KÓDÚ TELEFONOS AZONOSÍTÁS (RKTA)

TECHNICOLOR TC cable-wifi gateway

Enterprise User Security

Címadó Pályázat Játékkiírás

Útmutató önkéntesek számára v.1

Felhasználó által definiált adattípus

Online adatnyilvántartó rendszer 12-ES MENÜ, AZ EDZŐK FELÜLETE

Windows XP -> 7 - Samba4 a PPKE-n

Tanúsítványkérelem készítése, tanúsítvány telepítése Lotus Domino szerveren

30 kreditpontot érő KRÉTA kurzushoz kapcsolódó folyamatok

Gmailes Ügyfelek postafiókjainak áttétele Virtualoso szolgáltatásra. Ha az ügyfél még nem rendelkezik saját domain névvel

Active Directory kiegészítő kiszolgálók telepítése és konfigurálása Windows Server 2003 R2 alatt

Alkalmazotti/partneri regisztráció gyorshivatkozási kártyája

IPv6 Elmélet és gyakorlat

1. Állományapasztás szempontjai

IMOLA. Integrált MOKKA2, ODR2 és OLA. Vándorgyűlés Szombathely, 2008 július 25. Monguz MTA SZTAKI konzorcium

AZ ELEKTRONIKUS KÖZBESZERZÉSI RENDSZER (EKR RENDSZER) BEMUTATÁSA MINISZTERELNÖKSÉG

Közlemények kézi felvitele

Nokia N97_mini (Mail for Exchange) beállítása Virtualoso levelezésre

Alap protokollok. NetBT: NetBIOS over TCP/IP: Name, Datagram és Session szolgáltatás.

Átírás:

DNSSEC az időben Pásztor Miklós ISZT 2016. március, Debrecen Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 1 / 39

Miről lesz szó? 1 DNSSEC terjedés 2 A regisztrátorváltás problémája 3 Eljárásrend DNSSEC-cel védett domain módosításakor 4 Mekkora baj a hiba? Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 2 / 39

DNSSEC terjedés 1 DNSSEC terjedés 2 A regisztrátorváltás problémája 3 Eljárásrend DNSSEC-cel védett domain módosításakor 4 Mekkora baj a hiba? Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 3 / 39

DNSSEC terjedés DNSSEC terjedés a világban 1999: RFC2535, az első DNSSEC RFC 2005: RFC4033-RFC4035, máig érvényes alapjai a DNSSEC működésnek 2005:.se bevezeti a DNSSEC-et 2010: A gyökér (.) domainban bevezetik a DNSSEC-et 2013: A google publikus rekurzív névszerverei (8.8.8.8, 8.8.4.4) is DNSSEC-cel működnek Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 4 / 39

DNSSEC terjedés 2016. márciusi állapot A TLD-k 91%-a DNSSEC-cel védett Ehhez nagyban hozzájárul, hogy a kb. 1000 új TLD-nél kötelező volt A másodlagos domain-oknak csak 3%-a védett DNSSEC-cel Forrás: http://rick.eng.br/dnssecstat/ DNSSEC-cel védett TLD-k SLD-k Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 5 / 39

DNSSEC terjedés DNSSEC terjedés a.hu alatt 2011 április: kísérleti DNSSEC szolgáltatás 2014 október: az éles.hu zóna DNSSEC-cel működik 2015 február: a gyökér zónába bekerül a.hu-hoz tartozó DS rekord 2015 augusztus: a.hu és a nyilvános SLD-k alá elfogadunk DNSSEC delegálásokat Az első nap egyetlen DNSSEC-cel védett delegálás: niif.hu! 2016 március: a DNSSEC-cel védett domain-ok aránya 689/93 ezer, 13%! a.hu autoritatív névszerverekhez intézett kérdések 3,24%-a DS Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 6 / 39

DNSSEC terjedés DNSSEC a.hu regisztrációnál A szuperkft.hu zónát DNSSEC szerint kell konfiguálni A regisztrátor a regisztrációs felületen domain módosítást kezdeményez Bebillenti a DNSSEC chceckbox-ot A regisztrációs rendszer képezi a szuprekft.hu DS rekordját a zónában levő DNSKEY rekordból, és ellenőriz A regisztrációs adatbázisba és a.hu zónába bekerül a DS rekord Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 7 / 39

A regisztrátorváltás problémája 1 DNSSEC terjedés 2 A regisztrátorváltás problémája 3 Eljárásrend DNSSEC-cel védett domain módosításakor 4 Mekkora baj a hiba? Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 8 / 39

A regisztrátorváltás problémája Regisztrátorváltás A.hu zónát több mint 100 regisztrátor szervezet kezeli Gyakran kérnek domain tulajdonosok regisztrátorváltást Ilyenkor a tulajdonosnak csak az új regisztrátorral kell felvennie a kapcsolatot Valójában nem is a regisztrátorváltás, hanem a DNS operátor váltás okoz gondot Nem lehet baj, ha a szuperkft.hu zóna névszerverei változatlanok, nem a regisztrátor kezelésében, hanem saját (vagy más külső) cég kezelésében vannak Viszont regisztrátorváltás nélkül is baj lehet, ha például egy másik külső cég veszi át a DNS szolgáltatást, az autoritatív névszerverek kezelését Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 9 / 39

A regisztrátorváltás problémája Milyen baj lehet DNSSEC nélküli esetben? A www.szuperkft.hu A rekord cache-elve van egy rekurzív névszerverben A rekurzív névszerver felhasználói a változtatás után is a régi értéket kapják Elavult információkat kapnak Lehet, hogy a régi címen már nem is működik semmi Védekezés A DNS operátor váltás után egy ideig ne változzanak a tényleges (pl. A, MX) rekordok Párhuzamosan működjön egy ideig (TTL ideig) a régi és az új helyen pontosan ugyanaz a szolgáltatás Változás előtt vegyük le a szolgáltatásokhoz tartozó rekordok TTL idejét, és várjuk ki a régi TTL időt Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 10 / 39

A regisztrátorváltás problémája Milyen baj lehet DNSSEC esetén? Lehet, hogy bizonyos információkat a régi, másokat az új névszerverektől kapunk A DNSSEC ellenőrzés megbukhat ilyenkor nem elavult, hanem semmilyen információt nem kapunk, mert meghiúsul a névfeloldás A régi védekezési módok mind csődöt mondanak! Például: A szuperkft.hu eddig is DNSSEC-cel védett volt, DS rekordjának TTL-je 1 nap A regisztrátor óvatlanul módosítja a DS és NS rekordokat a.hu-ban Egy új A rekord aláírás ellenőrzése megbukik akár 1 teljes napon át a régi, cache-ben levő DNSKEY-vel! Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 11 / 39

Eljárásrend DNSSEC-cel védett domain módosításakor 1 DNSSEC terjedés 2 A regisztrátorváltás problémája 3 Eljárásrend DNSSEC-cel védett domain módosításakor 4 Mekkora baj a hiba? Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 12 / 39

Eljárásrend DNSSEC-cel védett domain módosításakor A DNSSEC megszüntetés A szuperkft.hu domain DNSKEY rekordjait nem vehetjük ki addig a zónából, amíg a.hu-ban ott a megfelelő DS rekord Akkor is baj lehet, ha egy időben vesszük ki a zónából a DNSSEC rekordokat az apuka zónában levő DS rekorddal Ilyenkor előfordulhat, hogy a DS rekord még a cache-ben van A validáló rekurzív névszerver csak akkor fogja feloldani a neveket, ha megfelelő DNSKEY rekordo(ka)t és aláírásokat talál a zónában A DNSKEY rekordokat, aláírásokat viszont büntetlenül be lehet vezetni egy zónában, amíg nincs az apuka (.hu) zónában a DS rekord Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 13 / 39

Eljárásrend DNSSEC-cel védett domain módosításakor Sorrendek DNSSEC bevezetésekor és megszüntetéskor Bevezetés 1 Generálunk kulcsokat, aláírjuk a zónát 2 Szolgáltatjuk a DNSSEC-cel védett zónát 3 Tesztelünk, figyelünk 4 Bevezetjük az apuka zónába a megfelelő DS rekordot Megszüntetés 1 Kivesszük az apuka zónából a DS rekordot 2 Várunk 3 Kivesszük a zónából a DNSSEC rekordokat 4 Szolgáltatjuk a DNSSEC nélküli zónát Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 14 / 39

Eljárásrend DNSSEC-cel védett domain módosításakor DNSSEC megszüntetés, 1. fázis Kezdetben a.hu alatt a régi (R) szolgáltatóhoz tartozó NS és DS rekordok vannak Az új (N) szolgáltató már bekonfigurálta DNSSEC nélkül a domain-t Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 15 / 39

Eljárásrend DNSSEC-cel védett domain módosításakor DNSSEC megszüntetés, 2. fázis Az új regisztrátor módosítja a domain-t úgy, hogy az NS RRset a régi marad A delegálás DNSSEC nélküli. Kikerül a DS rekord a.hu zónából A következő lépés előtt várni kell legalább a régi DS TTL idejének és a régi DNSKEY rrset TTL idejének maximumát Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 16 / 39

Eljárásrend DNSSEC-cel védett domain módosításakor DNSSEC megszüntetés, 3. fázis A.hu zónába bekerülnek az új szolgáltatóhoz tartozó NS rekordok Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 17 / 39

Eljárásrend DNSSEC-cel védett domain módosításakor DNS szolgáltatóváltás a DNSSEC működés ideiglenes szüneteltetésével Nem lesznek DNSSEC hibák, ha Az új DNS operátor először is kiveszi a.hu alól a DS rekordot Vár a DS rekord TTL idejéig Módosítja az NS RRset-et a.hu alatt Vár (régi) NS TTL ideig, Ezek után vezeti be az új DS rekordokat. Hátrány: lesz egy idő, amikor a zóna DNSSEC szempontból védtelen Ha a zónában vannak DNSSEC-et feltételező szolgáltatások (pl. SSHFP vagy DANE), akkor ezek ezalatt az idő alatt nem fognak működni Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 18 / 39

Eljárásrend DNSSEC-cel védett domain módosításakor Szolgáltatóváltás DNSSEC szüneteltetéssel, 1. fázis Kezdetben a.hu névszerverben a régi (R) szolgáltatóhoz tartózó DS és NS rekord van Az új (N) szolgáltató is bekonfigurálta már a zónát Az új szolgáltatónál a DNSSEC is be lehet konfigurálva, ez a folyamatban nem okoz zavart Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 19 / 39

Eljárásrend DNSSEC-cel védett domain módosításakor Szolgáltatóváltás DNSSEC szüneteltetéssel, 2. fázis Az új regisztrátor kiveszi a régi DS rekorodot a régi NS RRset változatlanul hagyásával A következő lépés előtt a régi DS rekord TTL idejét várni kell Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 20 / 39

Eljárásrend DNSSEC-cel védett domain módosításakor Szolgáltatóváltás DNSSEC szüneteltetéssel, 3. fázis Az új regisztrátor NS rekord módosítást kezdeményez DNSSEC megadása nélkül Az új zónában ott lehetnek már a DNSSEC rekordok, ezek nem jutnak addig érvényre, míg a bizalmi lánc nem záródik, vagyis a.hu zónába nem kerülnek be az új DS rekordok A következő lépés előtt a régi NS rekord TTL idejét várni kell Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 21 / 39

Eljárásrend DNSSEC-cel védett domain módosításakor Szolgáltatóváltás DNSSEC szüneteltetéssel, 4. fázis Az új regisztrátor DNSSEC-cel konfigurálja a regisztrátori felületen a domaint Bekerül az új DS rekord a.hu zónába, újra zárul a bizalmi lánc Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 22 / 39

Eljárásrend DNSSEC-cel védett domain módosításakor DNS szolgáltató váltás folyamatos DNSSEC működéssel El lehet érni, hogy DNS szolgáltató váltás során is folyamatosan DNSSEC szerint biztonságosan fel lehessen oldani a szuperkft.hu alatt levő neveket Az apuka zónában, a.hu alatt ilyenkor is háromszor kell változtatást kezdeményezni Az egyes lépések közt várni, hogy a cache-ekből a régi adatok kikerüljenek Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 23 / 39

Eljárásrend DNSSEC-cel védett domain módosításakor DNS szolgáltató váltás folyamatos DNSSEC működéssel, 1. fázis Kezdetben a.hu névszerverben a régi (R) szolgáltatóhoz tartózó DS és NS rekord van Az új (N) szolgáltató is bekonfigurálta már a zónát Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 24 / 39

Eljárásrend DNSSEC-cel védett domain módosításakor DNS szolgáltató váltás folyamatos DNSSEC működéssel, 2. fázis Az új szolgáltató a régi DNSKEY RRset-ben levő ZSK és KSK rekordokat is beteszi a saját DNSKEY RRset-be Aláírja az új KSK-val Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 25 / 39

Eljárásrend DNSSEC-cel védett domain módosításakor DNS szolgáltató váltás folyamatos DNSSEC működéssel, 3. fázis A régi szolgáltató az új DNSKEY RRset-ben levő ZSK és KSK rekordokat is beteszi a saját DNSKEY RRset-be Aláírja a régi KSK-val Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 26 / 39

Eljárásrend DNSSEC-cel védett domain módosításakor DNS szolgáltató váltás folyamatos DNSSEC működéssel, 4. fázis A.hu zónába bekerül az új DS a régi mellé Az NS rekord RRset még a régi Ezt az új regisztrátor úgy tudja elérni, hogy domain módosítást kér DNSSEC-cel úgy, hogy a regisztrációs rendszerben egy régi névszervert ad meg kiinduló NS-ként A következő lépés előtt várni kell legalább a régi DS TTL idejének és a régi DNSKEY rrset TTL idejének maximumát Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 27 / 39

Eljárásrend DNSSEC-cel védett domain módosításakor DNS szolgáltató váltás folyamatos DNSSEC működéssel, 5. fázis A.hu zónában a régi NS RRset-et az új váltja fel A régi DS még bent marad az újjal együtt Ezt az új regisztrátor úgy tudja elérni, hogy domain módosítást kér DNSSEC-cel úgy, hogy a regisztrációs rendszerben egy új névszervert ad meg kiinduló NS-ként A következő lépés előtt várni kell legalább a maximumát a következő három értéknek: régi NS rekord TTL ideje az apuka (.hu) zónában régi NS rekord TTL ideje a régi zónában a legnagyobb TTL az aláírt régi zónában Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 28 / 39

Eljárásrend DNSSEC-cel védett domain módosításakor DNS szolgáltató váltás folyamatos DNSSEC működéssel, 6. fázis Az új szolgáltató kiveszi a régi szolgáltatóhoz tartozó DNSKEY rekordokat Újra aláír az új KSK-val Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 29 / 39

Eljárásrend DNSSEC-cel védett domain módosításakor DNS szolgáltató váltás folyamatos DNSSEC működéssel, 7. fázis A.hu zónából kikerül a régi DS, miután az új regisztrátor domain módosítást kért Ezzel lezárul a DNS szolgáltató váltás folyamata. Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 30 / 39

Mekkora baj a hiba? 1 DNSSEC terjedés 2 A regisztrátorváltás problémája 3 Eljárásrend DNSSEC-cel védett domain módosításakor 4 Mekkora baj a hiba? Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 31 / 39

Mekkora baj a hiba? Kísérlet Szándékosan hibás DNS szolgáltató váltás A DNSKEY, DS rekordok is változnak Az isztteszt2.hu zóna névszerver Mennyi ideig, és mely rekurzív névszervereknél lesz hiba? Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 32 / 39

Mekkora baj a hiba? Kitérő dnsyo https://github.com/samarudge/dnsyo DNS terjedés ellenőrzésére szolgáló eszköz pythonban Megmondja, hogy sok-sok rekurzív névszerver hogyan old fel egy-egy nevet Tartalmaz egy > 1000 szerverből álló rekurzív szerver listát Ezekből 76 válaszol AD bittel Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 33 / 39

Mekkora baj a hiba? A kísérletünknél felhasznált rekurzív szerverek A dnsyo 76 szervere Természetesen 8.8.8.8 és 8.8.4.4 ott van köztük Az Invitel két rekurzív szervere (évek óta DNSSEC-cel működnek!) 62.77.203.10 213.163.34.66 Az OARC validáló szerverei 149.20.64.20 149.20.64.21 127.0.0.1: itt Unbound 1.4.17 fut IPv6 címeket nem használtunk Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 34 / 39

Mekkora baj a hiba? Az ellenőrző szkript #!/bin/sh while true; do T=$(date +%F_%T) for i in $(cat /var/tmp/godi-rekurziv-lista);do echo $i;dig a.isztteszt2.hu @$i;done >/var/tmp/r-$t sleep 120 done A szkript futása közben változtattuk az isztteszt2.hu névszervereit a.hu zónában Az NS és a DNSKEY rekordok is változtak Durva változtatás, nem volt másik névszerverhez tartozó DNSKEY rekord sem a régi, sem az új névszerverben Az a.isztteszt2.hu TTL-jét változtattuk Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 35 / 39

Mekkora baj a hiba? Tapasztalatok TTL=86400 eset Sok névszervernél egyáltalán nem jelentkezett hiba A Google nyilvános névszervereinél egyáltalán nem volt hiba A hibát mutató névszerverek közül is a legtöbb egy órán belül rendbejött TTL=300 eset Minden névszerver hibát (SERVFAIL-t) jelzett A Google nyilvános névszerverei egy órán belül rendben mutatták az új értéket A hibát mutató névszerverek közül némelyik közel egy napig nem jött rendbe Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 36 / 39

Mekkora baj a hiba? Tanulságok Általában nem olyan rossz a helyzet, mint amilyen lehetne Ha levesszük a közönséges (pl. A) rekord TTL-jét DNSSEC esetben, az csak ront a helyzeten! A rekurzív névszerverek védekezhetnek és némelyek valóban védekeznek bizalmi lánc megtörése ellen Az autoritatív szervertől kapott TTL-t felülbírálhatják Ha megbukik egy DNSSEC ellenőrzés, újra kérik a DNSSEC (DS, DNSKEY) rekordokat A Google nyilvános névszerverei biztosan csinálják Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 37 / 39

Mekkora baj a hiba? TTL felülbírálás A rekurzív névszervereket újraindíthatják A rekurzív névszerverben lehet minimum/maximuma a TTL-nek A rekurzív névszerver használhat forwardereket (DNS proxykat) A rekurzív névszerver lehet multihomed hoszt, amik egymástól független cache-t használnak Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 38 / 39

Mekkora baj a hiba? DNSSEC és DNS szolgáltató váltás problémájáról szóló olvasnivaló 1 Peter Koch draft-ja alapos munka (bár sajtóhibáktól nem mentes): https://tools.ietf.org/html/draft-koch-dnsop-dnssec-operator-change-06 2 Steve Crocker előadása: http://conferences.npl.co.uk/satin/presentations/satin2011slides-crocker.pdf 3 ISOC dokumentum EPP-vel történő változtatásra: http://wp.me/p4eijv-4lf 4 Verisign segédlet: https://www.verisign.com/assets/whitepaper-dnssec-transfers.pdf 5 A.pl regisztrációs segédlet is tartalmaz DNS szolgáltató váltásra vonatkozó információt a 6. és 7. pontban. 6 Az.at segédlet nem szól a regisztrátorváltáskor fellépő nehézségekről. 7 A dyn.com szolgáltató írása lépésről lépésre leírja a DNSSEC-cel védett zónánál a szolgáltató váltás folyamatát. 8 http://deneb.iszt.hu/~pasztor/dnssec-regisztrator-valtas.html Pásztor Miklós (ISZT) DNSSEC az időben 2016. március, Debrecen 39 / 39

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés