sessão de divulgação de dnssec - …...portuguesa para a adopção de dnssec objectivos...
TRANSCRIPT
![Page 1: Sessão de Divulgação de DNSSEC - …...Portuguesa para a adopção de DNSSEC Objectivos •Promover a implementação de DNSSEC •Facilitar a adopção de DNSSEC •Fornecer documentação](https://reader034.vdocuments.net/reader034/viewer/2022042408/5f2404b92c2e5c663d439c4c/html5/thumbnails/1.jpg)
DNSSEC no .PT
Acção de Sensibilização DNSSEC
25 de Novembro de 2009
Sara Monteiro
Serviço de Infra-estrutura Técnica DNS.PT
![Page 2: Sessão de Divulgação de DNSSEC - …...Portuguesa para a adopção de DNSSEC Objectivos •Promover a implementação de DNSSEC •Facilitar a adopção de DNSSEC •Fornecer documentação](https://reader034.vdocuments.net/reader034/viewer/2022042408/5f2404b92c2e5c663d439c4c/html5/thumbnails/2.jpg)
DNSSEC no .pt
• Âmbito
• Objectivos
• O que é o DNS?
• O que é o DNSSEC?
• Vantagens/Benefícios
• Adopção
• Ferramentas
• Desenvolvimentos
• Trabalho Futuro
![Page 3: Sessão de Divulgação de DNSSEC - …...Portuguesa para a adopção de DNSSEC Objectivos •Promover a implementação de DNSSEC •Facilitar a adopção de DNSSEC •Fornecer documentação](https://reader034.vdocuments.net/reader034/viewer/2022042408/5f2404b92c2e5c663d439c4c/html5/thumbnails/3.jpg)
Âmbito
Preparar a comunidade de Internet
Portuguesa para a adopção de DNSSEC
![Page 4: Sessão de Divulgação de DNSSEC - …...Portuguesa para a adopção de DNSSEC Objectivos •Promover a implementação de DNSSEC •Facilitar a adopção de DNSSEC •Fornecer documentação](https://reader034.vdocuments.net/reader034/viewer/2022042408/5f2404b92c2e5c663d439c4c/html5/thumbnails/4.jpg)
Objectivos
• Promover a implementação de DNSSEC
• Facilitar a adopção de DNSSEC
• Fornecer documentação de desenvolvimento
• Partilhar conhecimento, experiência e aprender da
experiência de outros TLDs
• Aplicar as melhores práticas no que diz respeito a
segurança e protecção dos dados
![Page 5: Sessão de Divulgação de DNSSEC - …...Portuguesa para a adopção de DNSSEC Objectivos •Promover a implementação de DNSSEC •Facilitar a adopção de DNSSEC •Fornecer documentação](https://reader034.vdocuments.net/reader034/viewer/2022042408/5f2404b92c2e5c663d439c4c/html5/thumbnails/5.jpg)
O que é o DNS?
Domain Names System:
• Protocolo de comunicação
• Resolução de nomes em endereços e vice-versa
• Base de dados global e distribuída
• Fundamental para a Internet
• Serviço simples e útil
![Page 6: Sessão de Divulgação de DNSSEC - …...Portuguesa para a adopção de DNSSEC Objectivos •Promover a implementação de DNSSEC •Facilitar a adopção de DNSSEC •Fornecer documentação](https://reader034.vdocuments.net/reader034/viewer/2022042408/5f2404b92c2e5c663d439c4c/html5/thumbnails/6.jpg)
O que é o DNS?
![Page 7: Sessão de Divulgação de DNSSEC - …...Portuguesa para a adopção de DNSSEC Objectivos •Promover a implementação de DNSSEC •Facilitar a adopção de DNSSEC •Fornecer documentação](https://reader034.vdocuments.net/reader034/viewer/2022042408/5f2404b92c2e5c663d439c4c/html5/thumbnails/7.jpg)
O que é o DNS?
Utilizador
Servidor
Recursivo
Servidor
Primário
Servidor
Secundário
Zona DNS
Actualizações
Dinâmicas
![Page 8: Sessão de Divulgação de DNSSEC - …...Portuguesa para a adopção de DNSSEC Objectivos •Promover a implementação de DNSSEC •Facilitar a adopção de DNSSEC •Fornecer documentação](https://reader034.vdocuments.net/reader034/viewer/2022042408/5f2404b92c2e5c663d439c4c/html5/thumbnails/8.jpg)
O que é o DNS?
Utilizador
Servidor
Recursivo
Servidor
Primário
Servidor
Secundário
Zona DNS
Actualizações
Dinâmicas
Personificação
do Servidor Recursivo
Envenenamento da
memória temporária
Personificação
do Servidor Primário
Corrupção de dados
Actualizações não
autorizadas
Intruso
Personificação
do Servidor Secundário
![Page 9: Sessão de Divulgação de DNSSEC - …...Portuguesa para a adopção de DNSSEC Objectivos •Promover a implementação de DNSSEC •Facilitar a adopção de DNSSEC •Fornecer documentação](https://reader034.vdocuments.net/reader034/viewer/2022042408/5f2404b92c2e5c663d439c4c/html5/thumbnails/9.jpg)
O que é DNSSEC?
Domain Names System Security Extensions:
• Extensão ao protocolo DNS
– Compatível com a versão base
• Assinaturas Digitais
– Os dados DNS são assinados criptograficamente
• Criptografia assimétrica
– Pares de chaves pública e privada
– ZSK (Zone Signing Key): Chave que assina a zona
– KSK (Key Signing Key): Chave que assina chaves
![Page 10: Sessão de Divulgação de DNSSEC - …...Portuguesa para a adopção de DNSSEC Objectivos •Promover a implementação de DNSSEC •Facilitar a adopção de DNSSEC •Fornecer documentação](https://reader034.vdocuments.net/reader034/viewer/2022042408/5f2404b92c2e5c663d439c4c/html5/thumbnails/10.jpg)
O que é o DNSSEC?
• Reduz o risco de manipulação indevida de informação
DNS garantindo:
– Autenticação da origem da informação DNS
– Integridade dos dados DNS
– Inexistência de um determinado nome domínio
• Introduz novos tipos de dados DNS - Resource Records
– DNSKEY (Public Key)
– RRSIG (Resource Record Digital Signature)
– NSEC/NSEC3 (Next Secure)
– DS (Delegation Signer)
![Page 11: Sessão de Divulgação de DNSSEC - …...Portuguesa para a adopção de DNSSEC Objectivos •Promover a implementação de DNSSEC •Facilitar a adopção de DNSSEC •Fornecer documentação](https://reader034.vdocuments.net/reader034/viewer/2022042408/5f2404b92c2e5c663d439c4c/html5/thumbnails/11.jpg)
O que é o DNSSEC?
• DNSKEY - Chave pública
• RRSIG - Assinatura Digital de um conjunto de Resource Records
específico
• NSEC - Resposta autenticada da não existência de um domínio,
fornecendo também a indicação do próximo nome seguro e os
tipos de RRsets existentes para esse nome
• NSEC3 - Síntese autenticada da não existência de um domínio
ou conjunto de Resource Records associado a um domínio
• DS - Síntese da chave pública que faz a ligação entre um domínio
e subdomínio de modo a construir uma cadeia de confiança
![Page 12: Sessão de Divulgação de DNSSEC - …...Portuguesa para a adopção de DNSSEC Objectivos •Promover a implementação de DNSSEC •Facilitar a adopção de DNSSEC •Fornecer documentação](https://reader034.vdocuments.net/reader034/viewer/2022042408/5f2404b92c2e5c663d439c4c/html5/thumbnails/12.jpg)
O que é o DNSSEC?
![Page 13: Sessão de Divulgação de DNSSEC - …...Portuguesa para a adopção de DNSSEC Objectivos •Promover a implementação de DNSSEC •Facilitar a adopção de DNSSEC •Fornecer documentação](https://reader034.vdocuments.net/reader034/viewer/2022042408/5f2404b92c2e5c663d439c4c/html5/thumbnails/13.jpg)
Vantagens/Benefícios
• Fornece autenticação da origem da informação
• Garante a integridade dos dados DNS
• Confirma a inexistência de um domínio
• Evita manipulação da memória de cache
– Pharming, Phishing…
• Protege de transmissões modificadas
– Man–in-the-Middle, Spoofing...
• Independente dos algoritmos criptográficos
• Fornece confiança no serviço
![Page 14: Sessão de Divulgação de DNSSEC - …...Portuguesa para a adopção de DNSSEC Objectivos •Promover a implementação de DNSSEC •Facilitar a adopção de DNSSEC •Fornecer documentação](https://reader034.vdocuments.net/reader034/viewer/2022042408/5f2404b92c2e5c663d439c4c/html5/thumbnails/14.jpg)
Adopção de DNSSEC
Considera a implementação de DNSSEC no ccTLD
.PT uma mais valia para o serviço DNS?
![Page 15: Sessão de Divulgação de DNSSEC - …...Portuguesa para a adopção de DNSSEC Objectivos •Promover a implementação de DNSSEC •Facilitar a adopção de DNSSEC •Fornecer documentação](https://reader034.vdocuments.net/reader034/viewer/2022042408/5f2404b92c2e5c663d439c4c/html5/thumbnails/15.jpg)
Adopção de DNSSEC
Considera a implementação de DNSSEC no ccTLD
.PT uma mais valia para o serviço DNS?
36%
60%
4%
Sim
Não sei, mas estou receptivo a mais informação
Não
![Page 16: Sessão de Divulgação de DNSSEC - …...Portuguesa para a adopção de DNSSEC Objectivos •Promover a implementação de DNSSEC •Facilitar a adopção de DNSSEC •Fornecer documentação](https://reader034.vdocuments.net/reader034/viewer/2022042408/5f2404b92c2e5c663d439c4c/html5/thumbnails/16.jpg)
Adopção de DNSSEC
A sua entidade pretende adoptar este serviço?
![Page 17: Sessão de Divulgação de DNSSEC - …...Portuguesa para a adopção de DNSSEC Objectivos •Promover a implementação de DNSSEC •Facilitar a adopção de DNSSEC •Fornecer documentação](https://reader034.vdocuments.net/reader034/viewer/2022042408/5f2404b92c2e5c663d439c4c/html5/thumbnails/17.jpg)
Adopção de DNSSEC
A sua entidade pretende adoptar este serviço?
80%
20%
0%
Sim
Não
Para já não, pretendemos que hajam maisdesenvolvimentos
![Page 18: Sessão de Divulgação de DNSSEC - …...Portuguesa para a adopção de DNSSEC Objectivos •Promover a implementação de DNSSEC •Facilitar a adopção de DNSSEC •Fornecer documentação](https://reader034.vdocuments.net/reader034/viewer/2022042408/5f2404b92c2e5c663d439c4c/html5/thumbnails/18.jpg)
Adopção de DNSSEC
Estaria interessado em participar num Workshop
Técnico para adquirir experiência prática na
implementação de DNSSEC?
![Page 19: Sessão de Divulgação de DNSSEC - …...Portuguesa para a adopção de DNSSEC Objectivos •Promover a implementação de DNSSEC •Facilitar a adopção de DNSSEC •Fornecer documentação](https://reader034.vdocuments.net/reader034/viewer/2022042408/5f2404b92c2e5c663d439c4c/html5/thumbnails/19.jpg)
Adopção de DNSSEC
Estaria interessado em participar num Workshop
Técnico para adquirir experiência prática na
implementação de DNSSEC?
DEIXE-NOS O SEU CONTACTO!
![Page 20: Sessão de Divulgação de DNSSEC - …...Portuguesa para a adopção de DNSSEC Objectivos •Promover a implementação de DNSSEC •Facilitar a adopção de DNSSEC •Fornecer documentação](https://reader034.vdocuments.net/reader034/viewer/2022042408/5f2404b92c2e5c663d439c4c/html5/thumbnails/20.jpg)
Ferramentas
Cada vez existem mais ferramentas com suporte DNSSEC
quer a nível de servidores como de aplicações, exemplos:
• BIND ISC (superior a 9.3.2)
• NSD, Unbound, ANS, CNS
• Sparta tools (logwatch, sendmail/postfix/libspf, dnsptkflow…)
• Mozilla/Firefox/Thunderbird plugins
• Windows Server 2008 R2 e Windows 7
• Para mais informação consulte:
– http://www.dnssec-deployment.org/tracker/
![Page 21: Sessão de Divulgação de DNSSEC - …...Portuguesa para a adopção de DNSSEC Objectivos •Promover a implementação de DNSSEC •Facilitar a adopção de DNSSEC •Fornecer documentação](https://reader034.vdocuments.net/reader034/viewer/2022042408/5f2404b92c2e5c663d439c4c/html5/thumbnails/21.jpg)
Declaração de Política e Procedimentos:
• Documento de referência para avaliar o nível de
confiança que o projecto DNSSEC do .pt confere às
várias entidades intervenientes nos processos descritos
• Participantes e respectivas áreas de responsabilidade
• Procedimentos e esquemas operacionais relativos à
implementação de DNSSEC pelo .pt
• Gestão e armazenamento das chaves da zona .pt
• Disponibilidade, confiança e integridade
Desenvolvimentos no .pt
![Page 22: Sessão de Divulgação de DNSSEC - …...Portuguesa para a adopção de DNSSEC Objectivos •Promover a implementação de DNSSEC •Facilitar a adopção de DNSSEC •Fornecer documentação](https://reader034.vdocuments.net/reader034/viewer/2022042408/5f2404b92c2e5c663d439c4c/html5/thumbnails/22.jpg)
Desenvolvimentos no .pt
AXFR da Zona .pt assinada
Backup das Chaves
(Entidade Externa)
Ficheiro de Zona
Bastidor Cofre
Base de DadosDNS .PT
HSMGera Chaves
Armazena Chaves
Assina Zona
Servidores Secundários de .pt
Servidor Primário de .pt (público)
Ficheiro de Zona
Assinado
Ficheiro de Zona .pt
Servidor Primário de .pt (privado)
Modelo de infra-estrutura de alto nível de segurança,
estabilidade e desempenho:
![Page 23: Sessão de Divulgação de DNSSEC - …...Portuguesa para a adopção de DNSSEC Objectivos •Promover a implementação de DNSSEC •Facilitar a adopção de DNSSEC •Fornecer documentação](https://reader034.vdocuments.net/reader034/viewer/2022042408/5f2404b92c2e5c663d439c4c/html5/thumbnails/23.jpg)
Desenvolvimentos no .pt
dnssec.pt
• Domínio assinado (com NSEC3 Opt-Out, assina apenas os
subdomínios com DNSSEC e evita a enumeração da zona dnssec.pt)
• Configurado no DLV do ISC
• Registo gratuito sob dnssec.pt para fins de teste
• Pedidos de registo submetidos para [email protected]
• Mais informação disponível em:
http://www.dnssec.pt
![Page 24: Sessão de Divulgação de DNSSEC - …...Portuguesa para a adopção de DNSSEC Objectivos •Promover a implementação de DNSSEC •Facilitar a adopção de DNSSEC •Fornecer documentação](https://reader034.vdocuments.net/reader034/viewer/2022042408/5f2404b92c2e5c663d439c4c/html5/thumbnails/24.jpg)
Desenvolvimentos no .pt
• Domínio assinados cuja FCCN é titular: – dnssec.pt, fccn.pt, cert.pt, zappiens.pt, rcts.pt
• Cooperação com as Universidades para a assinatura dos domínios no âmbito da RCTS
• Lançamento de notícias e comunicados de imprensa
• Realização de Sessões de Divulgação
• Promoção de Workshops práticos
• Acções de Sensibilização
![Page 25: Sessão de Divulgação de DNSSEC - …...Portuguesa para a adopção de DNSSEC Objectivos •Promover a implementação de DNSSEC •Facilitar a adopção de DNSSEC •Fornecer documentação](https://reader034.vdocuments.net/reader034/viewer/2022042408/5f2404b92c2e5c663d439c4c/html5/thumbnails/25.jpg)
Trabalho Futuro
• Colocar em produção a zona .pt assinada
• Disponibilizar opções de gestão de DNSSEC no
Sistema Online de Gestão de Domínios .pt
• Automatizar as alterações de Resource Records por
meio de actualizações dinâmicas
• Integrar o DNSSEC no protocolo EPP
![Page 26: Sessão de Divulgação de DNSSEC - …...Portuguesa para a adopção de DNSSEC Objectivos •Promover a implementação de DNSSEC •Facilitar a adopção de DNSSEC •Fornecer documentação](https://reader034.vdocuments.net/reader034/viewer/2022042408/5f2404b92c2e5c663d439c4c/html5/thumbnails/26.jpg)
Questões?!
Obrigada pela vossa atenção
http://www.dnssec.pt