Men and Mice

2 tägige Schulung: DNS Security & DNSSEC

Das DNS Protokoll wie wir es heute im Internet oder in internen Netzwerken benutzen hat ein Sicherheitsproblem: DNS Daten können auf dem Transportwege gefälscht, und falsche DNS Daten können in in DNS Server eingeschleust werden. Da die so gut wie alle Internet-Protokolle DNS benutzen, kann diese Lücke im DNS benutzt werden um bekannte Sicherheitssysteme (wie z. B. SSL Zertifikate) auszuheben oder zu umgehen.

Die gute Nachricht: DNSSEC ist eine Erweiterung des DNS Protokolls, welches diese Angriffe verhindert.

Seit dem 15. Juli 2010 ist DNSSEC im Internet von der ROOT-Zone ab aktiv. DNSSEC ist in modernen DNS Servern wie BIND, unbound, NSD oder auch Windows DNS (2008 R2) eingebaut, es muss jedoch konfiguriert und aktiviert werden.

In diesem Training wird vermittelt wie sich eigene DNS Zonen per DNSSEC absichern lassen, und wie ein DNS Server die DNSSEC Daten andere Zonen im Netzwerk überprüfen (validieren) kann.

Kursinhalt:

• Spoofing
• Denial of Service Angriffe
• Sicherheitsprobleme in DNS Software

• wie adressiert DNSSEC die Sicherheitsprobleme
• die neuen DNSSEC Resource Records
• die Vertrauenskette (Chain of Trust) im Internet

• welche DNS Server können DNSSEC heute validieren
• was sind Trust-Anchor, Key-Repositories und "DNSSEC Lookaside Validation" (DLV)
• die Konfiguration eines validierenden DNS Resolvers (ein DNS Server, der DNSSEC Daten prüfen kann)
• die Trust Anchor aktuell halten (RFC 5011)

• welche DNS Server können heute DNSSEC Zonen ausliefern
• DNSSEC Zone am Beispiel des BIND DNS Servers

• DNSSEC Key Rollover
• DNSSEC Algorithmus Rollover

• DNS Server absichern
• DNS Zonentransfer per TSIG absichern

• OpenDNSSEC
• Zone Key Tool (ZKT)
• ISC BIND und dynamische Updates in DNSSEC Zonen
• Hardware Security Modules (HSM)

• Werkzeuge für die Fehlersuche
• Strategien für die Fehlersuche
• DNSSEC und die Paketgrösse (EDNS0)
• DNSSEC und "Middleboxes" (NAT Geräte, Firewalls, DNS Router ...)