DNSSEC Risiken

DNS Workshop

Created: 2019-08-29 Thu 10:12

Agenda

  • Risiken beim Betrieb eines DNSSEC Resolvers
  • Risiken einer DNSSEC signierten Zone
  • Gegenmaßnahmen

Risiken: Betrieb eines DNSSEC Resolvers

  • wenn ein DNSSEC validierender Resolver (DNS-Cache) eine defekte Vertrauenskette oder eine defekte Signatur entdeckt, so lautet die DNS-Antwort zum DNS-Client "SERVFAIL"
  • "SERVFAIL" ist nicht DNSSEC spezifisch, sondern beschreibt beliebige DNS-Fehler im DNS-Prozess
  • der End-Benutzer kann nicht erkennen, das die DNS-Auflösung an der DNSSEC-Sicherheit scheitert und wird den Betreiber des DNS-Resolvers als Verursacher sehen

Risiken: Betrieb eines DNSSEC Resolvers

dnssec-stub-resolver6.png

Betrieb eines DNSSEC Resolvers: Maßnahmen

  • offene Kommunikationspolitik gegenüber den End-Benutzern über DNSSEC-Fehlersituationen
  • Monitoring von DNSSEC-Validierungsfehlern auf den DNS-Resolvern
  • Einsatz von "Negative-Trust-Anchor" (NTA) vorbereiten

Risiken: DNS Server mit NSEC3-signierten Zonen

  • ein DNS-Server mit NSEC3 DNSSEC signierten Zone muss für jede negative Antwort (NXDOMAIN- und NODATA) ein SHA1-Hash errechnen -> Potential eines "Denial-of-Service" Angriffs auf die CPU-Resourcen des DNS-Servers

Gegenmaßnahmen: DNS Server mit NSEC3-signierten Zonen

  • NSEC statt NSEC3 einsetzen, wenn möglich (Zonewalking möglich, aber oft das "kleinere Übel")
  • genügend CPU-Resourcen für die gewünschte Anfrage-Kapazität vorhalten und testen
  • Response-Rate-Limiting auf dem DNS-Server aktivieren

Risiken: DNSSEC signierte Zone

  • Fehler bei der Signierung der Zone
  • Fehler beim Einbringen/Ersetzen des DS-Records in der Eltern-Zone
  • Fehler beim Aktualisieren der Record-Signaturen (RRSIG)
  • Fehler beim Austausch der DNSSEC-Schlüssel (Key-Rollover)
  • Fehler bei der Planung der Paketgrössen (Pakete > 1232 Byte über IPv6)
  • Ungünstiger DNS-Auflösungspfad
  • 'Parent-Child-Delegation-Disagreement' (NS-Records der Delegation passen nicht zu den NS-Records der delegierten Zone)

Gegenmaßnahmen: DNSSEC signierte Zone

  • Fehler bei der Signierung der Zone
    • Tests an 'unwichtigen' DNS-Zonen
    • exteres Know-How für die Anfangszeit einkaufen
    • Schulungen der DNS-Administratoren
    • Time-To-Live Werte der Zone überprüfen und ggf. herabsetzen (unter 24 H)
    • SOA-Parameter (Refresh/Retry/Expire/NegTTL) überprüfen und ggf. anpassen

Gegenmaßnahmen: DNSSEC signierte Zone

  • Fehler beim Einbringen/Ersetzen des DS-Records in der Eltern-Zone
    • DS-Record vor Einbringen in die Elternzone lokal testen (z.B. mit 'unbound-host'
    • Status des DS-Records und des KSK der Zone im Monitoring überwachen
    • DS-Record Aktualisierung per API automatisieren

Gegenmaßnahmen: DNSSEC signierte Zone

  • Fehler beim Aktualisieren der Record-Signaturen (RRSIG)
    • Aktualisieren der DNSSEC Signaturen automatisieren (BIND 9, PowerDNS, KnotDNS, Windows 2012/2016, OpenDNSSEC …)
    • Signatur-Ablaufdatum im Monitoring überwachen

Gegenmaßnahmen: DNSSEC signierte Zone

  • Fehler beim Austausch der DNSSEC-Schlüssel (Key-Rollover)
    • Tests an 'unwichtigen' DNS-Zonen
    • exteres Know-How für die Anfangszeit einkaufen
    • Schulungen der DNS-Administratoren
    • DNSSEC-Key-Rollover automatisieren
    • DNSSEC-Key-Rollover im Monitoring überwachen
    • DNSSEC-'Logbuch' führen

Gegenmaßnahmen: DNSSEC signierte Zone

  • Fehler bei der Planung der Paketgrössen (Pakete > 1280 Byte über IPv6 = Fragmentierung)
    • EDNS0-Buffergrösse auf den authoritativen DNS-Servern der Zone anpassen (1232 Byte DNS Payload)
    • Domain-Namen sorgfältig wählen (Label-Compression)
    • zu grosse Resource-Record-Sets vermeiden
    • zu grosse RSA-Schlüssel vermeiden
    • CNAME-Ketten vermeiden
    • 'minimal-responses' einschalten
    • 'minimal-any' einschalten

Gegenmaßnahmen: DNSSEC signierte Zone

  • Ungünstiger DNS-Auflösungspfad
    • DNS-Auflösungspfad zwischen Redundanz und Auflösungs-Schritte ausbalancieren (auch ohne DNSSEC sinnvoll)
    • CNAME-Verweise zwischen DNSSEC-signierten Zonen und Zonen ohne DNSSEC vermeiden

Gegenmaßnahmen: DNSSEC signierte Zone

  • 'Parent-Child-Delegation-Disagreement' (NS-Records der Delegation passen nicht zu den NS-Records der delegierten Zone)
    • NS-Records in der Delegation (der Eltern-Zone) und der delegierten Zone identisch halten (ist schon für klassisches DNS notwendig, hat aber dort nur selten negative Effekte)

Risiken: DNSSEC

  • Ist DNSSEC ein Risiko für das Netzwerk?
    • Ja, aber ein Risiko welches mit Planung, Automatisierung und gewissenhaften Arbeiten minimiert werden kann
    • die DNSSEC-Vorteile überwiegen die Risiken

Fragen?