from the ground up security dns based security of the
play

From the Ground Up Security DNS-based Security of the - PowerPoint PPT Presentation

Feb 09, 2023 •496 likes •795 views

From the Ground Up Security DNS-based Security of the Internet Infrastructure Benno Overeinder NLnet Labs http://www.nlnetlabs.nl/ INTRO NLnet

  1. From ¡the ¡Ground ¡Up ¡Security ¡ DNS-­‑based ¡Security ¡of ¡the ¡Internet ¡ Infrastructure ¡ ¡ Benno ¡Overeinder ¡ NLnet ¡Labs ¡ http://www.nlnetlabs.nl/

  2. INTRO ¡ NLnet http://www.nlnetlabs.nl/ Labs

  3. About ¡NLnet ¡Labs ¡ • Not-­‑for-­‑profit ¡R&D ¡company ¡ – open ¡standards ¡ – open ¡source ¡so>ware ¡ – innova@on ¡& ¡exper@se ¡for ¡benefit ¡of ¡open ¡ Internet ¡ • Mission ¡& ¡goal ¡ – contribute ¡to ¡bridge ¡gap ¡between ¡research ¡and ¡ prac@cal ¡deployments ¡ hGps://www.nlnetlabs.nl/labs/mission/ ¡ NLnet http://www.nlnetlabs.nl/ Labs

  4. About ¡NLnet ¡Labs ¡cont’d ¡ • Open ¡source ¡so>ware ¡ – infrastructure: ¡NSD, ¡Unbound ¡ – provisioning: ¡OpenDNSSEC, ¡… ¡ – libraries: ¡getdns ¡API, ¡ldns ¡ • Community ¡ac@vi@es ¡ – standards: ¡IETF ¡(dra>s ¡and ¡RFCs) ¡ – research ¡& ¡opera@onal ¡insights: ¡RIPE, ¡NANOG, ¡… ¡ – policy ¡and ¡governance: ¡ICANN, ¡... ¡ ¡ NLnet http://www.nlnetlabs.nl/ Labs

  5. How ¡DNS(SEC) ¡provides ¡building ¡blocks ¡for ¡security ¡and ¡privacy ¡ FROM ¡THE ¡GROUND ¡UP ¡SECURITY ¡ NLnet http://www.nlnetlabs.nl/ Labs

  6. Use-­‑/Showcase ¡Scenarios ¡ ¡ ✘ End-­‑to-­‑end ¡authen@cated ¡and ¡secured/ encrypted ¡communica@on ¡ • Secure ¡customer ¡interac@on ¡in ¡web ¡portal ¡ • Secure ¡email ¡ • Instant ¡messages/chat ¡with ¡OTR ¡ ¡ • … ¡ NLnet http://www.nlnetlabs.nl/ Labs

  7. Customer–Web ¡Portal ¡ InteracLon ¡ auth ¡name ¡servers ¡ full ¡recursive ¡ customer ¡ resolver ¡ browser ¡ web ¡portal ¡ ¡ hGp ¡ host ¡ hGp/hGps ¡ server ¡ IP ¡address ¡ NLnet http://www.nlnetlabs.nl/ Labs

  8. DNS ¡Spoofing ¡ • DNS ¡Spoofing ¡by ¡cache ¡poisoning ¡ – aGacker ¡flood ¡a ¡DNS ¡resolver ¡with ¡phony ¡informa@on ¡ with ¡bogus ¡DNS ¡results ¡ – by ¡the ¡law ¡of ¡large ¡numbers, ¡these ¡aGacks ¡get ¡a ¡match ¡ and ¡plant ¡a ¡bogus ¡result ¡into ¡the ¡cache ¡ • Man-­‑in-­‑the-­‑middle ¡aGacks ¡ – redirect ¡to ¡wrong ¡Internet ¡sites ¡ – email ¡to ¡non-­‑authorized ¡email ¡ server ¡ NLnet http://www.nlnetlabs.nl/ Labs

  9. PKIX/X.509 ¡CerLficate ¡Tree ¡ Root Certificate AKA “Trust Anchor” • Cer@fica@on ¡authori@es ¡(CAs) ¡ – sign ¡child ¡cer@ficates ¡ – should ¡verify ¡child ¡iden@ty ¡ signs – can ¡be ¡trust ¡anchors ¡(TAs) ¡ • TLS ¡clients ¡ – trust ¡their ¡trust ¡anchors ¡ signs • All ¡is ¡good? ¡CAs ¡are ¡trustworthy? ¡ ICANN .ORG ? NLnet http://www.nlnetlabs.nl/ credits ¡wes.hardaker@parsons.com ¡ Labs

  10. The ¡“Too ¡Many ¡CAs” ¡Problem ¡ • TLS ¡clients ¡have ¡abundance ¡of ¡TAs ¡ – modern ¡web ¡browsers ¡have ¡1300+ ¡TAs ¡ – any ¡of ¡them ¡can ¡issue ¡cer@ficate ¡for ¡example.com ¡ example example .com .com TLS ¡client ¡accepts ¡both! ¡ NLnet http://www.nlnetlabs.nl/ credits ¡wes.hardaker@parsons.com ¡ Labs

  11. Customer–Web ¡Portal ¡ InteracLon ¡Revisited ¡ auth ¡name ¡servers ¡ full ¡recursive ¡ customer ¡ resolver ¡ browser ¡ web ¡portal ¡ ¡ hGp ¡ host ¡ hGp/hGps ¡ too ¡many ¡ server ¡ CAs ¡ IP ¡address ¡ CA ¡pinning/ HSTS? ¡ NLnet http://www.nlnetlabs.nl/ Labs

  12. DNS ¡SECURITY ¡EXTENSIONS ¡& ¡ ¡ DNS-­‑BASED ¡AUTHENTICATION ¡OF ¡ NAMED ¡ENTITIES ¡ NLnet http://www.nlnetlabs.nl/ Labs

  13. DNSSEC ¡and ¡DANE ¡to ¡the ¡Rescue ¡ • DNSSEC ¡ – validates ¡the ¡authen@city ¡of ¡the ¡DNS ¡data ¡ using ¡digital ¡signatures ¡ • DANE ¡ – allows ¡one ¡to ¡securely ¡specify ¡which ¡TLS/SSL ¡ cer@ficate ¡an ¡applica@on ¡or ¡service ¡should ¡use ¡ ¡ NLnet http://www.nlnetlabs.nl/ Labs

  14. What ¡is ¡DNSSEC? ¡ • Digital ¡signatures ¡are ¡added ¡to ¡responses ¡by ¡ authorita@ve ¡servers ¡for ¡a ¡zone ¡ • Valida@ng ¡resolver ¡can ¡use ¡signature ¡to ¡verify ¡ that ¡response ¡is ¡not ¡tampered ¡with ¡ • Trust ¡anchor ¡is ¡the ¡key ¡used ¡to ¡sign ¡the ¡DNS ¡ root ¡ • Signature ¡valida@on ¡creates ¡a ¡chain ¡of ¡ overlapping ¡signatures ¡from ¡trust ¡anchor ¡to ¡ signature ¡of ¡response ¡ credits ¡Geoff ¡Huston ¡ NLnet http://www.nlnetlabs.nl/ Labs

  15. DNSSEC ¡and ¡ValidaLon ¡ . ¡ DS ¡record ¡.nl. ¡+ ¡signature ¡ 4 ¡ A ¡record ¡www.nlnetlabs.nl. ¡ .nl. ¡ + ¡signature ¡ DS ¡record ¡.nlnetlabs.nl. ¡+ ¡signature ¡ 1 ¡ DNSKEY ¡record ¡.nl. ¡+ ¡signature ¡ 3 ¡ valida@ng ¡resolver ¡ .nlnetlabs.nl. ¡ DNSKEY ¡record ¡.nlnetlabs.nl. ¡+ ¡signature ¡ local ¡root ¡key ¡(preloaded) ¡ 2 ¡ 5 ¡ NLnet http://www.nlnetlabs.nl/ Labs

  16. DANE: ¡DNS-­‑based ¡AuthenLcaLon ¡ of ¡Named ¡EnLLes ¡ • Securely ¡specify ¡which ¡cer@ficate ¡an ¡ applica@on ¡or ¡service ¡should ¡use ¡ – works ¡perfectly ¡fine ¡with ¡exis@ng ¡CA ¡cerficates ¡ • DANE ¡defines ¡TLSA ¡resource ¡record ¡and ¡ usage ¡field ¡ – 0 ¡– ¡CA ¡specifica@on ¡ – 1 ¡– ¡specific ¡TLS ¡cer@ficate ¡ – 2 ¡– ¡trust ¡anchor ¡asser@on ¡ – 3 ¡– ¡domain ¡issued ¡cer@ficate ¡ NLnet http://www.nlnetlabs.nl/ Labs

  17. DNSSEC, ¡DANE ¡and ¡X.509 ¡ Dane allows DNS, secured by DNSSEC, to indicate which . (DNS root) TLS/X.509 certificate is the right one to use. MUST BE DNSSEC SIGNED!!! This reduces the attack footprint of TLS significantly. com example.com Accept ONLY example this one example X .com .com TLSA record NLnet http://www.nlnetlabs.nl/ credits ¡wes.hardaker@parsons.com ¡ Labs

  18. DNS-­‑based ¡Secure ¡Customer– Web ¡Portal ¡InteracLon ¡ auth ¡name ¡servers ¡ full ¡recursive ¡ DNSSEC ¡ customer ¡ resolver ¡ browser ¡ web ¡portal ¡ ¡ hGp ¡ host ¡ hGp/hGps ¡ too ¡many ¡ server ¡ CAs ¡ DANE ¡ IP ¡address ¡ NLnet http://www.nlnetlabs.nl/ Labs

  19. Closing ¡the ¡gap ¡ SECURING ¡THE ¡FIRST ¡MILE ¡ NLnet http://www.nlnetlabs.nl/ Labs

  20. The ¡First ¡Mile: ¡ ¡ From ¡Host ¡to ¡Resolver ¡ • Host/applica@on ¡DNS ¡reliance ¡on ¡valida@ng ¡ full ¡resolver ¡ – resolver ¡in ¡trust ¡realm? ¡ – resolver ¡in ¡local ¡network, ¡ISP, ¡or ¡open ¡ valida@ng ¡recursor ¡(Google ¡Public ¡DNS, ¡ OpenDNS, ¡OpenNIC ¡DNS, ¡Level ¡3, ¡Verisign, ¡…) ¡ • Privacy ¡and ¡authen@ca@on ¡of ¡resolver ¡ – DNS ¡queries ¡considered ¡privacy ¡sensi@ve ¡ informa@on ¡ NLnet http://www.nlnetlabs.nl/ Labs

  21. The ¡First ¡Mile: ¡ From ¡Host ¡to ¡Resolver ¡ auth ¡name ¡servers ¡ val. ¡recursive ¡ customer ¡ resolver ¡ browser ¡ web ¡portal ¡ ¡ hGp ¡ host ¡ hGp/hGps ¡ server ¡ IP ¡address ¡ NLnet http://www.nlnetlabs.nl/ Labs

  22. DPRIVE: ¡DNS ¡over ¡TLS ¡ • Host ¡stub ¡resolver ¡or ¡applica@on ¡queries ¡ recursive ¡resolver ¡over ¡encrypted ¡TLS ¡ – TLSA ¡records ¡for ¡stub/app ¡to ¡full ¡recursor ¡ • Privacy ¡ – DNS ¡queries ¡to ¡resolver ¡are ¡encrypted ¡on ¡the ¡wire ¡ • In-­‑band ¡authen@ca@on ¡of ¡recursive ¡resolver ¡ – TLSA ¡chain ¡extension ¡(dra>-­‑iek-­‑tls-­‑dnssec-­‑chain-­‑ extension) ¡ – not ¡solved ¡yet: ¡resolver ¡IP ¡configured ¡on ¡host ¡or ¡ with ¡DHCP ¡ NLnet http://www.nlnetlabs.nl/ Labs

  23. OTHER ¡SHOWCASES ¡OF ¡DNSSEC, ¡ DANE ¡AND ¡DPRIVE ¡ NLnet http://www.nlnetlabs.nl/ Labs

  24. Email ¡and ¡SMTP ¡ NLnet http://www.nlnetlabs.nl/ Labs

  25. XMPP/CHAT ¡ NLnet http://www.nlnetlabs.nl/ Labs

  26. WRAPPING ¡UP ¡ NLnet http://www.nlnetlabs.nl/ Labs

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Security Security as term, Possible Security violations Authentication Criteria for

Security Security as term, Possible Security violations Authentication Criteria for

BS1 WS19/20 topic-based slides Security Security as term, Possible Security violations Authentication Criteria for Trust in Computer Systems Three hearts of Windows Security DACLs A Look at Security System is secure if

988 views • 20 slides
What is network security? Friends and enemies: Alice, Bob, Trudy What is network security?

What is network security? Friends and enemies: Alice, Bob, Trudy What is network security?

Network security Network security Foundations: what is security? cryptography Network Security Network Security authentication message integrity key distribution and certification Security in practice: Srinidhi Varadarajan

332 views • 6 slides
Security Presentation 1 School-based Security Staffing Security assistants are assigned to

Security Presentation 1 School-based Security Staffing Security assistants are assigned to

MCPS School Safety and Security Presentation 1 School-based Security Staffing Security assistants are assigned to every secondary school. Security team leaders are assigned to every high school and work often with feeder schools.

436 views • 12 slides
Security Presentation 1 School-based Security Staffing Security assistants are assigned to

Security Presentation 1 School-based Security Staffing Security assistants are assigned to

MCPS School Safety and Security Presentation 1 School-based Security Staffing Security assistants are assigned to every secondary school. Security team leaders are assigned to every high school and work often with feeder schools.

583 views • 27 slides
Model-based Security Security: ganzheitliche Engineering Eigenschaft: Jan Jrjens

Model-based Security Security: ganzheitliche Engineering Eigenschaft: Jan Jrjens

2 Herausforderung: Security Model-based Security Security: ganzheitliche Engineering Eigenschaft: Jan Jrjens Sicherheits-Mechanismen umgehen statt brechen. Sichere Systems aus Computing Department unsicheren Komponenten ? The

314 views • 6 slides
Language/OS Based Security 1 Infrastructure 2 Security Abstraction Layers 3 OS Security

Language/OS Based Security 1 Infrastructure 2 Security Abstraction Layers 3 OS Security

Language/OS Based Security 1 Infrastructure 2 Security Abstraction Layers 3 OS Security Control 4 Abstraction Imperfections OS: Each process has exclusive access to its own CPU and memory Illusion!! A process may be able to

429 views • 21 slides
CPSC410/611: Security Security Security Attacks Security Threats Crypto

CPSC410/611: Security Security Security Attacks Security Threats Crypto

CPSC 410 / 611 : Operating Systems CPSC410/611: Security Security Security Attacks Security Threats Crypto Authentication Examples SSL Security Threats Breach of confidentiality unauthorized access to

458 views • 18 slides
Course outline 1. Language-Based Security: motivation 2. Language-Based Information-Flow Security:

Course outline 1. Language-Based Security: motivation 2. Language-Based Information-Flow Security:

Course outline 1. Language-Based Security: motivation 2. Language-Based Information-Flow Security: the big picture 3. Dimensions and principles of declassification 4. Dynamic vs. static security enforcement 5. Tracking information flow in web

641 views • 30 slides
Biometrics and Security Biometrics and Security Biometrics and Security Biometrics and Security

Biometrics and Security Biometrics and Security Biometrics and Security Biometrics and Security

Biometrics and Security Biometrics and Security Biometrics and Security Biometrics and Security WS 06/07 Seminar Prof. Dr.-Ing. Jana Dittmann & Dr.-Ing. Claus Vielhauer with support from Tobias Scheidat

419 views • 16 slides
1 X.800 Security Services X.800 Security Services X.800 Security Services Data integrity

1 X.800 Security Services X.800 Security Services X.800 Security Services Data integrity

Course Overview Course Requirements EECS 498-7/8 Cryptography and Network Security: www.citi.umich.edu/u/honey/security Principles and Practice (Third Edition) Computer Security Monday & Friday, 9:00 10:30 William Stallings

670 views • 19 slides
Security by Any Other Name: On the Effectiveness of Provider Based Email Security Ian Foster,

Security by Any Other Name: On the Effectiveness of Provider Based Email Security Ian Foster,

Security by Any Other Name: On the Effectiveness of Provider Based Email Security Ian Foster, Jon Larson, Max Masich, Alex C. Snoeren, Stefan Savage, and Kirill Levchenko University of California, San Diego Recent Email Communications

449 views • 28 slides
Risk-based Security BARRY KOUNS CEO AT RISK BASED SECURITY Session Overview Warm-up Quiz

Risk-based Security BARRY KOUNS CEO AT RISK BASED SECURITY Session Overview Warm-up Quiz

Risk Assessment the Heart of Risk-based Security BARRY KOUNS CEO AT RISK BASED SECURITY Session Overview Warm-up Quiz Introduction to our security challenge What is Risk-based Security? The language of risk some

787 views • 53 slides
A (re)introduction to Spring Security Agenda Before Spring Security: Acegi security

A (re)introduction to Spring Security Agenda Before Spring Security: Acegi security

A (re)introduction to Spring Security Agenda Before Spring Security: Acegi security Introducing Spring Security View layer security Whats coming in Spring Security 3 E-mail: craig@habuma.com Blog: http://www.springloaded.info

452 views • 19 slides
Network Security Network Security Srinidhi Varadarajan Network security Network security

Network Security Network Security Srinidhi Varadarajan Network security Network security

Network Security Network Security Srinidhi Varadarajan Network security Network security Foundations: what is security? cryptography authentication message integrity key distribution and certification Security in practice:

634 views • 36 slides
Course outline: the four hours 1. Language-Based Security: motivation 2. Language-Based

Course outline: the four hours 1. Language-Based Security: motivation 2. Language-Based

Course outline: the four hours 1. Language-Based Security: motivation 2. Language-Based Information-Flow Security: the big picture 3. Dimensions and principles of declassification 4. Dynamic vs. static security enforcement 1 Dimensions of

449 views • 30 slides
Security Profs. Bracy and Van Renesse based on slides by Prof. Sirer Security in the real world

Security Profs. Bracy and Van Renesse based on slides by Prof. Sirer Security in the real world

Security Profs. Bracy and Van Renesse based on slides by Prof. Sirer Security in the real world Security decisions based on: Value: How much is it worth? Locks: How hard is it to circumvent protection? Police: What are the

980 views • 47 slides
Hypernetwork approach to generating point clouds Przemysaw Spurek 1 , Sebastian Winczowski 1 ,

Hypernetwork approach to generating point clouds Przemysaw Spurek 1 , Sebastian Winczowski 1 ,

Hypernetwork approach to generating point clouds Przemysaw Spurek 1 , Sebastian Winczowski 1 , Jacek Tabor 1 , Maciej Zamorski 2 4 , Maciej Ziba 2 4 , Tomasz Trzciski 3 4 1 Group of Machine Learning Research, Jagiellonian University 2

331 views • 21 slides
Learning how to Learn Learning Algorithms: Recursive Self-Improvement Jrgen Schmidhuber The

Learning how to Learn Learning Algorithms: Recursive Self-Improvement Jrgen Schmidhuber The

Learning how to Learn Learning Algorithms: Recursive Self-Improvement Jrgen Schmidhuber The Swiss AI Lab IDSIA Univ. Lugano & SUPSI http://www.idsia.ch/~juergen NNAISENSE Jrgen Schmidhuber You_again Shmidhoobuh True Learning

612 views • 35 slides
Innovation in Naming 2016 Patrick Jones | 29 th UNGEGN Sessions | 28 Apr 2016 Weve come

Innovation in Naming 2016 Patrick Jones | 29 th UNGEGN Sessions | 28 Apr 2016 Weve come

Innovation in Naming 2016 Patrick Jones | 29 th UNGEGN Sessions | 28 Apr 2016 Weve come along way with communication & technology 2 Post-1940s 3 4 Addresses need to be unique Key principle of modern Internet communication

723 views • 19 slides
IANA Stewardship Transition & Enhancing ICANN Accountability Albert Daniels | LCOTM - Belize

IANA Stewardship Transition & Enhancing ICANN Accountability Albert Daniels | LCOTM - Belize

IANA Stewardship Transition & Enhancing ICANN Accountability Albert Daniels | LCOTM - Belize | 2 November 2015 What is ICANN? The Internet Corporation for Assigned Names and Numbers (ICANN) is a global multistakeholder, private sector-led

742 views • 8 slides
Internet Governance

Internet Governance

Internet Governance

656 views • 17 slides
How to Apply the UN Guiding Principles on Business and Human Rights to Operational Challenges

How to Apply the UN Guiding Principles on Business and Human Rights to Operational Challenges

How to Apply the UN Guiding Principles on Business and Human Rights to Operational Challenges Internet Engineering Task Force Meetjng Berlin July 19, 2016 Motoko Aizawa, IHRB www.ihrb.org Bogot | Brussels | Doha | Geneva | London | Nairobi

531 views • 14 slides
White paper regarding Universal Acceptance 12 March 2017 Michael Kende, Andrew Kloeden

White paper regarding Universal Acceptance 12 March 2017 Michael Kende, Andrew Kloeden

Conference presentation White paper regarding Universal Acceptance 12 March 2017 Michael Kende, Andrew Kloeden 2008414-415 | Commercial in confidence 2 Agenda Agenda This presentation sets out the work Analysys Mason has performed on

418 views • 12 slides
ICANN DNSSEC Roadshow | Tunis, Tunisia | June 01, 2015 Yaovi Atohoun; Stakeholder Engagement

ICANN DNSSEC Roadshow | Tunis, Tunisia | June 01, 2015 Yaovi Atohoun; Stakeholder Engagement

ICANN DNSSEC Roadshow | Tunis, Tunisia | June 01, 2015 Yaovi Atohoun; Stakeholder Engagement & Ops Manager, Africa Agenda 2 3 1 DNS and DNS Cache WHAT IS ICANN? DNSSEC Poisoning vulnerability 4 5 6 DNS-EC in Egypt Africa

514 views • 19 slides

More recommend