ietf 79
play

IETF 79 Beijing, China IPv6 DNS Whitelisting: Overview and - PowerPoint PPT Presentation

Feb 28, 2024 •231 likes •365 views

IETF 79 Beijing, China IPv6 DNS Whitelisting: Overview and Implications N A TIONAL E NGINEERING & T ECHNICAL O PERA TIONS DNS Whitelis8ng I-D: dra$-livingood-dns-whitelis1ng-implica1ons

  1. IETF 79 Beijing, China IPv6 DNS Whitelisting: Overview and Implications N A TIONAL ¡E NGINEERING ¡& ¡T ECHNICAL ¡O PERA TIONS ¡

  2. DNS ¡Whitelis8ng ¡ ¡ I-­‑D: ¡ dra$-­‑livingood-­‑dns-­‑whitelis1ng-­‑implica1ons ¡ • How ¡does ¡it ¡work? ¡ • Why ¡are ¡some ¡sites ¡implemen9ng/considering ¡it? ¡ • What ¡are ¡the ¡implica9ons? ¡ • What ¡are ¡the ¡solu9ons ¡and ¡alterna9ves? ¡ ¡ 2

  3. DNS ¡Whitelis8ng ¡– ¡How ¡It ¡Works ¡ • 1 ¡-­‑ ¡The ¡authorita9ve ¡DNS ¡server ¡for ¡ example.com ¡receives ¡a ¡DNS ¡query ¡for ¡ www.example.com, ¡for ¡which ¡both ¡A ¡(IPv4) ¡ and ¡AAAA ¡(IPv6) ¡address ¡records ¡exist. ¡ ¡ • 2 ¡-­‑ ¡The ¡authorita9ve ¡DNS ¡server ¡examines ¡the ¡ IP ¡address ¡of ¡the ¡recursive ¡resolver ¡sending ¡the ¡ query. ¡ ¡ • 3 ¡-­‑ ¡The ¡authorita9ve ¡DNS ¡server ¡checks ¡this ¡IP ¡ address ¡against ¡the ¡access ¡control ¡list ¡(ACL) ¡ that ¡is ¡the ¡DNS ¡whitelist. ¡ ¡ • 4 ¡-­‑ ¡If ¡the ¡resolver's ¡IP ¡address ¡ is ¡not ¡listed ¡in ¡ the ¡ACL, ¡then ¡the ¡response ¡to ¡that ¡specific ¡ resolver ¡can ¡contain ¡only ¡A ¡(IPv4) ¡address ¡ records ¡and ¡therefore ¡cannot ¡contain ¡AAAA ¡ (IPv6) ¡address ¡records. ¡ • ¡5 ¡-­‑ ¡If ¡the ¡resolver's ¡IP ¡address ¡ is ¡listed ¡in ¡the ¡ ACL, ¡then ¡the ¡response ¡to ¡that ¡specific ¡resolver ¡ can ¡contain ¡both ¡A ¡(IPv4) ¡and ¡AAAA ¡(IPv6) ¡ address ¡records. ¡ ¡ ¡ 3

  4. DNS ¡Whitelis8ng ¡– ¡Why ¡Are ¡Some ¡Considering ¡It? ¡ • As ¡websites ¡add ¡IPv6 ¡address ¡records ¡to ¡their ¡authorita9ve ¡DNS ¡ (AAAA ¡records), ¡this ¡can ¡impair ¡the ¡ability ¡of ¡a ¡few ¡end ¡users ¡to ¡access ¡ a ¡site ¡that ¡has ¡added ¡AAAA ¡records ¡with ¡IPv6 ¡addresses. ¡ – The ¡impairment ¡can ¡range ¡from ¡slow ¡access ¡to ¡no ¡access ¡ • These ¡users ¡have ¡a ¡range ¡of ¡OS, ¡home ¡gateway, ¡and ¡web ¡browser ¡ issues ¡that ¡are ¡gradually ¡being ¡fixed ¡by ¡soXware ¡and ¡hardware ¡vendors ¡ and/or ¡may ¡be ¡using ¡non-­‑managed ¡tunnels. ¡ • Site ¡owners ¡are ¡concerned ¡that ¡if ¡these ¡users ¡experience ¡very ¡slow ¡or ¡ no ¡access ¡to ¡a ¡given ¡site, ¡that ¡they ¡will ¡switch ¡to ¡a ¡compe9tor’s ¡site ¡ – Of ¡course ¡a ¡compe9ng ¡site, ¡if ¡they’ve ¡also ¡implemented ¡IPv6, ¡will ¡ present ¡the ¡same ¡impairment ¡for ¡the ¡end ¡user ¡ ¡ ¡ ¡ 4

  5. DNS ¡Whitelis8ng ¡– ¡Why ¡Are ¡Some ¡Considering ¡It? ¡ • Es9mates ¡~6 ¡months ¡ago ¡indicated ¡that ¡in ¡a ¡network ¡such ¡as ¡ Comcast’s, ¡with ¡~15.5M ¡customers, ¡that ¡0.073% ¡of ¡customers ¡may ¡ experience ¡some ¡IPv6-­‑related ¡impairment ¡when ¡accessing ¡a ¡dual-­‑stack ¡ site. ¡ • More ¡recent ¡es9mates ¡place ¡the ¡frac9on ¡of ¡customers ¡with ¡IPv6-­‑ related ¡impairment ¡closer ¡to ¡0.064%. ¡ – In ¡the ¡Comcast ¡network ¡of ¡~15.5M ¡customers, ¡this ¡is ¡a ¡range ¡of ¡ 9,920 ¡(0.064%) ¡to ¡11,315 ¡(0.073%) ¡customers ¡ ¡ ¡ ¡ 5

  6. DNS ¡Whitelis8ng ¡– ¡Downsides ¡and ¡Risks ¡ • Those ¡in ¡the ¡community ¡who ¡have ¡raised ¡concerns ¡regarding ¡DNS ¡whitelis9ng ¡have ¡ explained ¡that ¡given ¡the ¡rela9vely ¡small ¡number ¡of ¡users ¡affected, ¡DNS ¡whitelis9ng ¡ as ¡a ¡solu9on ¡seems: ¡ – out ¡of ¡propor9on ¡with ¡the ¡underlying ¡problem ¡ – costly ¡in ¡comparison ¡to ¡the ¡benefits ¡(impaired ¡customer ¡equipment ¡can ¡likely ¡be ¡ replaced ¡less ¡expensively ¡than ¡the ¡cost ¡to ¡implement ¡and ¡maintain ¡DNS ¡ whitelis9ng ¡globally) ¡ – may ¡cause ¡other, ¡unintended ¡problems ¡ ¡ – may ¡cause ¡a ¡fragmented, ¡two-­‑9ered ¡Internet ¡to ¡emerge ¡ ¡ – may ¡cause ¡users ¡to ¡resist ¡or ¡avoid ¡transi9oning ¡to ¡IPv6 ¡ – may ¡cause ¡networks ¡to ¡delay ¡or ¡avoid ¡transi9oning ¡to ¡IPv6 ¡ – may ¡cause ¡networks ¡to ¡implement ¡mul9-­‑layer ¡NAT ¡systems, ¡like ¡NAT444, ¡which ¡ could ¡cause ¡problems ¡for ¡exis9ng ¡or ¡the ¡emergence ¡of ¡new ¡applica9ons ¡and ¡could ¡ be ¡percep9bly ¡slower ¡than ¡direct, ¡na9ve ¡access ¡ ¡ 6

  7. DNS ¡Whitelis8ng ¡– ¡Implica8ons ¡ • Policies ¡for ¡controlling ¡whitelists ¡are ¡opaque ¡and ¡administra9vely ¡challenging: ¡ – They ¡are ¡likely ¡to ¡vary ¡on ¡a ¡domain-­‑by-­‑domain ¡basis ¡ – There ¡is ¡no ¡centralized ¡or ¡easy ¡way ¡to ¡discover ¡the ¡policies/criteria ¡to ¡be ¡added ¡ to ¡the ¡whitelist ¡ – There ¡is ¡no ¡centralized ¡or ¡easy ¡way ¡to ¡discover ¡the ¡policies/criteria ¡to ¡ remain ¡on ¡ a ¡whitelist ¡once ¡you ¡have ¡been ¡added ¡(de-­‑whitelis9ng) ¡ – What ¡are ¡the ¡turnaround ¡expecta9ons ¡to ¡review ¡an ¡applica9on ¡to ¡be ¡added ¡to ¡a ¡ whitelist? ¡ ¡Minutes, ¡hours, ¡days, ¡weeks, ¡or ¡months? ¡ – Is ¡there ¡a ¡process ¡for ¡appeals ¡of ¡whitelis9ng ¡denials ¡or ¡de-­‑whitelis9ng ¡ac9ons? ¡ – Do ¡whitelis9ng ¡denials ¡and ¡de-­‑whitelis9ng ¡ac9ons ¡open ¡whitelis9ng ¡par9es ¡up ¡to ¡ legal ¡or ¡regulatory ¡risks? ¡ – Can ¡whitelists ¡be ¡used ¡in ¡a ¡discriminatory ¡fashion? ¡ – How ¡will ¡whitelis9ng ¡par9es ¡maintain ¡transparency, ¡fairness, ¡non-­‑discrimina9on, ¡ and ¡due ¡process ¡of ¡their ¡policies? ¡ ¡ 7

  8. DNS ¡Whitelis8ng ¡– ¡Implica8ons ¡ • Extra ¡staff ¡may ¡need ¡to ¡be ¡added ¡to ¡manage ¡whitelis9ng: ¡ – Content ¡owners ¡will ¡need ¡to ¡accept, ¡review, ¡and ¡process ¡requests, ¡as ¡well ¡as ¡ manage ¡appeals ¡and ¡de-­‑whitelis9ng ¡decision-­‑making ¡processes ¡ – Recursive ¡DNS ¡resolver ¡operators ¡will ¡all ¡need ¡to ¡staff ¡to ¡submit ¡DNS ¡whitelis9ng ¡ requests ¡to ¡all ¡domains ¡that ¡all ¡of ¡their ¡users ¡are ¡interested ¡in ¡or ¡may ¡be ¡ poten9ally ¡interested ¡it. ¡ ¡ • IPv6 ¡reachability ¡will ¡likely ¡compare ¡unfavorably ¡with ¡IPv4 ¡reachability ¡since ¡with ¡ IPv4 ¡access ¡is ¡a ¡given ¡in ¡most ¡cases ¡when ¡an ¡IPv4 ¡address ¡record ¡is ¡added ¡to ¡the ¡DNS, ¡ while ¡this ¡is ¡not ¡the ¡case ¡with ¡IPv6. ¡ • It ¡does ¡not ¡scale ¡well: ¡ – Content ¡is ¡no ¡longer ¡globally ¡available; ¡it ¡is ¡made ¡accessible ¡based ¡on ¡countless ¡ bilateral ¡agreements ¡ – Managing ¡these ¡bilateral ¡agreements ¡is ¡difficult ¡to ¡scale ¡for ¡both ¡the ¡content ¡ owner ¡that ¡has ¡implemented ¡DNS ¡whitelis9ng ¡and ¡the ¡recursive ¡DNS ¡resolver ¡ operator ¡who ¡wishes ¡to ¡be ¡added ¡to ¡a ¡DNS ¡whitelist ¡ – As ¡the ¡number ¡of ¡sites ¡increases, ¡staff ¡may ¡need ¡to ¡be ¡added ¡propor9onally. ¡ ¡ 8

  9. DNS ¡Whitelis8ng ¡– ¡Implica8ons ¡ • Monitoring ¡and ¡troubleshoo9ng ¡will ¡be ¡more ¡challenging: ¡ – How ¡will ¡network ¡operators ¡monitor ¡to ¡ensure ¡that ¡DNS ¡whitelis9ng ¡to ¡all ¡ domains ¡is ¡func9oning, ¡so ¡as ¡to ¡detect ¡when ¡de-­‑whitelis9ng ¡has ¡occurred? ¡ – How ¡will ¡end ¡users ¡determine, ¡during ¡the ¡course ¡of ¡troubleshoo9ng, ¡whether ¡ they ¡cannot ¡reach ¡a ¡site’s ¡IPv6 ¡address ¡due ¡to ¡connec9vity ¡problems ¡or ¡a ¡DNS ¡ whitelis9ng ¡problem? ¡ • Also: ¡ – opera9onal ¡impacts ¡for ¡both ¡authorita9ve ¡and ¡recursive ¡DNS ¡server ¡operators ¡ – architectural, ¡end-­‑to-­‑end ¡impacts ¡ – ad-­‑hoc ¡vs. ¡universal ¡deployment ¡impacts ¡ – end ¡point ¡homogeneity ¡may ¡be ¡encouraged ¡ – technology ¡policy ¡implica9ons ¡ – read ¡the ¡I-­‑D ¡for ¡more… ¡ ¡ 9

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

EMU IETF 74 Note Well Any submission to the IETF intended by the Contributor for publication as

EMU IETF 74 Note Well Any submission to the IETF intended by the Contributor for publication as

EMU IETF 74 Note Well Any submission to the IETF intended by the Contributor for publication as all or part of an IETF Internet-Draft or RFC and any statement made within the context of an IETF activity is considered an "IETF

940 views • 7 slides
IETF Status at IETF 85 Russ Housley IETF Chair 1 IETF 85 Participants l 1098 people l 195

IETF Status at IETF 85 Russ Housley IETF Chair 1 IETF 85 Participants l 1098 people l 195

IETF Status at IETF 85 Russ Housley IETF Chair 1 IETF 85 Participants l 1098 people l 195 newcomers l IETF 82 was 948 people l 55 countries l IETF 82 was 48 countries IETF 82 was held in US JP CN FR UK Taipei, Taiwan DE

327 views • 8 slides
Welcome to the IETF! Would you like instructions? Mike StJohns IETF 97 Seoul, South Korea 1

Welcome to the IETF! Would you like instructions? Mike StJohns IETF 97 Seoul, South Korea 1

Welcome to the IETF! Would you like instructions? Mike StJohns IETF 97 Seoul, South Korea 1 IETF Note Well Any submission to the IETF intended by the Contributor for publication as all or part of an IETF Internet-Draft or RFC and any

637 views • 29 slides
Welcome to the IETF! You are standing at the end of the road before a small brick building

Welcome to the IETF! You are standing at the end of the road before a small brick building

Welcome to the IETF! You are standing at the end of the road before a small brick building Mike StJohns IETF 99 Prague, CZ IETF Note Well Any submission to the IETF intended by the Contributor for publication as all or part of an IETF

582 views • 29 slides
Non-Congestion Robustness (NCR) for TCP draft-ietf-tcpm-draft-ietf-tcpm-tcp-dcr-03.txt IETF 62 -

Non-Congestion Robustness (NCR) for TCP draft-ietf-tcpm-draft-ietf-tcpm-tcp-dcr-03.txt IETF 62 -

Non-Congestion Robustness (NCR) for TCP draft-ietf-tcpm-draft-ietf-tcpm-tcp-dcr-03.txt IETF 62 - March 2005 Sumitha Bhandarkar, A. L. Narasimha Reddy, Mark Allman, Ethan Blanton "Hit our satellite with feeling, Give the people what they

363 views • 8 slides
BFD IETF 68 David Ward Note Well Any submission to the IETF intended by the Contributor

BFD IETF 68 David Ward Note Well Any submission to the IETF intended by the Contributor

BFD IETF 68 David Ward Note Well Any submission to the IETF intended by the Contributor for publication as all or part of an IETF Internet-Draft or RFC and any statement made within the context of an IETF activity is considered an

399 views • 22 slides
IETF LLC Report Presented By: Jason Livingood Chair, IETF LLC Board IETF-106, Singapore

IETF LLC Report Presented By: Jason Livingood Chair, IETF LLC Board IETF-106, Singapore

IETF LLC Report Presented By: Jason Livingood Chair, IETF LLC Board IETF-106, Singapore November 2019 Making the Internet work better IETF Administration LLC Who serves on the Board? Peter Maja Jason Sean Alissa Van Roste Livingood,

391 views • 10 slides
IP Telephony (iptel) IETF 56 Note Well All statements related to the activities of the IETF

IP Telephony (iptel) IETF 56 Note Well All statements related to the activities of the IETF

IP Telephony (iptel) IETF 56 Note Well All statements related to the activities of the IETF and addressed to the IETF are subject to all provisions of Section 10 of RFC 2026, which grants to the IETF and its participants certain licenses

198 views • 9 slides
WIDEX Working Group IETF 64 Note Well Any submission to the IETF intended by the Contributor

WIDEX Working Group IETF 64 Note Well Any submission to the IETF intended by the Contributor

WIDEX Working Group IETF 64 Note Well Any submission to the IETF intended by the Contributor for publication as all or part of an IETF Internet-Draft or RFC and any statement made within the context of an IETF activity is considered an

450 views • 8 slides
Long-Term IETF Support May 2016 How Is the IETF Currently Funded? IE IETF Funding Sources

Long-Term IETF Support May 2016 How Is the IETF Currently Funded? IE IETF Funding Sources

Jari Arkko Sean Turner Greg Kapfer ISOC Board Chair, IETF ISOC CFO Treasurer Expert, Ericsson Long-Term IETF Support May 2016 How Is the IETF Currently Funded? IE IETF Funding Sources 2008-2016 ( 2016 (US$ 000s S$ 000s) $7, $7,000 000

135 views • 11 slides
IETF LLC Report Presented By: Jason Livingood Chair, IETF LLC Board IETF-105, Montreal July

IETF LLC Report Presented By: Jason Livingood Chair, IETF LLC Board IETF-105, Montreal July

IETF LLC Report Presented By: Jason Livingood Chair, IETF LLC Board IETF-105, Montreal July 2019 Making the Internet work better IETF Administration LLC Who serves on the Board? Peter Maja Jason Sean Alissa Van Roste Livingood,

256 views • 13 slides
IETF Chair and IESG Report, IETF 105 This report, sent out before IETF 105 begins, is an effort to

IETF Chair and IESG Report, IETF 105 This report, sent out before IETF 105 begins, is an effort to

IETF Chair and IESG Report, IETF 105 This report, sent out before IETF 105 begins, is an effort to reduce reporting at the plenary and to provide an ability to discuss topics on list beforehand and afterwards. The plan is to provide only a brief

359 views • 7 slides
SIP -- IETF 68 Chairs: Keith Drage Dean Willis Jabber rooms: Debate: sip@jabber.ietf.org

SIP -- IETF 68 Chairs: Keith Drage Dean Willis Jabber rooms: Debate: sip@jabber.ietf.org

SIP -- IETF 68 Chairs: Keith Drage Dean Willis Jabber rooms: Debate: sip@jabber.ietf.org Transcript: sipscribe@jabber.ietf.org Note Well Any submission to the IETF intended by the Contributor for publication as all or part of an IETF

369 views • 7 slides
VWRAP WG IETF 77 Chairs: Barry Leiba & Joshua Bell Note Well Any submission to the IETF

VWRAP WG IETF 77 Chairs: Barry Leiba & Joshua Bell Note Well Any submission to the IETF

VWRAP WG IETF 77 Chairs: Barry Leiba & Joshua Bell Note Well Any submission to the IETF intended by the Contributor for publication as all or part of an IETF Internet- Draft or RFC and any statement made within the context of an IETF

311 views • 5 slides
IAB report to the community for IETF-108 This is the IAB report for the period between IETF 107

IAB report to the community for IETF-108 This is the IAB report for the period between IETF 107

IAB report to the community for IETF-108 This is the IAB report for the period between IETF 107 and IETF 108. This report presents a summary of activities. More detailed information on many of the topics is also available at https://www.iab.org

205 views • 3 slides
SIP Working Group IETF 65 Chairs: Dean Willis, Keith Drage Note Well Any submission to the IETF

SIP Working Group IETF 65 Chairs: Dean Willis, Keith Drage Note Well Any submission to the IETF

SIP Working Group IETF 65 Chairs: Dean Willis, Keith Drage Note Well Any submission to the IETF intended by the Contributor for publication as all or part of an IETF Internet-Draft or RFC and any statement made within the context of an IETF

380 views • 6 slides
Randomness in Computing L ECTURE 3 Last time Probability amplification Verifying matrix

Randomness in Computing L ECTURE 3 Last time Probability amplification Verifying matrix

Randomness in Computing L ECTURE 3 Last time Probability amplification Verifying matrix multiplication Today More probability amplification Randomized Min-Cut Random variables 1/28/2020 Sofya Raskhodnikova;Randomness in

221 views • 11 slides
WELCOME THANK YOU ! WHY NO HAT? WHITE HAT BLACK HAT WHITE or BLACK ? OUR MENU

WELCOME THANK YOU ! WHY NO HAT? WHITE HAT BLACK HAT WHITE or BLACK ? OUR MENU

WELCOME THANK YOU ! WHY NO HAT? WHITE HAT BLACK HAT WHITE or BLACK ? OUR MENU MORNING Hardware Security Vulnerabilities Malware OUR MENU MORNING AFTERNOON Hardware Security Cybercrime Vulnerabilities Communities

222 views • 18 slides
Modal logics An introduction Viorica Sofronie-Stokkermans sofronie@uni-koblenz.de 1 History

Modal logics An introduction Viorica Sofronie-Stokkermans sofronie@uni-koblenz.de 1 History

Modal logics An introduction Viorica Sofronie-Stokkermans sofronie@uni-koblenz.de 1 History and Motivation Extensions of classical logic by means of new logical operators Modal logic - modal operators , meaning of A meaning of

869 views • 37 slides
Quantitative Security Colorado State University Yashwant K Malaiya CS 559 Vulnerability

Quantitative Security Colorado State University Yashwant K Malaiya CS 559 Vulnerability

Quantitative Security Colorado State University Yashwant K Malaiya CS 559 Vulnerability Discovery Models CSU Cybersecurity Center Computer Science Dept 1 1 Modeling Vulnerability Discovery Quantitative Vulnerability Assessment Alhazmi

983 views • 59 slides
The Future Of Linux Suspend Stefan Seyfried <seife@suse.de> SuSE Linux Products GmbH -

The Future Of Linux Suspend Stefan Seyfried <seife@suse.de> SuSE Linux Products GmbH -

Outlines The Future Of Linux Suspend Stefan Seyfried <seife@suse.de> SuSE Linux Products GmbH - R&D Mobile Devices 2008-02-24 Stefan Seyfried <seife@suse.de> SuSE Linux Products GmbH - R&D Mobile Devices The Future Of Linux

491 views • 20 slides
Final Project M5 Monday, April 17, 2017 Agenda Announcements Reading Quiz

Final Project M5 Monday, April 17, 2017 Agenda Announcements Reading Quiz

Final Project M5 Monday, April 17, 2017 Agenda Announcements Reading Quiz Review M5 Requirements M5 Support Session Announcements Next week: M6 - Technical report Week after next: M7 - Presentation

316 views • 9 slides
Rise of Crowdsourcing Crowdsourcing = Harvesting societys wisdom, skill, creativity, and scale

Rise of Crowdsourcing Crowdsourcing = Harvesting societys wisdom, skill, creativity, and scale

Rise of Crowdsourcing Crowdsourcing = Harvesting societys wisdom, skill, creativity, and scale to solve a task Crowdsourcing: Opportunities and Challenges Deepak Ganesan Associate Professor UMass Amherst ... Computer Science@UMASS Amherst

249 views • 11 slides
Making Privacy a Fundamental Component of Web Resources Paper presentation at W3C Workshop on

Making Privacy a Fundamental Component of Web Resources Paper presentation at W3C Workshop on

Making Privacy a Fundamental Component of Web Resources Paper presentation at W3C Workshop on Privacy for Advanced Web APIs July 12/13, 2010, London Dr. Thomas Dbendorfer thomas.duebendorfer@google.com Tech Lead, Privacy Engineering Team

350 views • 13 slides

More recommend