from the ground up security dns based security of the
play

From the Ground Up Security DNS-based Security of the - PowerPoint PPT Presentation

Feb 09, 2023 •496 likes •795 views

From the Ground Up Security DNS-based Security of the Internet Infrastructure Benno Overeinder NLnet Labs http://www.nlnetlabs.nl/ INTRO NLnet

  1. From ¡the ¡Ground ¡Up ¡Security ¡ DNS-­‑based ¡Security ¡of ¡the ¡Internet ¡ Infrastructure ¡ ¡ Benno ¡Overeinder ¡ NLnet ¡Labs ¡ http://www.nlnetlabs.nl/

  2. INTRO ¡ NLnet http://www.nlnetlabs.nl/ Labs

  3. About ¡NLnet ¡Labs ¡ • Not-­‑for-­‑profit ¡R&D ¡company ¡ – open ¡standards ¡ – open ¡source ¡so>ware ¡ – innova@on ¡& ¡exper@se ¡for ¡benefit ¡of ¡open ¡ Internet ¡ • Mission ¡& ¡goal ¡ – contribute ¡to ¡bridge ¡gap ¡between ¡research ¡and ¡ prac@cal ¡deployments ¡ hGps://www.nlnetlabs.nl/labs/mission/ ¡ NLnet http://www.nlnetlabs.nl/ Labs

  4. About ¡NLnet ¡Labs ¡cont’d ¡ • Open ¡source ¡so>ware ¡ – infrastructure: ¡NSD, ¡Unbound ¡ – provisioning: ¡OpenDNSSEC, ¡… ¡ – libraries: ¡getdns ¡API, ¡ldns ¡ • Community ¡ac@vi@es ¡ – standards: ¡IETF ¡(dra>s ¡and ¡RFCs) ¡ – research ¡& ¡opera@onal ¡insights: ¡RIPE, ¡NANOG, ¡… ¡ – policy ¡and ¡governance: ¡ICANN, ¡... ¡ ¡ NLnet http://www.nlnetlabs.nl/ Labs

  5. How ¡DNS(SEC) ¡provides ¡building ¡blocks ¡for ¡security ¡and ¡privacy ¡ FROM ¡THE ¡GROUND ¡UP ¡SECURITY ¡ NLnet http://www.nlnetlabs.nl/ Labs

  6. Use-­‑/Showcase ¡Scenarios ¡ ¡ ✘ End-­‑to-­‑end ¡authen@cated ¡and ¡secured/ encrypted ¡communica@on ¡ • Secure ¡customer ¡interac@on ¡in ¡web ¡portal ¡ • Secure ¡email ¡ • Instant ¡messages/chat ¡with ¡OTR ¡ ¡ • … ¡ NLnet http://www.nlnetlabs.nl/ Labs

  7. Customer–Web ¡Portal ¡ InteracLon ¡ auth ¡name ¡servers ¡ full ¡recursive ¡ customer ¡ resolver ¡ browser ¡ web ¡portal ¡ ¡ hGp ¡ host ¡ hGp/hGps ¡ server ¡ IP ¡address ¡ NLnet http://www.nlnetlabs.nl/ Labs

  8. DNS ¡Spoofing ¡ • DNS ¡Spoofing ¡by ¡cache ¡poisoning ¡ – aGacker ¡flood ¡a ¡DNS ¡resolver ¡with ¡phony ¡informa@on ¡ with ¡bogus ¡DNS ¡results ¡ – by ¡the ¡law ¡of ¡large ¡numbers, ¡these ¡aGacks ¡get ¡a ¡match ¡ and ¡plant ¡a ¡bogus ¡result ¡into ¡the ¡cache ¡ • Man-­‑in-­‑the-­‑middle ¡aGacks ¡ – redirect ¡to ¡wrong ¡Internet ¡sites ¡ – email ¡to ¡non-­‑authorized ¡email ¡ server ¡ NLnet http://www.nlnetlabs.nl/ Labs

  9. PKIX/X.509 ¡CerLficate ¡Tree ¡ Root Certificate AKA “Trust Anchor” • Cer@fica@on ¡authori@es ¡(CAs) ¡ – sign ¡child ¡cer@ficates ¡ – should ¡verify ¡child ¡iden@ty ¡ signs – can ¡be ¡trust ¡anchors ¡(TAs) ¡ • TLS ¡clients ¡ – trust ¡their ¡trust ¡anchors ¡ signs • All ¡is ¡good? ¡CAs ¡are ¡trustworthy? ¡ ICANN .ORG ? NLnet http://www.nlnetlabs.nl/ credits ¡wes.hardaker@parsons.com ¡ Labs

  10. The ¡“Too ¡Many ¡CAs” ¡Problem ¡ • TLS ¡clients ¡have ¡abundance ¡of ¡TAs ¡ – modern ¡web ¡browsers ¡have ¡1300+ ¡TAs ¡ – any ¡of ¡them ¡can ¡issue ¡cer@ficate ¡for ¡example.com ¡ example example .com .com TLS ¡client ¡accepts ¡both! ¡ NLnet http://www.nlnetlabs.nl/ credits ¡wes.hardaker@parsons.com ¡ Labs

  11. Customer–Web ¡Portal ¡ InteracLon ¡Revisited ¡ auth ¡name ¡servers ¡ full ¡recursive ¡ customer ¡ resolver ¡ browser ¡ web ¡portal ¡ ¡ hGp ¡ host ¡ hGp/hGps ¡ too ¡many ¡ server ¡ CAs ¡ IP ¡address ¡ CA ¡pinning/ HSTS? ¡ NLnet http://www.nlnetlabs.nl/ Labs

  12. DNS ¡SECURITY ¡EXTENSIONS ¡& ¡ ¡ DNS-­‑BASED ¡AUTHENTICATION ¡OF ¡ NAMED ¡ENTITIES ¡ NLnet http://www.nlnetlabs.nl/ Labs

  13. DNSSEC ¡and ¡DANE ¡to ¡the ¡Rescue ¡ • DNSSEC ¡ – validates ¡the ¡authen@city ¡of ¡the ¡DNS ¡data ¡ using ¡digital ¡signatures ¡ • DANE ¡ – allows ¡one ¡to ¡securely ¡specify ¡which ¡TLS/SSL ¡ cer@ficate ¡an ¡applica@on ¡or ¡service ¡should ¡use ¡ ¡ NLnet http://www.nlnetlabs.nl/ Labs

  14. What ¡is ¡DNSSEC? ¡ • Digital ¡signatures ¡are ¡added ¡to ¡responses ¡by ¡ authorita@ve ¡servers ¡for ¡a ¡zone ¡ • Valida@ng ¡resolver ¡can ¡use ¡signature ¡to ¡verify ¡ that ¡response ¡is ¡not ¡tampered ¡with ¡ • Trust ¡anchor ¡is ¡the ¡key ¡used ¡to ¡sign ¡the ¡DNS ¡ root ¡ • Signature ¡valida@on ¡creates ¡a ¡chain ¡of ¡ overlapping ¡signatures ¡from ¡trust ¡anchor ¡to ¡ signature ¡of ¡response ¡ credits ¡Geoff ¡Huston ¡ NLnet http://www.nlnetlabs.nl/ Labs

  15. DNSSEC ¡and ¡ValidaLon ¡ . ¡ DS ¡record ¡.nl. ¡+ ¡signature ¡ 4 ¡ A ¡record ¡www.nlnetlabs.nl. ¡ .nl. ¡ + ¡signature ¡ DS ¡record ¡.nlnetlabs.nl. ¡+ ¡signature ¡ 1 ¡ DNSKEY ¡record ¡.nl. ¡+ ¡signature ¡ 3 ¡ valida@ng ¡resolver ¡ .nlnetlabs.nl. ¡ DNSKEY ¡record ¡.nlnetlabs.nl. ¡+ ¡signature ¡ local ¡root ¡key ¡(preloaded) ¡ 2 ¡ 5 ¡ NLnet http://www.nlnetlabs.nl/ Labs

  16. DANE: ¡DNS-­‑based ¡AuthenLcaLon ¡ of ¡Named ¡EnLLes ¡ • Securely ¡specify ¡which ¡cer@ficate ¡an ¡ applica@on ¡or ¡service ¡should ¡use ¡ – works ¡perfectly ¡fine ¡with ¡exis@ng ¡CA ¡cerficates ¡ • DANE ¡defines ¡TLSA ¡resource ¡record ¡and ¡ usage ¡field ¡ – 0 ¡– ¡CA ¡specifica@on ¡ – 1 ¡– ¡specific ¡TLS ¡cer@ficate ¡ – 2 ¡– ¡trust ¡anchor ¡asser@on ¡ – 3 ¡– ¡domain ¡issued ¡cer@ficate ¡ NLnet http://www.nlnetlabs.nl/ Labs

  17. DNSSEC, ¡DANE ¡and ¡X.509 ¡ Dane allows DNS, secured by DNSSEC, to indicate which . (DNS root) TLS/X.509 certificate is the right one to use. MUST BE DNSSEC SIGNED!!! This reduces the attack footprint of TLS significantly. com example.com Accept ONLY example this one example X .com .com TLSA record NLnet http://www.nlnetlabs.nl/ credits ¡wes.hardaker@parsons.com ¡ Labs

  18. DNS-­‑based ¡Secure ¡Customer– Web ¡Portal ¡InteracLon ¡ auth ¡name ¡servers ¡ full ¡recursive ¡ DNSSEC ¡ customer ¡ resolver ¡ browser ¡ web ¡portal ¡ ¡ hGp ¡ host ¡ hGp/hGps ¡ too ¡many ¡ server ¡ CAs ¡ DANE ¡ IP ¡address ¡ NLnet http://www.nlnetlabs.nl/ Labs

  19. Closing ¡the ¡gap ¡ SECURING ¡THE ¡FIRST ¡MILE ¡ NLnet http://www.nlnetlabs.nl/ Labs

  20. The ¡First ¡Mile: ¡ ¡ From ¡Host ¡to ¡Resolver ¡ • Host/applica@on ¡DNS ¡reliance ¡on ¡valida@ng ¡ full ¡resolver ¡ – resolver ¡in ¡trust ¡realm? ¡ – resolver ¡in ¡local ¡network, ¡ISP, ¡or ¡open ¡ valida@ng ¡recursor ¡(Google ¡Public ¡DNS, ¡ OpenDNS, ¡OpenNIC ¡DNS, ¡Level ¡3, ¡Verisign, ¡…) ¡ • Privacy ¡and ¡authen@ca@on ¡of ¡resolver ¡ – DNS ¡queries ¡considered ¡privacy ¡sensi@ve ¡ informa@on ¡ NLnet http://www.nlnetlabs.nl/ Labs

  21. The ¡First ¡Mile: ¡ From ¡Host ¡to ¡Resolver ¡ auth ¡name ¡servers ¡ val. ¡recursive ¡ customer ¡ resolver ¡ browser ¡ web ¡portal ¡ ¡ hGp ¡ host ¡ hGp/hGps ¡ server ¡ IP ¡address ¡ NLnet http://www.nlnetlabs.nl/ Labs

  22. DPRIVE: ¡DNS ¡over ¡TLS ¡ • Host ¡stub ¡resolver ¡or ¡applica@on ¡queries ¡ recursive ¡resolver ¡over ¡encrypted ¡TLS ¡ – TLSA ¡records ¡for ¡stub/app ¡to ¡full ¡recursor ¡ • Privacy ¡ – DNS ¡queries ¡to ¡resolver ¡are ¡encrypted ¡on ¡the ¡wire ¡ • In-­‑band ¡authen@ca@on ¡of ¡recursive ¡resolver ¡ – TLSA ¡chain ¡extension ¡(dra>-­‑iek-­‑tls-­‑dnssec-­‑chain-­‑ extension) ¡ – not ¡solved ¡yet: ¡resolver ¡IP ¡configured ¡on ¡host ¡or ¡ with ¡DHCP ¡ NLnet http://www.nlnetlabs.nl/ Labs

  23. OTHER ¡SHOWCASES ¡OF ¡DNSSEC, ¡ DANE ¡AND ¡DPRIVE ¡ NLnet http://www.nlnetlabs.nl/ Labs

  24. Email ¡and ¡SMTP ¡ NLnet http://www.nlnetlabs.nl/ Labs

  25. XMPP/CHAT ¡ NLnet http://www.nlnetlabs.nl/ Labs

  26. WRAPPING ¡UP ¡ NLnet http://www.nlnetlabs.nl/ Labs

Recommend

Security Security as term, Possible Security violations Authentication Criteria for

Security Security as term, Possible Security violations Authentication Criteria for

BS1 WS19/20 topic-based slides Security Security as term, Possible Security violations Authentication Criteria for Trust in Computer Systems Three hearts of Windows Security DACLs A Look at Security System is secure if

988 views • 20 slides
What is network security? Friends and enemies: Alice, Bob, Trudy What is network security?

What is network security? Friends and enemies: Alice, Bob, Trudy What is network security?

Network security Network security Foundations: what is security? cryptography Network Security Network Security authentication message integrity key distribution and certification Security in practice: Srinidhi Varadarajan

332 views • 6 slides
Security Presentation 1 School-based Security Staffing Security assistants are assigned to

Security Presentation 1 School-based Security Staffing Security assistants are assigned to

MCPS School Safety and Security Presentation 1 School-based Security Staffing Security assistants are assigned to every secondary school. Security team leaders are assigned to every high school and work often with feeder schools.

436 views • 12 slides
Security Presentation 1 School-based Security Staffing Security assistants are assigned to

Security Presentation 1 School-based Security Staffing Security assistants are assigned to

MCPS School Safety and Security Presentation 1 School-based Security Staffing Security assistants are assigned to every secondary school. Security team leaders are assigned to every high school and work often with feeder schools.

583 views • 27 slides
Model-based Security Security: ganzheitliche Engineering Eigenschaft: Jan Jrjens

Model-based Security Security: ganzheitliche Engineering Eigenschaft: Jan Jrjens

2 Herausforderung: Security Model-based Security Security: ganzheitliche Engineering Eigenschaft: Jan Jrjens Sicherheits-Mechanismen umgehen statt brechen. Sichere Systems aus Computing Department unsicheren Komponenten ? The

314 views • 6 slides
Language/OS Based Security 1 Infrastructure 2 Security Abstraction Layers 3 OS Security

Language/OS Based Security 1 Infrastructure 2 Security Abstraction Layers 3 OS Security

Language/OS Based Security 1 Infrastructure 2 Security Abstraction Layers 3 OS Security Control 4 Abstraction Imperfections OS: Each process has exclusive access to its own CPU and memory Illusion!! A process may be able to

429 views • 21 slides
CPSC410/611: Security Security Security Attacks Security Threats Crypto

CPSC410/611: Security Security Security Attacks Security Threats Crypto

CPSC 410 / 611 : Operating Systems CPSC410/611: Security Security Security Attacks Security Threats Crypto Authentication Examples SSL Security Threats Breach of confidentiality unauthorized access to

458 views • 18 slides
Course outline 1. Language-Based Security: motivation 2. Language-Based Information-Flow Security:

Course outline 1. Language-Based Security: motivation 2. Language-Based Information-Flow Security:

Course outline 1. Language-Based Security: motivation 2. Language-Based Information-Flow Security: the big picture 3. Dimensions and principles of declassification 4. Dynamic vs. static security enforcement 5. Tracking information flow in web

641 views • 30 slides
Biometrics and Security Biometrics and Security Biometrics and Security Biometrics and Security

Biometrics and Security Biometrics and Security Biometrics and Security Biometrics and Security

Biometrics and Security Biometrics and Security Biometrics and Security Biometrics and Security WS 06/07 Seminar Prof. Dr.-Ing. Jana Dittmann & Dr.-Ing. Claus Vielhauer with support from Tobias Scheidat

419 views • 16 slides
1 X.800 Security Services X.800 Security Services X.800 Security Services Data integrity

1 X.800 Security Services X.800 Security Services X.800 Security Services Data integrity

Course Overview Course Requirements EECS 498-7/8 Cryptography and Network Security: www.citi.umich.edu/u/honey/security Principles and Practice (Third Edition) Computer Security Monday & Friday, 9:00 10:30 William Stallings

670 views • 19 slides
Security by Any Other Name: On the Effectiveness of Provider Based Email Security Ian Foster,

Security by Any Other Name: On the Effectiveness of Provider Based Email Security Ian Foster,

Security by Any Other Name: On the Effectiveness of Provider Based Email Security Ian Foster, Jon Larson, Max Masich, Alex C. Snoeren, Stefan Savage, and Kirill Levchenko University of California, San Diego Recent Email Communications

449 views • 28 slides
Risk-based Security BARRY KOUNS CEO AT RISK BASED SECURITY Session Overview Warm-up Quiz

Risk-based Security BARRY KOUNS CEO AT RISK BASED SECURITY Session Overview Warm-up Quiz

Risk Assessment the Heart of Risk-based Security BARRY KOUNS CEO AT RISK BASED SECURITY Session Overview Warm-up Quiz Introduction to our security challenge What is Risk-based Security? The language of risk some

787 views • 53 slides
A (re)introduction to Spring Security Agenda Before Spring Security: Acegi security

A (re)introduction to Spring Security Agenda Before Spring Security: Acegi security

A (re)introduction to Spring Security Agenda Before Spring Security: Acegi security Introducing Spring Security View layer security Whats coming in Spring Security 3 E-mail: craig@habuma.com Blog: http://www.springloaded.info

452 views • 19 slides
Network Security Network Security Srinidhi Varadarajan Network security Network security

Network Security Network Security Srinidhi Varadarajan Network security Network security

Network Security Network Security Srinidhi Varadarajan Network security Network security Foundations: what is security? cryptography authentication message integrity key distribution and certification Security in practice:

634 views • 36 slides
Course outline: the four hours 1. Language-Based Security: motivation 2. Language-Based

Course outline: the four hours 1. Language-Based Security: motivation 2. Language-Based

Course outline: the four hours 1. Language-Based Security: motivation 2. Language-Based Information-Flow Security: the big picture 3. Dimensions and principles of declassification 4. Dynamic vs. static security enforcement 1 Dimensions of

449 views • 30 slides
Security Profs. Bracy and Van Renesse based on slides by Prof. Sirer Security in the real world

Security Profs. Bracy and Van Renesse based on slides by Prof. Sirer Security in the real world

Security Profs. Bracy and Van Renesse based on slides by Prof. Sirer Security in the real world Security decisions based on: Value: How much is it worth? Locks: How hard is it to circumvent protection? Police: What are the

980 views • 47 slides
Security Overview Security Goals The Attack Space Security Mechanisms

Security Overview Security Goals The Attack Space Security Mechanisms

CSCE Intro to Computer Systems Security Security Overview Security Goals The Attack Space Security Mechanisms Introduction to Cryptography Authentication Authorization Confidentiality Case Studies Security

472 views • 20 slides
Information Security A Fresh Approach [Based on material from Kevin Day's book: Inside the

Information Security A Fresh Approach [Based on material from Kevin Day's book: Inside the

Information Security A Fresh Approach [Based on material from Kevin Day's book: Inside the Security Mind: Making the Tough Decisions , Prentice-Hall, 2003, ISBN: 0-13-111829-3] Why? Why concentrate on Information Security (or IT Security) when

152 views • 11 slides
On the security of security extensions for IP-based KNX networks Aljosha Judmayer

On the security of security extensions for IP-based KNX networks Aljosha Judmayer

On the security of security extensions for IP-based KNX networks Aljosha Judmayer ajudmayer@sba-research.org ajudmayer@auto.tuwien.ac.at On the security of security extensions for IP-based KNX networks 1 SBA Research P1.1: Risk Management

1.06k views • 51 slides
SECURITY TESTING Towards a safer web world AGENDA 1. 3 WS OF SECURITY TESTING 2. SECURITY

SECURITY TESTING Towards a safer web world AGENDA 1. 3 WS OF SECURITY TESTING 2. SECURITY

SECURITY TESTING Towards a safer web world AGENDA 1. 3 WS OF SECURITY TESTING 2. SECURITY TESTING CONCEPTS 3. SECURITY TESTING TYPES 4. TOP 10 SECURITY RISKS Few Security Breaches Date: 2013-14 September 2016, while in negotiations to

404 views • 18 slides
Widget security model based on MIDP and Web Application based on a security model with TLS/SSL

Widget security model based on MIDP and Web Application based on a security model with TLS/SSL

Widget security model based on MIDP and Web Application based on a security model with TLS/SSL and XMLDsig Claes Nilsson Technology Area Group Leader Web Browsing Marcus Liwell Technology Area Group Leader Security and DRM Rev 1

576 views • 12 slides
Schema-Based Security in Neo4j 4.0 Louise Sderstrm About me Cypher and security

Schema-Based Security in Neo4j 4.0 Louise Sderstrm About me Cypher and security

Schema-Based Security in Neo4j 4.0 Louise Sderstrm About me Cypher and security developer @ Neo4j since 2017 Was born in the early 90s in Linkping, Sweden Engineer in Mathematics Involved in Pink Programming

782 views • 22 slides
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 30. 20. 21. 22.

1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 30. 20. 21. 22.

1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 30. 20. 21. 22. Social Security Administration SSA Benefit Programs Social Security Supplemental Security Income (SSI) Based on a No work requirement;

944 views • 68 slides
The Internet Security Alliance The Internet Security Alliance is a collaborative effort with

The Internet Security Alliance The Internet Security Alliance is a collaborative effort with

The Internet Security Alliance The Internet Security Alliance is a collaborative effort with Carnegie Mellon University. It is a cross-sector, internationally- based trade association devoted to cyber security. ISA has individual corporate

349 views • 30 slides

More recommend