ssl absicherung mittels dane und sicheres dnssec mit bind
play

SSL -Absicherung mittels DANE und Sicheres DNSSEC mit Bind 9.x - PowerPoint PPT Presentation

Jan 30, 2024 •173 likes •847 views

Dynamisches DNSSEC mit Bind 9.x Peer Heinlein <p.heinlein@heinlein-support.de> SSL -Absicherung mittels DANE und Sicheres DNSSEC mit Bind 9.x Linux hchstpersnlich. Dynamisches DNSSEC mit Bind 9.x Peer Heinlein

  1. Dynamisches DNSSEC mit Bind 9.x Peer Heinlein <p.heinlein@heinlein-support.de> SSL -Absicherung mittels DANE und Sicheres DNSSEC mit Bind 9.x Linux höchstpersönlich.

  2. Dynamisches DNSSEC mit Bind 9.x Peer Heinlein <p.heinlein@heinlein-support.de> ➞ Heinlein Support ➞ IT-Consulting und 24/7 Linux-Support mit ~25 Mitarbeitern ➞ Eigener Betrieb eines ISPs seit 1992 ➞ Täglich tiefe Einblicke in die Herzen der IT aller Unternehmensgrößen ➞ 24/7-Notfall-Hotline: 030 / 40 50 5 – 110 ➞ 25 Spezialisten mit LPIC-2 und LPIC-3 ➞ Für alles rund um Linux & Server & DMZ ➞ Akutes: Downtimes, Performanceprobleme, Hackereinbrüche, Datenverlust ➞ Strategisches: Revision, Planung, Beratung, Konfjgurationshilfe Linux höchstpersönlich.

  3. Johannes Rundfeldt <j.rundfeldt@heinlein-support.de> Warum SSL/TLS alleine nicht sicher ist Linux höchstpersönlich.

  4. Johannes Rundfeldt <j.rundfeldt@heinlein-support.de> Warum SSL/TLS nicht ausreicht ➞ Ein man-in-the-middle könnte das SSL-Zertifjkat austauschen. Linux höchstpersönlich.

  5. Johannes Rundfeldt <j.rundfeldt@heinlein-support.de> Warum SSL/TLS nicht ausreicht ➞ Darum braucht man eine CA. ➞ Welcher CA kann man trauen? Kann man allen 200 CAs trauen? Linux höchstpersönlich.

  6. Johannes Rundfeldt <j.rundfeldt@heinlein-support.de> Warum SSL/TLS nicht ausreicht ➞ Mit welchen Servern rede ich? ➞ Über DNS-Poisening könnten andere MX-Records untergeschoben werden. ➞ Kann ich mich ohne DNSsec auf das DNS verlassen? ➞ Viele Provider haben nur selbstsignierte Zertifjkate. ➞ Kann man ändern, muß man dann aber auch! ➞ Was ist, wenn kein SSL/TLS möglich ist? Was ist, wenn der MitM das SSL -Announcement unterdrückt? ➞ Dann normalerweise Fallback auf Klartextübertragung ➞ SSL/TLS ist nur Nexthop-Verschlüsselung. Danach liegt die Mail zunächst wieder im Klartext vor ➞ Kann man seinem Provider trauen? Linux höchstpersönlich.

  7. Johannes Rundfeldt <j.rundfeldt@heinlein-support.de> Warum SSL/TLS trotzdem sinnvoll und gut ist ➞ Es schützt vor ungewollten Mitlesern ➞ Es erhöht den Aufwand für jemanden, der mitlesen will ➞ Es ist eine selbstverständliche Grundabsicherung ➞ Das Problem: Es ist halt immer nur optional. Ein MitM kann SSL unterdrücken. ➞ Rund 80% unserer SMTP-Verbindungen laufen über SSL/TLS ➞ Ein deutlicher Anstieg in letzten Jahr. Linux höchstpersönlich.

  8. Johannes Rundfeldt <j.rundfeldt@heinlein-support.de> So funktioniert DANE ➞ DANE TLS führt einen neuen TLSA-Record ein (TLS Association) ➞ Der defjniert über Hashwerte, welche Zertifjkate der Client akzeptieren darf. ➞ Die Zertifjkate einer bestimmten CA ➞ Bestimmte genannte Zertifjkate ➞ Zertifjkate, die von einem bestimmten Vertrauensanker abstammen ➞ Der TLSA-Record wird dann für _25._tcp.mx1.example.com defjniert ➞ Also individuell pro Dienst/Port und Hostname ➞ Port kann auch Wildcard sein *._tcp_example.com ➞ Ein Mailserver hat viele Ports: 25, 465, 587, 110, 143,993, 995, 2000, 4190 Linux höchstpersönlich.

  9. Johannes Rundfeldt <j.rundfeldt@heinlein-support.de> Technische Spezifjkation des TLSA-Records _25._tcp.mx1.example.com. IN TLSA 3 1 1 5c1502a6549c423b e0a0aa9d9a16904de5ef0f5c98c735fcca79f09230aa7141 ➞ Feld 1: Certifjcation Usage (hier: 3) ➞ 0 = PKIX-TA: CA-Zertifjkat, das in der Validierungskette auftauchen muss (?) ➞ 1 = PKIX-EE: CA-Root-Zertifjkat, gegen das die CA-Kette validiert (?) ➞ 2= DANE-TA: CA-Zertifjkat mit dem der Key unterschrieben sein muß ➞ 3= DANE-EE: Konkreter exakter Public Key des Servers (self signed!) ➞ Feld 2: Selector Field ➞ 0 = Certifjcate Binary Structure 1 = DER-encoded Binary Structure ➞ Feld 3: Machting Tye (hier: 1) ➞ 0 = Ganzes Zertifjkat ➞ 1 = SHA-256 Hash des Zertifjkats 2 = SHA-512-Hash des Zertifjkats ➞ Feld 4: Zertifjkatswert (hier: 5c1502a ...) ➞ Default: „TLSA 3 1 1“ Linux höchstpersönlich.

  10. Johannes Rundfeldt <j.rundfeldt@heinlein-support.de> Probleme von DANE TLS ➞ DNS selbst wäre durch einen MitM leicht angreifbar ➞ Die TLSA-Records könnten unterdrückt und ausgetauscht werden ➞ Anschließend wäre der Client wieder blind und naiv wie früher ➞ Also: Absicherung der DNS-Records über DNSsec ➞ Theoretisch: Kein Problem. „Muß man nur machen“ ➞ Praktisch: DNSsec hat sich bis heute nicht fmäckendeckend durchgesetzt. Zahlreiche Fallstricke, komplexeres Handling der Records, große Sorgfalt notwendig. ➞ DANE TLS sorgt im Prinzip für den ersten fmächendeckenden Einsatz von DNSsec! ➞ Problem: Hohe Latenz bei Überprüfung der zahlreichen DNSsec-RR ➞ Schwierig bei HTTP, XMPP & Co! Linux höchstpersönlich.

  11. Johannes Rundfeldt <j.rundfeldt@heinlein-support.de> Die Mutter aller Dienste: Das DNS Linux höchstpersönlich.

  12. Dynamisches DNSSEC mit Bind 9.x Peer Heinlein <p.heinlein@heinlein-support.de> ➞ DNS: Erstmalig 1983 in RFC 882/883 entwickelt ➞ Reservierter DNS-Port: 53 ➞ Kommunikation Client – Server über Ports 1024 an 53 ➞ Kommunikation Server – Server i.d.R. Über Port 53 an 53! ➞ I.d.R. per UDP/IP ➞ Schön schnell ➞ Einfaches Frage/Antwort-Prinzip ➞ Kurze Fragen, kurze Antworten ➞ Manchmal aber auch per TCP/IP ➞ Bei DNS-Zonentransfers wegen langer Dateien und zeitunkritischem Transfer ➞ Manchmal aber auch nötig bei langen DNS-Records > 512 Bit ➞ DNS-Query über TCP manchmal hakelig Linux höchstpersönlich.

  13. Dynamisches DNSSEC mit Bind 9.x Peer Heinlein <p.heinlein@heinlein-support.de> ➞ Die DNS-Root-Server verwalten die ca. 3000 TLD-Zonen ➞ Root-Server-Datei muß als Startpunkt den DNS-Servern bekannt sein ➞ Es gibt 13 Root-Server (A-M) ➞ Verteilung per Anycast auf 123 reelle Systeme ➞ Verwaltet wird das durch die ICANN ➞ ...untersteht dem US-Handelsministerium... ➞ Betrieben wird die Root-Zone durch Verisign ➞ ...ebenfalls unter US-Recht... Linux höchstpersönlich.

  14. Dynamisches DNSSEC mit Bind 9.x Peer Heinlein <p.heinlein@heinlein-support.de> ➞ Anfang 2000: 10 von 13 Servern in den USA, davon 6 Server auf kleinstem Raum an der US-Ostküste Linux höchstpersönlich.

  15. Dynamisches DNSSEC mit Bind 9.x Peer Heinlein <p.heinlein@heinlein-support.de> ➞ Seit 2006: 123 Server verteilt per Anycast über die Welt Linux höchstpersönlich.

  16. Dynamisches DNSSEC mit Bind 9.x Peer Heinlein <p.heinlein@heinlein-support.de> DNS – latent unsicher ➞ Wie bei jedem Protokoll sind Man-in-the-middle-Angriffe denkbar ➞ Das UDP-Protokoll bietet zahlreiche Angriffsmöglichkeiten ➞ Records könnten injiziert werden ➞ Records könnten unterdrückt werden ➞ Records könnten verändert werden ➞ DNS ist von A bis Z nicht vertrauenswürdig ➞ Auf DNS-Daten basiert aber fast das gesamte Internet ➞ Irgendwie erstaunlich, daß es dann doch so gut funktioniert Linux höchstpersönlich.

  17. Dynamisches DNSSEC mit Bind 9.x Peer Heinlein <p.heinlein@heinlein-support.de> So funktioniert DNSSEC (von unten nach oben gesehen) Linux höchstpersönlich.

  18. Dynamisches DNSSEC mit Bind 9.x Peer Heinlein <p.heinlein@heinlein-support.de> Das ist ein A-Record :-) mailbox.org. IN A 213.203.238.17 Linux höchstpersönlich.

  19. Dynamisches DNSSEC mit Bind 9.x Peer Heinlein <p.heinlein@heinlein-support.de> Damit den keiner fälschen kann, brauchen wir eine digitale Unterschrift: mailbox.org. IN A 213.203.238.17 mailbox.org. IN RRSIG A 7 3 900 20141209161951 20141109160341 5719 mailbox.org. JqMJ9tzkwU6Yn2unUzlsbr0 kvApVNvHVKzyAUOaRVoZCISWKZRPkeuz7swu Linux höchstpersönlich.

  20. Dynamisches DNSSEC mit Bind 9.x Peer Heinlein <p.heinlein@heinlein-support.de> Damit wir die digitale Unterschrift prüfen können, brauchen wir einen Public Key. mailbox.org. IN A 213.203.238.17 mailbox.org. IN RRSIG [...] mailbox.org. IN DNSKEY 256 3 7 BQEAAAABwcvTaaZokGcz2HFSgv+ixKiuypnY zA3z/pu9MlZ1XFD2qeN7KgVB/mmlvFKDUgKd raUV2m2KglZLzc4d8GoXTnpLDhcWVJx9et9t Linux höchstpersönlich.

  21. Dynamisches DNSSEC mit Bind 9.x Peer Heinlein <p.heinlein@heinlein-support.de> Damit der Public Key sicher ist („Trust hat“), publizieren wir ihn in der nächsthöheren Ebene. mailbox.org. IN DS 38499 7 2 574F226E410BFBD86BDE1FD276EC9E88D778 449A65BBDCF1F218E4D1 9F851312 Linux höchstpersönlich.

  22. Dynamisches DNSSEC mit Bind 9.x Peer Heinlein <p.heinlein@heinlein-support.de> Auch die TLD signiert unseren Key per RRSIG: mailbox.org. IN DS 38499 7 2 574F226E410BFBD86BDE1FD276EC9E88D778 449A65BBDCF1F218E4D1 9F851312 mailbox.org. IN RRSIG DS 7 2 86400 20141208155603 20141117145603 60764 org. b9oWU3saTlNaii7Bp9+odhiwx Linux höchstpersönlich.

  23. Dynamisches DNSSEC mit Bind 9.x Peer Heinlein <p.heinlein@heinlein-support.de> Damit wir die digitale Unterschrift der TLD prüfen können, hat auch sie einen Public Key: mailbox.org. IN DS 38499 7 2 [...] mailbox.org. IN RRSIG DS [...] org. IN DNSKEY 256 3 7 AwEAAYpYfj3aaRzzkxWQqMdl7YExY81NdYSv +qayuZDodnZ9IMh0bwMcisdua7ssaiuziuz Linux höchstpersönlich.

  24. Dynamisches DNSSEC mit Bind 9.x Peer Heinlein <p.heinlein@heinlein-support.de> Die TLD muß ihren Key als DS-Record in „.“ veröffentlichen... Den Key von „.“ müssen wir kennen / hart importieren. => Trust Chain steht. Linux höchstpersönlich.

Recommend

DNS / DNSSEC / DANE / DPRIVE Results at IETF 93

DNS / DNSSEC / DANE / DPRIVE Results at IETF 93

DNS / DNSSEC / DANE / DPRIVE Results at IETF 93 Hackathon 18-19 July 2015 Prague, Czech Republic Summary What We Are Working On

256 views • 7 slides
DANE/DNSSEC/TLS Tes-ng in the Go6lab Jan or, ISOC/Go6

DANE/DNSSEC/TLS Tes-ng in the Go6lab Jan or, ISOC/Go6

DANE/DNSSEC/TLS Tes-ng in the Go6lab Jan or, ISOC/Go6 Ins-tute, Slovenia jan@go6.si zorz@isoc.org Acknowledgement I would like to thank Internet

980 views • 28 slides
DNS/DNSSEC/DANE/DNS-over- TLS etc. Team IETF95 Hackathon In-Person: Ray Bellis, Sebastian

DNS/DNSSEC/DANE/DNS-over- TLS etc. Team IETF95 Hackathon In-Person: Ray Bellis, Sebastian

DNS/DNSSEC/DANE/DNS-over- TLS etc. Team IETF95 Hackathon In-Person: Ray Bellis, Sebastian Castro, Sara Dickinson, John Dickinson, Ralph Dolman, Robert Edmonds, Evan Hunt, Shumon Huque, Daniel Kahn Gillmor, Shane Kerr, Dave Lawrence,

183 views • 16 slides
DNS, DNSSEC, DANE, DPRIVE IETF 94 Hackathon Results! DNS Team Hackathon Projects DNS Privacy

DNS, DNSSEC, DANE, DPRIVE IETF 94 Hackathon Results! DNS Team Hackathon Projects DNS Privacy

DNS, DNSSEC, DANE, DPRIVE IETF 94 Hackathon Results! DNS Team Hackathon Projects DNS Privacy topics getdnsapi extension (call debugging) implemented with changes so user learns transport/privacy results edns0-client-subnet privacy

753 views • 21 slides
The BIND Software Computer Center, CS, NCTU BIND BIND the Berkeley Internet Name Domain

The BIND Software Computer Center, CS, NCTU BIND BIND the Berkeley Internet Name Domain

The BIND Software Computer Center, CS, NCTU BIND BIND the Berkeley Internet Name Domain system Three main versions BIND 4 Announced in 1980s Based on RFC 1034, 1035 BIND 8 Released in 1997 Improvements

917 views • 76 slides
DNSSEC, DANE and SMTP Security A Mid-level Overview Wes Hardaker Parsons Downgrade Resistant,

DNSSEC, DANE and SMTP Security A Mid-level Overview Wes Hardaker Parsons Downgrade Resistant,

DNSSEC, DANE and SMTP Security A Mid-level Overview Wes Hardaker Parsons Downgrade Resistant, Opportunistic Security for Server To Server E-Mail Delivery Overview Server-to-Server E-Mail background SMTP Vulnerabilities DANE/SMTP to

361 views • 16 slides
Research Project 1: Implementing DANE Pieter Lexis System and Network Engineering Wed, Feb 8

Research Project 1: Implementing DANE Pieter Lexis System and Network Engineering Wed, Feb 8

Research Project 1: Implementing DANE Pieter Lexis System and Network Engineering Wed, Feb 8 2012 1 of 21 Table of contents Basics DNS and DNSSEC PKIX and trust DANE Research Swede Features Reactions Tests and results Conclusion 2 of

841 views • 24 slides
BIND configuration Computer Center, CS, NCTU BIND BIND the Berkeley Internet Name

BIND configuration Computer Center, CS, NCTU BIND BIND the Berkeley Internet Name

BIND configuration Computer Center, CS, NCTU BIND BIND the Berkeley Internet Name Domain system Main versions BIND4 Announced in 1980s Based on RFC 1034, 1035 Deprecated in 2001 BIND8 Released in 1997

765 views • 72 slides
Sending E-Mail Today MX Priority #1 SMTP Exchange

Sending E-Mail Today MX Priority #1 SMTP Exchange

DANE and SMTP: TLS Protec4on for SMTP Using DANE and DNSSEC Russ Mundy &amp; Wes Hardaker Parsons &lt;Russ.Mundy@parsons.com&gt; &lt;mundy@4slabs.com&gt; 7/17/13

482 views • 9 slides
BIND, from ISC Name Server Round Table ccNSO, ICANN 50 23 June 2014 BIND use cases 2013 BIND

BIND, from ISC Name Server Round Table ccNSO, ICANN 50 23 June 2014 BIND use cases 2013 BIND

BIND, from ISC Name Server Round Table ccNSO, ICANN 50 23 June 2014 BIND use cases 2013 BIND support subscriptions BIND is the Swiss Army Education, knife of DNS software. 3% It is intended to work for TLD, 11% any use case

419 views • 6 slides
S/MIME Dane Demo ICANN 57 Hyderabad, ccNSO Tech Day 5 Nov 2016 slamb@xtcn.com Background

S/MIME Dane Demo ICANN 57 Hyderabad, ccNSO Tech Day 5 Nov 2016 slamb@xtcn.com Background

S/MIME Dane Demo ICANN 57 Hyderabad, ccNSO Tech Day 5 Nov 2016 slamb@xtcn.com Background Slow Uptake of DNSSEC Need killer-app DANE!! SMIMEA!! But still slow uptake Windows still king Outlook still king Kaminsky 2009

547 views • 5 slides
.SE-DNSSEC Commercial launch of .SE-DNSSEC Feb 16, 2007 Signing Soft launch of service the

.SE-DNSSEC Commercial launch of .SE-DNSSEC Feb 16, 2007 Signing Soft launch of service the

. SE-DNSSEC . SEs DNSSEC service Staffan.Hagnell@iis.se .SE-DNSSEC Commercial launch of .SE-DNSSEC Feb 16, 2007 Signing Soft launch of service the .SE zone Sep 2005 2006 Start of project 2001 .SEs challenge To make DNSSEC

584 views • 24 slides
DNSSEC in .at (and beyond) Panel discussion DNSSEC activities in Europe DNSSEC workshop

DNSSEC in .at (and beyond) Panel discussion DNSSEC activities in Europe DNSSEC workshop

ICANN 50 DNSSEC in .at (and beyond) Panel discussion DNSSEC activities in Europe DNSSEC workshop Jun 25 2014 Alexander Mayrhofer London, UK alexander.mayrhofer@nic.at ICANN 50 DNSSEC Services n ccTLD: .at l DNSSEC in production

109 views • 10 slides
DNSSEC activities @ nic.at Panel discussion DNSSEC activities in Europe DNSSEC workshop

DNSSEC activities @ nic.at Panel discussion DNSSEC activities in Europe DNSSEC workshop

ICANN44 DNSSEC activities @ nic.at Panel discussion DNSSEC activities in Europe DNSSEC workshop Jun 27 2012 Alexander Mayrhofer Prague, CZ alexander.mayrhofer@nic.at ICANN44 .at DNSSEC Timeline Testbed DS in root Feb 2011 Feb 09

404 views • 8 slides
Demo of DANE-Enhanced Version of Off-the-Record Private Messaging Tool Bootstrapping Trust

Demo of DANE-Enhanced Version of Off-the-Record Private Messaging Tool Bootstrapping Trust

Demo of DANE-Enhanced Version of Off-the-Record Private Messaging Tool Bootstrapping Trust for Off-The-Record With DNS and DNSSEC Allison Mankin (Verisign Labs), Willem Toorop (NLNet Labs), Iain Learmonth (University of Aberdeen) ,

484 views • 9 slides
Deploying New DNSSEC Algorithms ICANN 53 DNSSEC Workshop June 24, 2015 Buenos Aires, Argentina

Deploying New DNSSEC Algorithms ICANN 53 DNSSEC Workshop June 24, 2015 Buenos Aires, Argentina

Deploying New DNSSEC Algorithms ICANN 53 DNSSEC Workshop June 24, 2015 Buenos Aires, Argentina Dan York, Internet Society www.internetsociety.org/deploy360 DNSSEC Algorithms Used to generate keys for signing DNSKEY Used in DNSSEC

490 views • 18 slides
DNSSEC CS 161: Computer Security Prof. David Wagner April 11, 2016 DNSSEC Last lecture, you

DNSSEC CS 161: Computer Security Prof. David Wagner April 11, 2016 DNSSEC Last lecture, you

DNSSEC CS 161: Computer Security Prof. David Wagner April 11, 2016 DNSSEC Last lecture, you invented DNSSEC. Well, the basic ideas, anyway: Sign all DNS records. Signatures let you verify answer to DNS query, without having to trust the

835 views • 49 slides
DANE COUNTY JAIL UPDATE STUDY GOING FROM THIS: TO THIS: Presentation to The Dane County Public

DANE COUNTY JAIL UPDATE STUDY GOING FROM THIS: TO THIS: Presentation to The Dane County Public

DANE COUNTY JAIL UPDATE STUDY GOING FROM THIS: TO THIS: Presentation to The Dane County Public Protection &amp; Judiciary Committee INTRODUCTIONS David Way Curtiss Pulitzer Patrick Jablonski Eric Lawson Jan Horsfall OVERVIEW OF THE REPORT

584 views • 57 slides
DNSSEC Trust Anchor Repositories (TAR) Update Russ Mundy Co-Chair DNSSEC Deployment Initiative

DNSSEC Trust Anchor Repositories (TAR) Update Russ Mundy Co-Chair DNSSEC Deployment Initiative

DNSSEC Trust Anchor Repositories (TAR) Update Russ Mundy Co-Chair DNSSEC Deployment Initiative Russ.Mundy@cobham.com / mundy@sparta.com www.dnssec-deployment.org DNSSEC Trust Anchors Starting point for DNSSEC validation Choice of

375 views • 16 slides
Challenges To Deploying New DNSSEC Algorithms ICANN 55 DNSSEC Workshop March 8, 2016 Marrakech,

Challenges To Deploying New DNSSEC Algorithms ICANN 55 DNSSEC Workshop March 8, 2016 Marrakech,

Challenges To Deploying New DNSSEC Algorithms ICANN 55 DNSSEC Workshop March 8, 2016 Marrakech, Morocco Dan York, Internet Society www.internetsociety.org/deploy360 DNSSEC Algorithms Used to generate keys for signing DNSKEY Used

417 views • 15 slides
UB UBK GmbH Integration von operativen Prozessen Agenda mittels Embedded Internet Technologien

UB UBK GmbH Integration von operativen Prozessen Agenda mittels Embedded Internet Technologien

IT-Symposium 2004 UB UBK GmbH Integration von operativen Prozessen Agenda mittels Embedded Internet Technologien Das Unternehmen UBK GmbH Intelligentes Daten-Management und Anbindung von externen Darstellung der Problemstellung,

553 views • 28 slides
An Overview of DNSSEC Cesar Diaz cesar@ lacnic.net 1 DNSSEC??? The DNS Security

An Overview of DNSSEC Cesar Diaz cesar@ lacnic.net 1 DNSSEC??? The DNS Security

An Overview of DNSSEC Cesar Diaz cesar@ lacnic.net 1 DNSSEC??? The DNS Security Extension (DNS SEC) attach special kind of information called criptographic signatures to the queries and response that let your computer false

610 views • 34 slides
Deployment of DNSSEC at .ee ICANN 49: DNSSEC Workshop Timo Vhmar | 26.03.2014 | Introduction

Deployment of DNSSEC at .ee ICANN 49: DNSSEC Workshop Timo Vhmar | 26.03.2014 | Introduction

Deployment of DNSSEC at .ee ICANN 49: DNSSEC Workshop Timo Vhmar | 26.03.2014 | Introduction About Estonian Internet Foundation DNSSEC what, why, when Techie stuff Actual work Current situation | 26.03.2014 | Estonian

240 views • 9 slides
Dane Bank Consultation 8 th November 2018 The Aim of the Meeting To find out more about Dane

Dane Bank Consultation 8 th November 2018 The Aim of the Meeting To find out more about Dane

Dane Bank Consultation 8 th November 2018 The Aim of the Meeting To find out more about Dane Bank s reasons for considering conversion to Academy Status Opportunity for governors to find out more about how parents and carers feel

562 views • 35 slides

More recommend