Consequences of compromised zone keys in DNSSEC

The Domain Name System is a distributed tree-based database. The DNS protocol is largely used to translate a human readable machine name into an IP address. The DNS security extensions (DNSSEC) has been designed to protect the DNS protocol. DNSSEC uses public key cryptography and digital signatures. A secure DNS zone owns at least a key pair (public/private) to provide two security services: data integrity and authentication. To trust some DNS data, a DNS client has to verify the signature of this data with the right zone key. This verification is based on the establishment of a chain of trust between secure zones. To build this chain of trust, a DNSSEC client needs a secure entry point: a zone key configured as trusted in the client. And then, the client must find a secure path from a secure entry point to the queried DNS resource. Zone keys are critical in DNSSEC and are used in every steps of a name resolution. In this report, we present a study on consequences of a compromised key in DNSSEC. We describe compromised key attacks and we present current defenses. \\ Le sytème de noms de domaine est une base de donnée distribuée basée sur un modèle arborescent. Le protocole DNS est largement utilisé pour effectuer essentiellement la correspondance entre un nom de machine et son adresse IP. Les extensions de sécurité du DNS (DNSSEC) ont été conçues pour protéger ce protocole. Pour cela, DNSSEC utilise la cryptographie à clé publique ainsi que des signatures numériques. Une zone DNSSEC possède au moins une paire de clés (publique/privée) pour signer ses données DNS et fournir ainsi deux services de sécurité essentiels\,: l'intégrité et l'authenticité des données. Pour faire confiance à des données DNS, un client DNSSEC doit en vérifier les signatures numériques avec la clé de zone appropriée. Cette vérification est basée sur l'établissement d'une chaîne de confiance entre des zones sécurisées. Pour construire cette chaîne, le client a besoin d'un point d'entrée sécurisé\,: une clé de zone configurée dans le client comme clé de confiance. Puis, le client doit trouver un chemin sécurisé partant de ce point jusqu'aux données DNS demandées. Les clés de zones sont essentielles au fonctionnement de DNSSEC et sont utilisées dans toutes les étapes d'une résolution de nom. Dans ce papier, nous présentons une étude des conséquences d'une clé compromise sur le protocole DNSSEC. Nous décrivons les attaques pouvant être mener grâce à une clé compromise et nous présentons les défenses possibles

DNS Resolver Testing

Tento dokument popisuje automatizaci tvorby scénářů pro nástroj Deckard, který slouží na testování rekurzivních resolverů. Tyto scénáře jsou založeny na skutečném provozu mezi prohlížečem a webovou stránkou zachyceném při načítání této stránky. Výsledný scénář je doplněn i o dotazy, které v zachyceném provoz nebyly, ale na které by se resolver mohl ptát například při minimalizaci dotazu. Na rozdíl od živého provozu by použití scénářů mělo zajistit deterministické prostředí pro testování. Reálný provoz není pro testování ideální kvůli například rotaci IP adres, rozdílnému obsahu serverů a úpravy obsahu. Scénář by měl obsahovat všechny odpovědi na dotazy, na které by se resolver mohl zeptat. S vygenerovanými scénáři můžeme porovnávat odpovědi různých implementací a verzí DNS resolveru. Můžeme tak odhalit změny v jejich chování.This paper describes automation of creating scenarios for Deckard, which is DNS resolver testing tool. Generating scenarios build on real traffic between a web browser and a web page. The scenarios consist not only of queries from that traffic but also queries the resolver might ask for, for example, with query minimization. We should get a deterministic environment as opposed to the live environment. Live environment isn't suitable for testing due to IP address rotation, different content on servers authoritative for the same zone, content modification and so on. Also, no query should remain unanswered by a scenario. With generated scenarios, we can compare responses from different resolvers and different versions of the resolvers. This gives us a way to detect changes in behavior on a stable set of data. Also, finding or testing a bug is a possibility.

Herramientas de seguridad y máquina virtual para navegación segura

Hacer un estudio y análisis para mejorar la seguridad en los sistemas de tecnologías de la información entre una entidad financiera y un cliente de ésta. Teniendo en cuenta de que se trataría de entornos de millones de usuarios y dispositivos en tiempo real, se precisa de la máxima seguridad.Con la banca en línea es el usuario quien ha pasado a gestionar su cuentas y realizar las operaciones, de manera que el reto que tienen las entidades financieras que ofrecen banca en línea es conseguir encontrar un punto medio entre la seguridad y la usabilidad, intentando dar respuesta al problema de la confidencialidad y privacidad. Para el sector financiero los principales objetivos y factores determinantes que dan cabida al desarrollo de la banca electrónica, son establecer la prevención, detección y corrección de los posibles ataques a los que puede estar sometida la banca electrónica en relación con la autenticación del usuario y la entidad financiera, la privacidad de la información que se intercambia, la integridad de ésta (no modificada al intercambiarse), y el no repudio (no poder negar que aquella transacción ha sido autorizada por el usuario). Se dará un especial interés en la parte de evitar y detectar las potenciales modificaciones del sistema de traducción de nombres de dominio a direcciones ip, en diferentes niveles, sobre los dominios de una entidad financiera. Evitando así DNS Spoofing. De forma que posterior al objeto de investigación de este proyecto, se puedan crear herramientas y productos para el sector financiero

The Impact of DNSSEC on the Internet Landscape

In this dissertation we investigate the security deficiencies of the Domain Name System (DNS) and assess the impact of the DNSSEC security extensions. DNS spoofing attacks divert an application to the wrong server, but are also used routinely for blocking access to websites. We provide evidence for systematic DNS spoofing in China and Iran with measurement-based analyses, which allow us to examine the DNS spoofing filters from vantage points outside of the affected networks. Third-parties in other countries can be affected inadvertently by spoofing-based domain filtering, which could be averted with DNSSEC. The security goals of DNSSEC are data integrity and authenticity. A point solution called NSEC3 adds a privacy assertion to DNSSEC, which is supposed to prevent disclosure of the domain namespace as a whole. We present GPU-based attacks on the NSEC3 privacy assertion, which allow efficient recovery of the namespace contents. We demonstrate with active measurements that DNSSEC has found wide adoption after initial hesitation. At server-side, there are more than five million domains signed with DNSSEC. A portion of them is insecure due to insufficient cryptographic key lengths or broken due to maintenance failures. At client-side, we have observed a worldwide increase of DNSSEC validation over the last three years, though not necessarily on the last mile. Deployment of DNSSEC validation on end hosts is impaired by intermediate caching components, which degrade the availability of DNSSEC. However, intermediate caches contribute to the performance and scalability of the Domain Name System, as we show with trace-driven simulations. We suggest that validating end hosts utilize intermediate caches by default but fall back to autonomous name resolution in case of DNSSEC failures.In dieser Dissertation werden die Sicherheitsdefizite des Domain Name Systems (DNS) untersucht und die Auswirkungen der DNSSEC-Sicherheitserweiterungen bewertet. DNS-Spoofing hat den Zweck eine Anwendung zum falschen Server umzuleiten, wird aber auch regelmäßig eingesetzt, um den Zugang zu Websites zu sperren. Durch messbasierte Analysen wird in dieser Arbeit die systematische Durchführung von DNS-Spoofing-Angriffen in China und im Iran belegt, wobei sich die Messpunkte außerhalb der von den Sperrfiltern betroffenen Netzwerke befinden. Es wird gezeigt, dass Dritte in anderen Ländern durch die Spoofing-basierten Sperrfilter unbeabsichtigt beeinträchtigt werden können, was mit DNSSEC verhindert werden kann. Die Sicherheitsziele von DNSSEC sind Datenintegrität und Authentizität. Die NSEC3-Erweiterung sichert zudem die Privatheit des Domainnamensraums, damit die Inhalte eines DNSSEC-Servers nicht in Gänze ausgelesen werden können. In dieser Arbeit werden GPU-basierte Angriffsmethoden auf die von NSEC3 zugesicherte Privatheit vorgestellt, die eine effiziente Wiederherstellung des Domainnamensraums ermöglichen. Ferner wird mit aktiven Messmethoden die Verbreitung von DNSSEC untersucht, die nach anfänglicher Zurückhaltung deutlich zugenommen hat. Auf der Serverseite gibt es mehr als fünf Millionen mit DNSSEC signierte Domainnamen. Ein Teil davon ist aufgrund von unzureichenden kryptographischen Schlüssellängen unsicher, ein weiterer Teil zudem aufgrund von Wartungsfehlern nicht mit DNSSEC erreichbar. Auf der Clientseite ist der Anteil der DNSSEC-Validierung in den letzten drei Jahren weltweit gestiegen. Allerdings ist hierbei offen, ob die Validierung nahe bei den Endgeräten stattfindet, um unvertraute Kommunikationspfade vollständig abzusichern. Der Einsatz von DNSSEC-Validierung auf Endgeräten wird durch zwischengeschaltete DNS-Cache-Komponenten erschwert, da hierdurch die Verfügbarkeit von DNSSEC beeinträchtigt wird. Allerdings tragen zwischengeschaltete Caches zur Performance und Skalierbarkeit des Domain Name Systems bei, wie in dieser Arbeit mit messbasierten Simulationen gezeigt wird. Daher sollten Endgeräte standardmäßig die vorhandene DNS-Infrastruktur nutzen, bei Validierungsfehlern jedoch selbständig die DNSSEC-Zielserver anfragen, um im Cache gespeicherte, fehlerhafte DNS-Antworten zu umgehen

Herramientas de seguridad y máquina virtual para navegación segura

Hacer un estudio y análisis para mejorar la seguridad en los sistemas de tecnologías de la información entre una entidad financiera y un cliente de ésta. Teniendo en cuenta de que se trataría de entornos de millones de usuarios y dispositivos en tiempo real, se precisa de la máxima seguridad.Con la banca en línea es el usuario quien ha pasado a gestionar su cuentas y realizar las operaciones, de manera que el reto que tienen las entidades financieras que ofrecen banca en línea es conseguir encontrar un punto medio entre la seguridad y la usabilidad, intentando dar respuesta al problema de la confidencialidad y privacidad. Para el sector financiero los principales objetivos y factores determinantes que dan cabida al desarrollo de la banca electrónica, son establecer la prevención, detección y corrección de los posibles ataques a los que puede estar sometida la banca electrónica en relación con la autenticación del usuario y la entidad financiera, la privacidad de la información que se intercambia, la integridad de ésta (no modificada al intercambiarse), y el no repudio (no poder negar que aquella transacción ha sido autorizada por el usuario). Se dará un especial interés en la parte de evitar y detectar las potenciales modificaciones del sistema de traducción de nombres de dominio a direcciones ip, en diferentes niveles, sobre los dominios de una entidad financiera. Evitando así DNS Spoofing. De forma que posterior al objeto de investigación de este proyecto, se puedan crear herramientas y productos para el sector financiero

Extensiones de seguridad para el Sistema de Nombres de Dominio (DNSSEC)

El presente trabajo presenta el conjunto de extensiones de seguridad para el Sistema de Nombres de Dominio (DNSSEC). En una primera parte se expone el estado del arte del Sistema DNS, detallando conceptos generales, formato de mensajes, tipos de servidores y sus funciones. A continuación se muestra una clasificación y análisis de las amenazas más comunes y seguidamente se describen conceptos de criptografía en el contexto del Sistema DNS. En base a los conceptos previos, el trabajo se centra en presentar los aspectos y definiciones fundamentales para el funcionamiento de DNSSEC. Se definen los conceptos de Punto de Entrada Seguro, Cadenas de Confianza, Claves de Zona y Clave de Claves, Delegación segura. Se continúa con una definición de especificaciones para los nuevos Registros de Recursos y ejemplo de cada uno de ellos. Finalmente se expone el método de validación alternativa y reportes de despliegue a nivel mundial.Facultad de Informátic

Un estudio comparativo en Extensiones de Seguridad para el Sistema de Nombres de Dominio (DNS)

La obra presenta un caso de estudio para la alternativa DNSSEC, donde se exponen los resultados de la implementación de dicha alternativa. Se analiza el impacto en cuanto a consumo de recursos (tiempos de respuestas, cantidad de consultas, carga de tráfico), frente a una implementación basada en DNS estándar.Facultad de Informátic

Autenticação de redes Wi-Fi recorrendo ao DNSSEC

Tese de mestrado integrado. Engenharia Electrotécnica e de Computadores (Major Telecomunicações). Faculdade de Engenharia. Universidade do Porto. 200

Serviços de gestão de dados pessoais em arquitectura "user-centric"

Mestrado em Engenharia Electrónica e TelecomunicaçõesO paradigma da gestão de informa ção pessoal est a a mudar. At é agora sempre esteve associado a uma gestão centrada nas organizações em que o utilizador cede os seus dados pessoais a uma entidade e delega, segundo os termos da organização, a sua gestão. Com o aparecimento de novos servi cos online e a apetência cada vez maior dos indiv duos para a sua utiliza ção surgem algumas preocupa ções como fragmenta ção, privacidade, interoperabilidade, para nomear alguns. Tecnologias web emergentes procuram trazer avan ços em questões como \semantic web", \trust computing", \data portability", \identity management" com o intuito de mudar para um paradigma centrado no indiv íduo em controlo da informa ção que lhe diz respeito mas mantendo a interoperabilidade para que estes objectivos se mantenham entre os m ultiplos intervenientes naquilo que designa como a identidade digital. Esta Disserta c~ao de mestrado aborda esta tem atica segundo dois aspectos: (i) a identi ca ção e descoberta dos v arios servi cos associados a identidade digital atrav es de um identi cador abstracto (ii) a representa ção de dados, num formato machine-readable, agrega ção e partilha de dados de uma forma consistente e governada pelo utilizador. Como prova de conceito foi desenvolvido um prot otipo baseado no framework XRI/XDI com o prop osito de servir como adaptador para servi cos de redes sociais permitindo a descoberta, agrega ção e partilha de dados. O prot otipo consiste em três m odulos, aplica ção cliente, m odulo servidor e endpoint XDI. A aplica ção cliente permite, atrav es de uma interface web, associar contas de servi cos e gerir relações/acessos sobre os dados do utilizador. O m odulo de servidor cont em a l ogica necess aria para processar os pedidos recebidos pelo cliente ou endpoint nos dados do utilizador. O endpoint XDI permite que qualquer aplicação com capacidades XDI aceda, se autorizado, aos dados do utilizador incluindo aqueles, atrav es de mapeamento XDI, que se encontram guardados remotamente num dos servi ços associados. A implementação realizada evidencia algumas das vantagens do framework XRI/XDI mesmo em coexistência com os sistemas actuais.The personal information management paradigm is shifting. Until now, it's was always associated with organizations. Individuals hand over their personal data and delegate the management, under organizational policies, to an external entity. With the spread of new online services and the increasing acceptance of their value by individuals, some concerns come along: fragmentation, privacy, interoperability, to name few. Emergent web technologies seek progress on concepts like \Sematic Web", \Trust Computing", and \Data Portability" and \Identity Management" to a paradigm centered in the individual. This paradigm allows total control over the information individual shares online without compromising interoperability between services, i.e., building a uni ed digital identity. This thesis addresses these concerns in two goals. The identi cation and discovery of all the online services associated with the individual digital identity through a digital identi er and abstract representation of data, a machine-readable format, aggregating and sharing data in a consistent way and governed by the user. As a proof-of-concept was developed a prototype based on the framework XRI/XDI to serve as an interface to social network services allowing discovery, aggregation and data sharing. The prototype consists of three modules, client, server module and XDI endpoint. The client application allows, through a web interface, associate social web accounts and manage granular relationships/accesses to user data. The server module contains logic needed to process requests from the web interface or XDI endpoint and synchronize data with social network services. The XDI endpoint allows that any application with XDI capabilities to access, if authorized, to user data represented in XDI, including remote data located on social network. The work developed on the proof-of-concepts show some of the framework XRI/XDI advantages even in coexistence with current \walled garden" systems