Architektura pro monitorování CDNSKEY záznamů z více lokalit pro automatickou správu DNSSEC v systému FRED

Abstract

Systém doménových jmen (zkráceně DNS) je kritickou infrastrukturou, a její zabezpečení je důležitý úkol. Existuje hodně různých útoku na DNS, například podvrh paketů a cache poisoning. Zabránit těmto útokům má bezpečnostní rozšíření DNSSEC, které poskytují autentizaci původu dat a integritu dat. DNSSEC používá model řetězce důvěry a asymetrickou kryptografii pro podepsání záznamů v odpovědích od nameserveru. Problematické místo tohoto přístupu je složitý proces změny klíčů, protože majitel domény musí kontaktovat registr aby zaktualizoval kotvu důvěry na straně rodiče přes kanál mimo DNS. Byl vytvořen nový mechanizmus oznámení o změně klíčů na straně potomka. Pomocí tohoto mechanizmu majitel domény publikuje CDS/CDNSKEY záznamy na autoritativních serverech pro doménu, aby potom automatický monitorovací nástroj registru mohl zpracovat tyto záznamy a umístit výsledek do své zóny. Slabina tohoto systému je v tom, jak se mají zavádět do DNSSEC ještě nezabezpečené domény. Jedna z několika metod, které se k tomu používají, spočívá v monitorování CDS/CDNSKEY záznamu během nějaké doby z několika míst. Nástroj FRED-AKM vyvinutý CZ.NIC z. s. p. o. implementuje tuto strategii, používá akceptační dobu pro zavedení nezabezpečených domén. Cíl této práce je rozšíření funkcionality FRED-AKM tak, aby podporoval skenování z více lokalit. Přínosem této práce je lepší zabezpečení procesu zavádění DNSSEC pro nezabezpečené domény.

Domain Name System (DNS) is a critical internet infrastructure, and securing it is an important task. There are multiple attacks against DNS, such as packet forgery and cache poisoning. In order to mitigate those attacks, Domain Name System Security Extensions (DNSSEC) were added, that provide data origin authentication and data integrity. It uses chain of trust model and asymmetric cryptography to sign records in response messages from nameserver. The problem of this approach is complicated key rollover procedure, since domain owner should request registry to update domain's trust anchor at parent's site through some out of bound method. New mechanism of notifying registry about new keys through DNS was conceived. With that mechanism, domain owner could publish CDS/CDNSKEY records at domain's authoritative servers, so automatic monitoring tool at registry could process those records and place them into it's zone. Weak point of this automation is setting up DNSSEC for a domain that is not yet secured. One method of several that are used for that suggests continuous monitoring of CDS/CDNSKEY records for some time from multiple vantage points. FRED-AKM developed by CZ.NIC, z. s. p. o. implements strategy, with acceptance period for insecure domains. The aim of this work is to augment FRED-AKM so it will perform scans from multiple locations. This work will contribute to overall security of the process of setting up DNSSEC for insecure domains.