Transportverschlüsselung - jetzt aber mal richtig

TAGS: HTTPS, XMPP, JABBER, SMTP, POSTFIX, BIND9, DNS, E-MAIL, DNSSEC, SSH, TLS, SSL

Art des Beitrags: Workshop
Dauer: 360 Minuten
Maximale Anzahl von Teilnehmern: 12

Inhalt


Folien: http://strotmann.de/~cas/talks/CommitterConf2014/DNSSEC-and-DANE-CommitterConf-2014.pdf Lab-Script: http://strotmann.de/~cas/talks/CommitterConf2014/dnssec-dane-lab.html

Die klassische Transportverschlüsselung im Internet mittels X.509 Zertifikaten (bekannt als TLS/SSL) ist kaputt, das Vertrauen in das System mit kommerziellen hierarchischen Zertifizierungsanbietern (CA) ist zerstört. Mittels abgesichertem DNS, eigenen Zertifikaten und neuen DNS Record Typen werden die CAs abgelöst, die Besitzer der Dienste nehmen die Sicherheits der Transportverschlüsselung selbst in die Hand ohne eine Abhängigkeit von externen Zertifizierungsstellen.

DANE und DNSSEC

TLS/SSL Zertifikate können mittels DNS und DNSSEC abgesichert werden, ohne Zertifizierungstsellen, ohne extra Kosten, ohne Bearbeitungszeiten und mit verbesserter Sicherheit.

Aber wie geht denn das?

Administratoren stehen vor einem Berg neuer Konzepte, Termini, Befehlen. DANE Sicherheit setzt DNSSEC vorraus. Was wird für DNSSEC benötigt? Welche Registrare unterstützen DNSSEC und DANE heute? Muss ich meinen eigenen DNS Server betreiben?

Theorie und Praxis ...

... werden in diesem Workshop verschmelzen. Jeder Teilnehmer bekommt einen (virtuellen) Server (mit Debian Linux). Wir werden:

  • einen BIND 9 DNS Server installieren
  • eine DNS Zone für unsere Zone erstellen
  • DNSSEC Schluessel für die Zone erzeugen
  • die DNS Zone DNSSEC signieren
  • einen Webserver einrichten (Apache oder NGINX)
  • ein TLS/SSL Zertifikat mittels OpenSSL erstellen (selbst-signiert)
  • das TLS/SSL Zertifikat im Webserver einrichten
  • ein TLSA Record des Zertifikats im DNS hinterlegen
  • einen DNSSEC validierenden Resolver (Unbound) einrichten
  • per Webbrowser-Plugin die DANE TLSA Konfiguration testen
  • SSH Server-Fingerprint im DNS hinterlegen
  • OpenSSH Client einrichten, so das der SSH Fingerprint aus dem DNS geprüft wird

Bei jedem Schritt werden die Schritte erklärt (Praxis) und die Hintergründe erleutert (Theorie)

Wenn die Zeit reicht, sprechen wir noch über die Konfiguration von DANE/TLSA fuer E-Mail (Postfix) und Prosody (Jabber/XMPP)

Redner


Als Forscher in den Tiefen und Untiefen unixoider Betriebssysteme erzähle ich gerne von meinen Expeditionen unter Linux, OpenBSD, MacOS X, Plan 9, Solaris; und schrecke auch vor Windows Server nicht zurück. Schwerpunkte meiner Arbeit sind DNS, DHCP, IPv6 und eine Programmiersprache namens Forth.