T1534

Ladda ner som PDF

DNSSEC - Domain Name System Security Extensions

DNSSEC används för att säkra upp kommunikationen med det befintliga DNS-systemet och ger en möjlighet att verifiera äktheten i de svar man erhåller. Genom att använda DNSSEC kan vi minimera attackytorna mot vårt befintliga DNS-system och på så viss få en mer pålitlig och robust kommunikation över våra nätverk.

Under kursen gång går vi igenom den teknik som DNSSEC utgör samt de tekniska och icke tekniska problem man vanligtvis stöter på under införandet av DNSSEC.

Målgrupp

Kursen vänder sig till nätverkstekniker, DNS-administratörer,  IT-säkerhetskonsulter, beslutsfattare samt övriga roller som behöver en grundläggande förståelse för vad DNSSEC är, vilka krav som ställs på en implementation och vilka problemen som drift av DNS-zoner med DNSSEC medför.

Förkunskaper

Grundläggande DNS-kunskaper, felsökning av DNS-system samt konfiguration av DNS-server

Kursmaterial

Kursen levereras på svenska eller engelska med digitalt kursmaterial på engelska

Kursinnehåll

1. Introduction

2. DNS History

  • The DNS structure
  • Basic tools, dig, nslookup
  • The dns query
  • Record types
  • ISC Bind zone format
  • Resource record sets
  • Caching 
  • Authoritative
  • Recursive vs Iterative
  • Delegation
  • Master/slave
  • Notify             

3. DNS Software

  • BIND
  • NSD
  • Unbound

  • LAB 0: Prepare the lab environment
  • LAB 1: Unbound - Installation
  • LAB 2: BIND - Installation + basic zone configuration                

4. TSIG

  • Vulnerabilities in the DNS system
  • Configuring TSIG
  • Testing TSIG communication
  • Using dnssec-keygen to create a secret 

  • LAB 3: BIND                                   

5. Cryptography - a quick rehearsal

  • History of cryptography
  • Ciphers
  • Symmetric vs Asymmetric cryptography
  • Algorithms
  • Key exchange
  • Verifying the sender
  • Hash algorithms
  • Digital signatures
  • Certificates and PKI              

6. DNSSEC Basic principles

  • DNSSEC protection
  • Chain of trust
  • New records
  • DNSKEY
  • RRSIG
  • DS
  • NSEC/NSEC3
  • DNSSEC fields    
      
  • LAB 4: Manual verification of a signature chain         
  • LAB 5: An automated validation of a signature chain

7. Zone signing

Kursinnehåll

1. Introduction

2. DNS History

  • The DNS structure
  • Basic tools, dig, nslookup
  • The dns query
  • Record types
  • ISC Bind zone format
  • Resource record sets
  • Caching 
  • Authoritative
  • Recursive vs Iterative
  • Delegation
  • Master/slave
  • Notify             

3. DNS Software

  • BIND
  • NSD
  • Unbound

  • LAB 0: Prepare the lab environment
  • LAB 1: Unbound - Installation
  • LAB 2: BIND - Installation + basic zone configuration                

4. TSIG

  • Vulnerabilities in the DNS system
  • Configuring TSIG
  • Testing TSIG communication
  • Using dnssec-keygen to create a secret 

  • LAB 3: BIND                                   

5. Cryptography - a quick rehearsal

  • History of cryptography
  • Ciphers
  • Symmetric vs Asymmetric cryptography
  • Algorithms
  • Key exchange
  • Verifying the sender
  • Hash algorithms
  • Digital signatures
  • Certificates and PKI              

6. DNSSEC Basic principles

  • DNSSEC protection
  • Chain of trust
  • New records
  • DNSKEY
  • RRSIG
  • DS
  • NSEC/NSEC3
  • DNSSEC fields    
      
  • LAB 4: Manual verification of a signature chain         
  • LAB 5: An automated validation of a signature chain

7. Zone signing

  • Signing steps
  • Generating keys
  • Signing the zone
  • Publishing your zone
  • Manual signing with BIND
  • Using scripts for zone signing
  • BIND and smart signing
  • BIND inline signing

  • LAB 6: BIND - Manual signing of a zone
  • LAB 7: BIND - Automated INLINE zone signing              

8. Trust Anchors

  • Using DNSSEC on internal networks
  • SEP, Secure entry points
  • Trust anchors
  • Unbound/autotrust
  • Configuration BIND, Unbound
  • DLV                                       

9. Key rollover techniques

  • ZSK Rollover techniques
    • ZSK Double Signature
    • ZSK Pre-publication
  • KSK Rollover techniques
    • KSK Double-KSK
    • KSK Double-DS
    • KSK Double-RRSET
  • Emergency key rollovers
  • Implement automatic key rollovers

  • LAB 8: BIND - Manual ZSK Pre-publish rollover
  • LAB 9: BIND - Manual KSK Double-DS rollover
  • LAB Extra:  ZSK - Double signature
  • LAB Extra:  KSK - Double KSK

10. OpenDNSSEC & SoftHSM

  • Hardware security modules
  • PKCS#11
  • SoftHSM
  • OpenDNSSEC
  • ODS Configuration
  • ODS utilities              
      
  • LAB 10: SoftHSM & OpenDNSSEC - Installation, configuration and signing of a zone

11. Key management and problems within the organisation

  • RFC 6841
  • DNSSEC Policy (DP)
  • DNSSEC Practice Statement (DPS)

 

Utbildningen levereras i samarbete med

Kurs-ID: T1534
Längd: 3 dagar
Pris exkl moms: 26 950 kr
Kan betalas med:
TRAINING CARD

Lämna dina kontaktuppgifter om du önskar en företagsintern utbildning.

Tipsa