Etikettarkiv: dnssec

För internets bästa ❤️

Jag har två nya uppdrag där jag verkar för internets bästa. Det är två styrelseuppdrag där det enda är för .SE (Stiftelsen för internetinfrastruktur) sedan November 2014 och det andra är Internet Society Sweden Chapter (ISOC-SE) sedan förra veckan.

Även så anordnar jag och Anne-Marie Eklund-Löwinder säkerhetsspåret för årets Internetdagarna som går av stapeln i November.

Men vad är för internets bästa då? Jo, du får nog olika svar beroende på vem du frågar men det jag tycker är viktigt är följande:

  • Fler lär sig programmera genom exempelvis barnhack
  • Ökad mångfald inom internetbranschen
  • Öppna data och entreprenörskap
  • Säkerhet såsom krypteringDNSSEC
  • IPv6
  • Robusthet, driftsäkerhet och stabilitet

Det är roliga uppdrag och förhoppningsvis kan min medverkan göra internet till en lite bättre plats. Och om du gillar internet så tycker jag att du ska gå med i den ideella föreningen ISOC-SE som kostar 350kr / år.

Vad tycker du är viktiga internetfrågor?

Bild CC BY 2.0 @balleyne

DNSSEC ökar säkerheten men även komplexiteten

CC-BY 2.0 Flickr @kylehase

Att en övergång till DNSSEC är något som just nu är något som diskuteras för fullt på bl.a. Internetdagarna 2011 där jag närvarade för några dagar sedan. Att DNSSEC är rätt väg att gå är nog något som ingen ifrågasätter och även så har E-delegationen skrivit om införande av DNSSEC.

Dock så stötte jag problem i helgen då en svensk registrar infört DNSSEC på många av sina .SE-domäner och jag flyttade över till en extern DNS som var Amazon Route 53 i detta fall. Och då blir det problem: för domänen ser då ut att ha DNSSEC men namnservern i detta fall svarar att det inte finns (DS finns men inte DNSKEY) och att stänga av DNSSEC var omöjligt.

Som tur var så kunde jag snabbt flytta över domänen till Frobbit som hjälpte mig.

Läs även mer om DNSSEC hos .SE.

Så vad kan vi lära oss av detta? DNSSEC ökar säkerheten men även komplexiteten och risken för problem ökar då många fel leder till att domänen slutar fungera.

Så här uppenbarade sig mitt problem med SERVFAIL:

dig www.dnssec-failed.org

; <<>> DiG 9.7.2-P2 <<>> www.dnssec-failed.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 17692
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.dnssec-failed.org.        IN    A

;; Query time: 108 msec
;; SERVER: 192.168.1.2#53(192.168.1.2)
;; WHEN: Fri Nov 19 16:08:29 2010
;; MSG SIZE  rcvd: 39</pre>

Supersäker webbserver

Du kanske undrar hur eller om det är möjligt att göra en webbserver supersäker? Och svaret är: nja. Att göra själva webbservern säker går men det finns mycket annat som spelar in också, låt mig redogöra hur du kan skapa en säker webbserver:

  • Installera senaste versionen av OpenBSD och stäng ner alla tjänster och slå igång brandväggen samt annan uppsäkring av operativsystemet. Administrera enbart via konsol (överkurs: gör ditt eget operativsystem).
  • Skriv din egen webbserver i exempelvis C och låt någon granska koden. Se till att enbart servera statiska webbsidor
  • Gör så att filsystemet ej är skrivbart (bootbar cd-rom exempelvis)
  • Använd DNSSEC (går ej .COM ännu, men funkar bra på .SE)
  • Se till att närliggande system i din miljö inte kan ta över ditt IP-nummer (via arp)
  • Se till att routrar etc på vägen också är uppsäkrade
  • Tänk även på din fysiska miljö

Det blir förvisso mycket knöligt att administrera men supersäkert. Finns så klart mycket mer som kan läggas till denna lista men bygger du en webbserver/lösning enligt ovan lista så bör du hålla illasinnade borta.