GESTION DU RENOUVELLEMENT DES CLEFS POUR DNSSEC

Dimension: px
Commencer à balayer dès la page:

Download "GESTION DU RENOUVELLEMENT DES CLEFS POUR DNSSEC"

Transcription

1 Ecole Nationale Supérieure des Télécommnunications de Bretagne RAPPORT DU STAGE DE FIN D ETUDE GESTION DU RENOUVELLEMENT DES CLEFS POUR DNSSEC Mai Septembre 2003 Réalisé par : LEI Zhi Yu Encadrants : Olivier COURTAY Bernard COUSIN Correspondant école : Francis DUPONT

2 Remerciements Remerciements à tous mes encadrants : Olivier Courtay, Bernard Cousin et Francis Dupont, pour leur accueil chaleureux et leur conseils. Merci au M. Sylvain Gombault et Gille Guette pour leus conseils. Adresses LEI Zhi Yu ENST Bretagne Option RSIFI 2, rue de la Châtaigneraie Cesson Sévigné Cedex Tel : Olivier COURTAY Equipe Armor IRISA / INRIA Rennes Campus Universitaire de Beaulieu Avenue du Général Leclerc RENNES Cedex France Tel : Bernard COUSIN Equipe Armor IRISA/INRIA Campus Universitaire de Beaulieu RENNES Cedex Tel : Fax : Francis DUPONT ENST Bretagne Département RSM 2, rue de la Châtaigneraie Cesson Sévigné Cedex Tel :

3 Résumé Le DNS (Domaine Name System), est une partie indispensable de l Internet d aujourd hui, mais le système DNS original ne propose aucune protection contre des attaques variées, sa sécurisation est-elle devenu une nécessité. Depuis 1999, une extension sécurisée du DNS, DNSSEC, a été exploitée. DNSSEC garantit l intégrité des requêtes et des données et l authentification de la source en utilisant une système de cryptographie à clef publique et de signature numérique. De nouveaux enregistrements (RR KEY, SIG, NXT et DS) sont introduits au service DNS. Des enregistrements d'une zone DNS sécurisée sont signés, par des clefs privées associée à la zone. La durée de validité d'une clef est limitée et les clefs doivent être renouvelées périodiquement, mais ce genre de gestion s'avère coûteuse en temps pour le personnel d'administration. Ce stage est proposé par l IRISA (Institut de Recherche en Informatique et Système Aléatoire), comme une partie du projet IDsA (Infrastructure DNS Sécurisé et Applications). Le but de ce stage est de développer les outils nécessaires à une gestion automatisée de ces clefs de DNSSEC, afin d améliorer l efficacité du traitement des zones et des clefs changées, et de faciliter le travail de maintenance. La durée de stage est du 22 mai au 30 septembre. Ce stage se déroule au site rennais de l IRISA et de l ENST Bretagne. Une solution pour l automatisation de renouvellement des clefs dans DNSSEC est proposée au cour de ce stage, après avoir etudié le mécanisme courant du renouvellement des clefs. Cette solution consiste en un modèle conceptuel décrivant un algorithme nommé KRO, qui efficacement gère le processus de Key Rollover, et un logiciel, implémenté en langage C sous FreeBSD, correspondant au modèle KRO. Mots Clefs : DNSSEC, Key Rollover, Gestion automatisée, KRO - 3 -

4 Abstract Nowadays, the DNS (Domain Name System) is an essential part of the Internet, but originally DNS system did not propose any protection against various attacks and threats, its security had become a necessity. Since 1999, the security extension of the DNS, DNSSEC, was exploited. DNSSEC guarantees the data integrity in DNS messages (requests or response) and the authentication for the source of a message by using a system combined public key infrastructure with digital signatures. New resource records (RR KEY, SIG, NXT and DS) are introduced to service DNS. The resource records of a secured DNS zone are signed by private parts of key-pairs associated with that zone. But the period of validity of a key is limited and the keys must be renewed periodically (Rollover), this kind of management proved to be time-consuming for the personnel of administration. This intern project is proposed by IRISA (Institut de Recherche en Informatique et Système Aléatoire), as a part of IDsA project (Infrastructure DNS Sécurisé et Applications). The goal of this intern is to develop a tool needed for an automated management of these DNSSEC keys so as to improve the performance in processing the changed zones and keys, and to make the work of maintenance easier. The duration of the intern is from May 22 to September 30. This intern proceeded at Rennes, in the location of IRISA and ENST Bretagne. After having studied current mechanism of the keys rollover, a solution is proposed at during this intern, for an automated rollover of the keys in DNSSEC. This solution consists a conceptual model named KRO, which describes an algorithm handles the process of Key Rollover effectively, and a software corresponding to the process of rollover described by the model KRO, implemented in language C under FreeBSD. Keywords: DNSSEC, Key Rollover, Automated Management, KRO - 4 -

5 Sommaire Acronyme...6 I. Introduction...7 II. Contexte Le DNS Historique Architecture du système DNS Contenu d une zone Processus de résolution DNSSEC Extension sécurisée Clef et signature Chaîne de confiance (Chain of Trust)...20 III. DNSSEC Key Rollover Problématique KRO Un algorithme de Key Rollover Justification des choix Avantages et inconvénients Implémentation Découpage fonctionnel Flux d exécution Bibliothèques utilisées Interface utilisateur Résultat...36 IV. Déroulement du projet...40 V. Conclusion et perspectives...41 Index des matériels graphiques...42 Index des extraits du fichier...42 Références...43 Annexe A : Informations sur KEY, SIG et DS...44 Annexe B : Extraits des fichiers de configuration...46 Annexe C : Extraits du code source

6 Acronyme BIND Berkeley Internet Name Domain. Un des programmes DNS sous UNIX et Windows. RFC Request For Comments. DNS Domain Name System, système de noms de domaine DNSSEC DNS security extension PKI Public Key Infrastructure DoS Denial of Service TTL Time To Live. Durée de vie, la durée de validité des données. RR Resource Record. Enregistrement de données figurant pour un nom de domaine dans un serveur de noms. Les enregistrements de données sont de plusieurs types, voici la liste (non-exhaustive) des types d'enregistrements. A Enregistrement adresse AAAA Enregistrement adresse IPv6 CNAME Enregistrement alias NS Enregistrement serveur de noms SOA Enregistrement Start Of Authority TXT Enregistrement texte HINFO Enregistrement d information sur le serveur MX Enregistrement pour l échange du mail Des enregistrements spécifiés par DNSSEC, l extension sécurisé du DNS NXT Enregistrement Next, utilisé pour vérifier la non-existance d une ressource dans une zone KEY Enregistrement clef, la partie publique d une paire de clefs PKI SIG Enregistrement signature, contenant la signature numérique des enregistrements DS Enregistrement du type Delegation Signer RRset Un ensemble de RRs avec même nom, classe et type, par exemple : tous les adresses de en IPv

7 I. Introduction Le DNS (Domaine Name System), qui permet à une machine de communiquer sans connaître au préalable l adresse IP de ses correspondants, est une partie indispensable de l Internet d aujourd hui. Ce service est chargé, entre autres, de la conversion entre un nom de machine et son adresse IP et inversement, mais le système DNS original ne propose aucune protection contre des attaques variées, ni de moyen d authentification ou de contrôle l intégrité des informations obtenues. Une extension récente du DNS, DNSSEC (depuis mai 1999, RFC2535), vient d'être proposée afin d assurer l'authentification et l'intégrité des requêtes et des données DNS. Cette extension utilise une système de cryptographie à clef publique et introduit de nouveaux enregistrements (RR KEY, SIG, NXT et DS) au service DNS. Les enregistrements d'une zone DNS sécurisée sont signés par des clefs privées associée à la zone, afin de réaliser la sécurisation des données, qui est l'objectif principal de DNSSEC. Ainsi, des proposition sont données sur la sécurisation de transaction DNS. La gestion des clefs de zone s'appuie sur la structure hiérarchique des zones du DNS. Pour assurer un certain niveau de sécurité, la durée de validité d'une clef est limitée. Face à tous ces besoins, les clefs doivent donc être renouvelées périodiquement, mais ce genre de gestion peut s'avérer coûteuse en temps pour le personnel d'administration. Le but de ce stage est de développer les outils nécessaires à une gestion automatisée de ces clefs de DNSSEC, afin d améliorer l efficacité du traitement des zones et des clefs qui sont changées, et de faciliter le travail de maintenance du personnel d'administration à la fois. Ce stage est proposé par l IRISA (Institut de Recherche en Informatique et Système Aléatoire), comme une partie du projet IDsA (Infrastructure DNS Sécurisé et Applications). Dans les chapitres suivants, nous expliquerons brièvement d abord, l origine et fonctionnement du système de noms de domaine, DNS, la problématique qui provoque la création de l extension sécurisé de DNS, le DNSSEC, et les comportements principaux de ce dernier. Ensuite nous allons présentons notre solution pour le renouvellement des clefs dans DNSSEC, après avoir expliqué le mécanisme courant du renouvellement. Notre solution consiste d abord en un modèle conceptuel décrivant le processus de Key Rollover (renouvellement des clefs), nommé KRO, et des codes implémentés correspondant à notre modèle, que nous détaillerons. Nous presentons des résultats que nous avons obtenus d après notre solution, ainsi qu une conclusion et des perspectives future

8 II. Contexte L'accès aux services sur Internet se repose sur l'utilisation massive de l'infrastructure DNS. Aujourd'hui, son utilisation est tellement naturelle qu'elle est devenu inévitable. Aussi, sa sécurisation est-elle devenu une nécessité, vu des nombreuses attaques sur des sites célèbres commerciaux ou même des sites gouvernementaux. Donc, depuis des années récentes, une telle infrastructure sécurisée, DNSSEC, a été exploitée pour la sécurisation du service DNS. Dans la partie suivante, nous allons parcourir le principe du service DNS et son extension sécurisé, DNSSEC. 1. Le DNS 1.1 Historique Au début, l'internet (ou anciennement ARPAnet) était formé simplement de quelques machines. Elles avaient chacune une adresse que l'on retenait facilement vu leur faible nombre. Un fichier hosts.txt comprenait les noms des différentes machines avec leur(s) adresse(s). Les manipulations sur ce fichier sont peu à peu devenues trop lourdes avec l augmentation du nombre de machines connectée au réseau, car l'administrateur désirant nommer une machine devaient envoyer un courrier électronique au responsable de la maintenance du fichier, ce dernier effectuait la mise à jour, et publiait une nouvelle version du fichier. Il n'était pas souvent à jour, et les modifications étaient longues à se propager. Un nouveau système a donc été créé, puis mis en place pour remplacer l'ancien. Paul Mockapetris a conçu et spécifié le DOMAIN NAME SYSTEM, ou DNS, en éditant les RFC882 et RFC883, plus tard mises à jour par RFC1034 et RFC1035 [RFC03]. Ce sont les spécifications officielles du système DNS et ce système permet de gérer des milliers de machines, ayant des noms descriptifs. La base de données du DNS est mise à jour de façon distribuée, et qui permet à certaines machines de contrôler certains segments de la base de données, tandis que toute la base de données est accessible par des clients par un mécanisme client-serveur. Un système de réplication assure une fiabilité raisonnable, tandis que des caches augmentent la performance du système. D'autres protocoles existent pour associer des informations à des noms de machines, par exemple NIS ou yellow pages, un système développé par SUN, qui peut être configuré de manière à utiliser aussi le DNS pour la recherche de noms de machines. De même, certains clients peuvent utiliser plusieurs systèmes de recherche, la configuration est spécifique au système. Mais notre considération est plutôt concentrée sur le DNS

9 1.2 Architecture du système DNS ENST Bretagne Campus Rennes L architecture de la base de données DNS est un arbre inversé. La racine se trouve au sommet, et porte le nom vide mais s écrit. (ou racine). Chaque nœud de l'arbre porte une étiquette qui l'identifie par rapport à son parent. L'utilisation de majuscules ou de minuscules est indifférente dans l'écriture des noms d étiquettes. Seuls les lettres, les chiffres, et le symbole "-" sont autorisés. Le terme "nom de domaine" ici représente donc indifféremment les nœuds de l'arbre (domaines, sous-domaines) ou les feuilles (terminales). com edu fr cn irisa enst-bretagne Zone fr Zone enst-bretagne.fr Domaine fr titan rsm A xx.xx AAAA 2001:... [Fig.1 Arbre des zones] Dans l exemples ci-dessus, nous avons un domaine fr, que l'on peut aussi écrire fr. pour bien montrer qu'il est en haut de l'arbre. Ce nœud de l'arbre à un certain nombre de fils, comme irisa.fr ou enst-bretagne.fr dans la figure et bien sûr d autres fils comme tf1.fr ou sncf.fr. Un domaine est la partie de l'arbre présente sous un nom donné. Par exemple, le domaine fr contient le nœud fr ainsi que tous les nœuds dont le nom de domaine se termine par fr, c'est à dire tous des nœuds sous le nœud fr. Chaque nœud peut aussi contenir un certain nombre d'informations, comme une adresse IP, un type de machine, le nom de la machine en charge du courrier pour ce domaine, etc., c est sont des enregistrements des données DNS. Ces informations sont représentées par un ensemble d'enregistrements associés au nœud de l'arbre (A, HINFO, MX, etc.). Les programmes utilisant le DNS peuvent obtenir les enregistrements d'un certain type pour un nom de domaine donné. Dans l illustration au dessus, des enregistrements des données apparaissent dans le cadre sous le label du nœud rsm, entre autres il y a une adresse IP en IPv4 et aussi une autre en IPv6. Nous allons voir - 9 -

10 dans la partie suivante pour les détails des enregistrements. ENST Bretagne Campus Rennes En utilisant la structure d'arbre, il est possible de définir des domaines de responsabilité dans le nommage. Chaque fléche reliant un nœud à un nœud inférieur peut convoyer une information précisant qui est responsable du niveau inférieur. En des termes plus informatique, le domaine à l'origine de la fléche, le père, contient des informations précisant quels sont les serveurs possédant des informations sur les fils. Délégation est la notion utilisée à cet effet dans le système DNS. À chaque niveau cela peut se répéter, d'ou la création d'une répartition des responsabilités de nommage et de fonctionnement mais elle peut également indiquer qu'il n'y a pas de délégation de responsabilité. Une zone est la partie d'un domaine parcourue sans franchir de fléche, délégant la responsabilité. Ou autrement dit, une zone est la partie de l'arbre gérée par le même serveur (mais le même serveur peut gérer plusieurs zones). Dans le schéma, nous pouvons voir la zone fr et la zone enst-bretagne.fr, ainsi que la délégation entre ces deux zones, qui signifie que la zone enst-bretagne.fr est la zone fille de la zone fr. Le nœud rsm est le fils du nœud enst-bretagne.fr, donc le nom complet du nœud rsm, qui est en fait l un des serveurs de notre école, est rsm.enst-bretage.fr, ou rsm.enst-bretagne.fr. avec le point terminal. Les données de chaque zone sont dupliquées sur plusieurs serveurs. Cette duplication permet d'améliorer la fiabilité du service et de répartir la charge entre les différents serveurs. Aussi, chaque enregistrement contient une durée de validité des informations. Une fois qu'une machine cliente a obtenu une information, l'enregistrement est valide pour le temps donné (TTL). Après cette durée, il faut à nouveau demander cette information. Pendant cette durée, l'information peut être stockée dans un cache. La présence de ce mécanisme de cache dans tous les serveurs de noms ainsi que dans un certain nombre de clients (résolveur) permet de limiter le nombre de requêtes faites, au prix d'une certaine latence dans la mise à jour d'informations quand un changement est effectué. 1.3 Contenu d une zone Nous avons vu que chaque nœud peut aussi contenir un certain nombre d'informations, comme une adresse IP, un type de machine, le nom de la machine en charge du courrier pour ce domaine, etc., c est sont des enregistrements. Ces informations sont représentées par un ensemble d'enregistrements décrits dans des fichiers de configuration de la zone correspondante. Dans ce rapport, des exemples sont tous faites sous FreeBSD 4.8 release en utilisant BIND (version 9.3 Snapshot). Après avoir vu la configuration d une zone, dans des serveurs de nom, c est le fichier named.conf qui contient la configuration du serveur et en particulier la liste des zones sur lesquelles le serveur

11 est autoritaire (primaire ou secondaire). La syntaxe complète de ce fichier dépend de la version de BIND. La documentation et les dernières informations de la version actuelle sont disponibles sur l Internet et il est aussi possible de l obtenir par la commande man named.conf. Toutes les zones sont énumérées dans le fichier de configuration du serveur de noms en précisant si la zone est primaire, secondaire, ou cache. La syntaxe générale est la suivante : <type de la zone><nom de la zone>[source]<fichier> Par exemple : zone "lei.enst.idsa.prd.fr" { type master; file "master/lei.enst.idsa.prd.fr.signed"; ; zone "names.lei.enst.idsa.prd.fr" { type slave; masters { ;; file "slave/names.lei.enst.idsa.prd.fr"; ; [Extrait du fichier /etc/namedb/named.conf, section des zones] Outre la liste des zones, le fichier named.conf contient aussi des options de configuration du serveur, par exemple, les noms de fichiers peuvent être absolus (commençant par un /), ou relatifs, l option directory peut être utilisée pour changer le répertoire courant du programme. Par exemple : options { directory "/etc/namedb"; listen-on-v6 { any; ;... ; [Extrait du fichier /etc/namedb/named.conf, section des options] Les champs sont séparés par des espaces, les tabulations sont plus ou moins bien acceptées suivant les versions. Les lignes vides sont acceptées, des commentaires peuvent figurer par ligne entière commençant par un point-virgule ;. Nous avons vu que dans named.conf, pour chaque zone gérée par ce serveur, un fichier de configuration est spécifié, dans l extrait précédant, la ligne file "master/lei.enst.idsa.prd.fr.signed"; et file "slave/names.lei.enst.idsa.prd.fr"; sont des noms de fichier correspondent à la zone

12 "lei.enst.idsa.prd.fr" et "names.lei.enst.idsa.prd.fr". ENST Bretagne Campus Rennes Chaque fichier de configuration de la zone contient une liste de differents enregistrements liées à la zone, ce sont des Resource Records(RR). Dans le système DNS original, des RR de type adresse IPv4(A), adresse IPv6 (AAAA), alias (CNAME), serveur de noms (NS) et start of authority (SOA) sont définis entre autres. Géneralement un RR a une représentation corresponde à le modèle suivant : Name TTL Class Type Rdata Par exemple: names.lei.enst.idsa.prd.fr 600 IN A xxx.xxx Pour le RR SOA, le format est plus compliqué comme le modèle extrait ci-essous : names.lei.enst.idsa.prd.fr. 60 IN SOA ps2.ipv6.rennes.enst-bretagne.fr.enst.idsa.prd.fr. zhiyu\.lei.enst-bretagne.fr.enst.idsa.prd.fr. ( ; serial 60 ; refresh (60 seconds) 3600 ; retry (1 hour) ; expire (1 week) ; minimum (1 day) ) [Extrait du fichier de zone, section RR SOA] Dans l extrait on peut voir un numéro de série et les périodes de différentes opérations de la zone. Mais ici nous ne spécifions pas plus de détails de la configuration d un fichier de zone, pour des enseignements détaillés et complets, nous vous conseillons de voir [AL01] et [OK02]. Il faut noter que sur la réalisation du DNSSEC (nous allons voir en détails dans la partie II.2 du rapport), dans la version 9.2 ou plus anciennes du BIND, la méthode proposé par RFC2535[R2535] est utilisée donc des RR du type KEY, SIG NXT sont implémentés et dépuis BIND 9.3(snapshot) l approche DS est adoptée

13 1.4 Processus de résolution ENST Bretagne Campus Rennes Le DNS est utilisé par la plupart des services liés à l'internet. Chaque fois que l'un de ces services fait référence à une machine par son nom, la base de données est interrogée (si l'enregistrement recherché n'est pas dans le cache du client). Sur des système UNIX, l'interrogation de la base de données est généralement faite par la librairie C dans la routine gethostbyname(). La librairie en question s'appelle libresolv.a et ses routines sont documentées dans le man resolver(3). Cette routine est utilisée par: Telnet (connexion à d'autres machines) FTP (transfert de fichiers) sendmail (MTA) Browsers WWW (Mozilla, NetScape...) etc... Le but de la librairie est de mettre en forme la requête cliente, de l'envoyer à un (ou plusieurs) serveur(s), et de collecter la réponse. Les clients peuvent être des programmes utilisant le service de noms dans la liste précédente ou d autres outils comme nslookup et dig. Chaque serveur possède une partie de la base de données du DNS, en général une ou plusieurs zones. Si c'est un serveur qui a la version officielle des donnés de la zone et les autres serveurs s'adressent à celui-ci pour les obtenir, on dit alors que ce serveur est autoritaire sur cette zone. Les serveur gardent aussi pendant une certaine période des informations venant d'autre zones en mémoire. C'est la fonction cache. Cela permet de limiter le trafic et de diminuer les temps de réponse en n'ayant pas systématiquement besoin de s'adresser à une des serveurs officiel d'un segment de la base pour obtenir les donnés après les avoir obtenues une première fois. Néanmoins les clients interrogent en général toujours le même serveur, souvent une machine "de service" ayant pour vocation de "faire tourner un DNS". Bien sûr cette machine ne connaît pas toutes les réponses (base de données répartie) et il y a d'autres machines plus appropriées pour répondre à certaines question sur un domaine. Une fois une requête reçue pour un domaine dont le serveur n'est pas autoritaire, deux cas sont possibles: Mode itératif 1 : rsm.enst-bretagne.fr? 2 : fr->ns2 Serveur du nom 1 resolveur 3 : rsm.enst-bretagne.fr? 4 : enst-bretagne.fr->ns3 Serveur du nom 2 fr 5 : rsm.enst-bretagne.fr? Serveur du nom 3 6 : rsm.enst-bretagne.fr IN A [Fig.2 Résolution en mode itératif] enst-bretagne.fr

14 Le serveur renvoie une réponse au client en indiquant qu'il ne connaît pas la réponse, mais qu'il suppose que tel serveur est plus renseigné que lui. Le client va envoyer la requête à un premier serveur puis à un second, peut être à un troisième, etc. Mode récursif 1 :rsm.enst-bretagne.fr? Serveur du nom 1 6: rsm.enst-bretagne.fr IN A resolveur Serveur du nom 2 fr 4 3 Serveur du nom 3 enst-bretagne.fr [Fig.3 Résolution en mode récursif] Le serveur envoie la question à un serveur supposé plus renseigné que lui, attend la réponse et la fait suivre au client. Le client envoie la requête à un serveur, celui-ci la fait suivre à un second serveur, ce dernier l'envoie peut-être à un troisième serveur, etc. Par défaut, un resolveur envoie des requêtes en mode récursif aux serveurs de noms, et des serveurs font des requêtes nécessaires en mode itératif pour y répondre, sauf dans les cas ou l option forwarder est configurée dans named.conf du serveur. [AL01] Dans des resolveurs, c est aussi possible et nécessaire de traiter le cas où des noms sont simples qui ne contiennent pas de points en leur ajoutant un nom de domaine (souvent du réseau local). En effet les autres serveurs DNS ne savent traiter que des requêtes pour des noms complets à partir de la racine. Donc généralement une librairie est créée, elle utilise un fichier de configuration précisant la liste des serveurs à contacter, et le nom de domaine par défaut. Sous UNIX, le fichier /etc/resolv.conf qui contient des informations utiles à résoudre ce problème. domain ipv6.rennes.enst-bretagne.fr nameserver xxx.xx [Extrait du fichier /etc/resolv.conf] Dans tous les cas précédents, nous avons parlé de moyens de trouver l'adresse d'une machine à partir de son nom, en revanche, nous avons aussi le pourvoir de faire l'inverse, c'est à dire ayant une adresse de trouver les noms qui correspondent. Mais dans ce papier nous ne détaillons pas ce processus là

15 2. DNSSEC 2.1 Extension sécurisée Puisque le DNS est la base de ce stage, nous avons fait beaucoup d efforts en expliquant la fonctionnement du DNS dans la partie précédante. Maintenant nous avançons à son extension sécurisée, DNSSEC. Comme décrit précédement, le DNS permet des machines de communiquer au travers de l Internet sans connaître leurs adresses IP respectives, mais la conception originelle de ce service n inclut aucun service sécurisé ayant pour but de protéger les transactions et les données échangées. Et par conséquent, le service DNS demeure très vulnérable aux attaques telles que la création ou modification des messages, la pollution de cache, l usurpation d identité, etc. [GC03, AA03] Dans la figure suivante, les endroits où des attaques sont possibles sont marqués par un point d interrogation. Nous pouvons voir qu il y a des faiblesses situées dans des échanges de message DNS, et aussi des intrusions potentielles dans le fichier de zone ou le cache.?? Serveur DNS 1 Cache? Fichier de zone? Resolveur? Cache Serveur DNS 2 Fichier de zone Cache? [Fig.4 Points faibles du DNS] Par exemple, il est possible d intercepter un message DNS et de le modifier. En effet, il n est pas difficile d analyser le trafic sur le réseau à l écoute d une requête DNS (ce qui est particulièrement aisé sur les réseaux locaux où un support commun est partagé par plusieurs stations). Lorsqu une requête DNS passe, l attaquant la duplique, l analyse et envoie une réponse erronée à cette requête avant que le serveur de noms n ait eu le temps de répondre [GC03]. Ou, on peut fabriquer des réponses erronées directement, si l on a deviné le ID (et autre informations) de la requête suivante

16 successivement. [AA03] ENST Bretagne Campus Rennes De plus, le fonctionnement du cache, qui a pour but d améliorer les performances du DNS, c est-à-dire diminuer les temps de réponse lors d une résolution de noms, se fait une cible particulièrement intéressante pour les attaques appelé pollution de cache (ou cache poisoning), qui sont réalisés par une séries d interceptions et manipulations de message DNS. Ainsi, il est possible d utiliser un serveur DNS corrompu pour faciliter le processus d intrusion dans d autres systèmes, en modifiant le fichier de zone. En brèf, le système DNS est très vulnérable aux attaques, les problèmes de sécurité du DNS portent sur : - la sécurité des transaction de message DNS - la sécurité des données, l intégrité et l authentification - le déni de services Pour combler ce manque de sécurité, le protocole DNSSEC est proposé. DNSSEC apporte deux services de sécurité essentiels au DNS : DNSSEC garantit l intégrité des données et l authentification de la source des données. Afin de les mettre en œuvre efficacement, DNSSEC utilise une cryptographie à clef publique et des signatures numériques. Cette extension utilise de nouveaux enregistrements (RR KEY, SIG, NXT et DS) en supplément au service DNS original pour gérer des clefs et signatures nécessaire à l utilisation d une système de cryptographie à clef publique. Dans DNSSEC, chaque enregistrement est désormais signé (sauf les glues), et cette signature est stockées dans un enregistrement de type SIG spécifique [R2535]. Veuillez bien noter que la sécurisation ici est toujours au sens de la garantit de l intégrité des données et l authentification de la source des données. Ou autrement dit, le service DNSSEC est un service sécurisé et non-confidenciel, des données DNS sont toujours accessibles au public. L utilisation de SIG(0) et TSIG dans DNSSEC sont proposées par d autres chercheurs[r2845, R2931] afin de sécuriser des transaction entre serveurs DNS, mais la défense contre le déni de services n'est pas dans le domaine couvert par DNSsec. DNSSEC permet la sécurisation du DNS en se basant sur deux points : - La sécurisation d une zone - La confiance d une zone à une autre : Chaîne de confiance (Chain of Trust);

17 2.2 Clef et signature DNSSEC utilise une cryptographie à clef publique et des signatures numériques pour garantir l intégrité et l authentification dans le service DNS. Au lieu d expliquer en détails la fonctionnalité de PKI et de signature numérique, nous vous présentons le schéma de signature de vérification utilisé par DNSSEC : Signature : Message Message signé Hache Fonction de hachage Chiffrement avec clef privée Signature Envoi de message Vérification : avec clef publique Hache Dechiffrement avec clef publique Signature Message signé Message Les deux hachages sont-ils identiques? Hache [Fig.5 PKI et signature dans DNSSEC]

18 L idéé principale de cryptographie à clef publique est l utilisation asymétrique de clef publique et clef privée, et en revanche la signature numérique est une fonction de hachage. Le système PKI et signature numérique sont des méthodes matures et efficaces, leur emploiment dans DNSSEC est réalisé par la définition et l utilisation des nouveaux enregistrement : RR KEY et SIG. Dans chaque fichier de zone, nous allons trouver, entres autres, des enregistrements de type KEY pour stocker la partie publique des clefs capables d être utilisé à signer d autres enregistrements, ainsi que des enregistrements SIG contenant la signature de l enregistrement auquel ils font référence, et bien sûr la clef utilisée à la création de ce signature. TTL Type Drapeau Protocole Algorithme Clef publique ID de clef 60 KEY (AQPY2k4P2w/fFq/mARgANC8ypQAYEkgxWhSafulQ6rX tz33kk4vojlgcea7yehsp0k0jc5mxwy/fc8ohcug+q0//) ; key id = SIG KEY ( lei.enst.idsa.prd.fr. Y/0nwlvo77IuGBG62S27vqiatzSoehM3WbCqKFzmp5VV DJQ4epQwMTKdkLOI0pWE3ZgMtWKGb9ySvE/2icXsvg == ) NXT chambre.lei.enst.idsa.prd.fr. NS SOA SIG KEY NXT Data fin de valadité Data début de valadité Algorithme Nom de signataire 60 SIG NXT ( lei.enst.idsa.prd.fr. QjBIFk+yJ9rjoBc+cc81oz/EZ6A8Dig+Ii7V8C5+497r5b2 +RwON/1eIwZyHnPtEQO3uNIYKJ5ORh5zZpS0FjQ== )... Label Field [Fig.6 Extrait du fichier de zone, section clefs et signature] En effet, des enregistrements KEY et SIG font partie de la réponse DNS, à condition que le client qui envoie le requête demande l information DNSSEC en supplémentaire et le serveur a implémenté DNSSEC. De cette manière là, le client qui veut vérifier des données dans la réponse DNS qu il a obtenue d un serveur DNSSEC, il lui faut prendre la partie de signature chiffrée (dans enregistrement SIG), et re-établir la signature originale grâce à la partie publique de la clef qui est aussi inclue dans la réponse, et aussi prendre la partie de données et y faire la fonction de hachage pour créer la signature à nouveau. En comparant la signature original dechiffré de la réponse et la signature

19 qu il construite, il connaîtra l intégrité de l information obtenu. ENST Bretagne Campus Rennes Pour plus d information sur la création des clefs et des signatures, vous trouverez des instructions détaillées dans [OK02], ou des aides fourni dans BIND pour la commande dnssec-keygen et dnssec-signzone. D autre part, il existe un type de RR KEY spécial qui sert à signaler des serveur DNSSEC que cette zone n est pas sécurisé, il s agit une de type NULL. Pour plus d information veuilliez voir l annexe A du rapport. Dans l extrait du fichier précedante, nous avons aussi vu l autre type d enregistrement, NXT. En fait des enregistrement d une zone signée sont triées en ordre alphabétique quand on signe une zone par la commande dnssec-signzone, des RR NXT sont ajoutés automatiquement par BIND afin de répondre à la non-existence d un nom d une manière sûre

20 2.3 Chaîne de confiance (Chain of Trust) ENST Bretagne Campus Rennes Nous avons vu qu au sein d un fichier de zone ou d une réponse DNS, il y a des enregistrements sécurisés via des signatures numériques signé par des clefs privées de la zone. Le point critique devient donc de vérifier que la clef utilisée pour créer ces signatures correspondantes est légale. Pourtant, il existe deux types de clefs : les Key Signing Key (KSK) et les Zone Signing Key (ZSK). Les ZSK sont les clefs qui signent tous les enregistrements de la zone et les KSKs sont les clefs qui signent uniquement le KEY RRset. Mais ici c est le KSK qui fait partie de l architecture hiérarchique de l arbre DNS. Afin de valider une clef KSK, Delegation Signer[OG03] spécifient qu un enregistrement DS valide pour la clef de la zone fille doit être conservé dans la zone parente, et DNSSEC l a implémenté depuis BIND 9.3 Snapshot. Cela implique que quand une zone fille veut changer de KSK, elle doit contacter sa zone parente et lui envoyer son KEY RRset pour la prévenir des changements effectués. La zone parente peut alors créer le DS correspondant ou détruire un DS devenu obsolète. Grâce au DS dans la zone parente, on peut authentifier le KEY RRset du KSK correspondant du côté de la zone fille, et une fois la KSK était vérifié, les vérifications des ZSK et d autres enregistrements vont se faire successivement. 60 DS ( AB45E BFD538C8F656A2C61 349B ) 60 KEY ( AQPtej06bDqsYnS97ez4suIS2xqphkUePL7N nieq0+2kc4yzc3qbshee/dwsajtaiv9vnc/j zffsx0yc8kw6dsx2pqbtax/mgdsjj/puy2ct 79Znos+K7f+AI2LmoTUnyRtGsrKI7bToQDfK V9b3MGvP71B8XoeQ2Rk7s9W2PU89qw== ) ; key id = [Extrait du fichier de zone fille, section DS, et section KSK correspondante] En effef, le RR DS comporte un haché d une clef KSK de sa zone fille, sa création est automatisé dans la processus de la commande dnssec-signzone du côté de serveur de la zone parente, si le Keyset de zone fille est déjà donné. D après [OG03], le haché est calculé par : Hache = hash (FQDN du RR KEY Rdata RR KEY) où Rdata RR KEY = Drapeaux Protocole Algorithme Clef Publique et FQDN = Nom ou alias de la zone déléguée Comme dit toujours, DNSSEC utilise le modèle arborescent du DNS, donc pour valider une clef il

Sécurisation du DNS : les extensions DNSsec

Sécurisation du DNS : les extensions DNSsec Sécurisation du DNS : les extensions DNSsec Bertrand Leonard, AFNIC/projet IDsA Sécurisation du DNS: les extensions DNSsec JRES, 19/11/03 1 Historique Jusqu en 1984 : réseau restreint militaire/universitaire/recherche

Plus en détail

Domain Name Service (DNS)

Domain Name Service (DNS) Domain Name Service () 1 PLAN Introduction Nommage avec /etc/hosts Principe du découpage en domaines Configuration de BIND Création d une zone Outils de débuggage (dig, nslookup) Déclaration d une zone

Plus en détail

Domaine Name Service ( DNS )

Domaine Name Service ( DNS ) Domaine Name Service ( DNS ) DOMAINE NAME SERVICE ( DNS )...2 1.) Qu'est ce qu un Service de Nom de Domaine?...2 1.1) Pourquoi utiliser un DNS...2 Historique...2 Dans quel cas l utiliser...2 1.2) Fonctionnement

Plus en détail

Domain Name System. F. Nolot

Domain Name System. F. Nolot Domain Name System F. Nolot 1 Domain Name System Principe F. Nolot 2 Les besoins Internet est composé de plusieurs réseaux Chaque réseau est composé de sous réseaux Les sous réseaux sont constitués de

Plus en détail

Gilles GUETTE IRISA Campus de Beaulieu, 35 042 Rennes Cedex, France gilles.guette@irisa.fr

Gilles GUETTE IRISA Campus de Beaulieu, 35 042 Rennes Cedex, France gilles.guette@irisa.fr 1 Les extensions de sécurité DNS (DNSSEC Gilles GUETTE IRISA Campus de Beaulieu, 35 042 Rennes Cedex, France gilles.guette@irisa.fr I. INTRODUCTION Lorsqu une machine connectée à un réseau veut contacter

Plus en détail

INGI2347 - Securité. Rapport n 1. par François Beuvens Grégoire de Hemptinne. Groupe 6

INGI2347 - Securité. Rapport n 1. par François Beuvens Grégoire de Hemptinne. Groupe 6 INGI2347 - Securité Projet de sécurité Rapport n 1 par François Beuvens Grégoire de Hemptinne Groupe 6 Table des matières 1 Les grands principes du DNS 3 1.1 DNS : Fonctionnement des clients..........................

Plus en détail

DNS. Olivier Aubert 1/27

DNS. Olivier Aubert 1/27 DNS Olivier Aubert 1/27 Liens http://www.dns.net/dnsrd/ DNS Resource Directory http://www.isc.org/products/bind/ Internet Software Consortium - Berkeley Internet Name Domain http://www.nic.fr/guides/dns-intro

Plus en détail

B1-4 Administration de réseaux

B1-4 Administration de réseaux B1-4 Administration de réseaux Domain Name System (DNS) École nationale supérieure de techniques avancées B1-4 Administration de réseaux 1 / 29 Principe Chaque machine d un réseau IP est repérée par une

Plus en détail

INFOM468 - DNSSEC. Seweryn Dynerowicz - Bureau 227. Facultés Universitaires Notre-Dame de la Paix de Namur Faculté d informatique 29 III 2011

INFOM468 - DNSSEC. Seweryn Dynerowicz - Bureau 227. Facultés Universitaires Notre-Dame de la Paix de Namur Faculté d informatique 29 III 2011 INFOM468 - DNSSEC Seweryn Dynerowicz - Bureau 227 Facultés Universitaires Notre-Dame de la Paix de Namur Faculté d informatique 29 III 2011 SDy, LSc (CSF (FUNDP)) INFOM468 - DNSSEC 29 III 2011 1 / 41 Sommaire

Plus en détail

DNS : Domaine Name System

DNS : Domaine Name System DNS : Domaine Name System - Les machines utilisent les adresses IP pour communiquer. - Les humaines ont du mal à manipuler et à retenir des adresses IP. Ils retiennent plus facilement des noms de machines.

Plus en détail

LEILA BACCOUCHE. La Désignation dans les systèmes répartis

LEILA BACCOUCHE. La Désignation dans les systèmes répartis La Désignation dans les systèmes répartis 1 Le service de désignation (1) Permet de nommer, gérer et localiser de manière transparente un objet ou une ressource du SD Désignation externe : appliquée par

Plus en détail

Étude de l application DNS (Domain Name System)

Étude de l application DNS (Domain Name System) Étude de l application DNS (Domain Name System) RICM 4 - Option Réseaux Pascal Sicard Introduction Le but de ce TP est de comprendre l utilisation et le fonctionnement de l application réseau DNS (Domain

Plus en détail

Administration et sécurité des réseaux

Administration et sécurité des réseaux Plan Administration et sécurité des réseaux Chapitre 5 Le service DNS (Domain name service) 1 Assurer la conversion entre les noms d hôtes et les adresses IP. Exemple: machine.domaine.xz i résolution résolution

Plus en détail

Gérer son DNS. Matthieu Herrb. tetaneutral.net. Atelier Tetaneutral.net, 10 février 2015. http://homepages.laas.fr/matthieu/talks/ttnn-dns.

Gérer son DNS. Matthieu Herrb. tetaneutral.net. Atelier Tetaneutral.net, 10 février 2015. http://homepages.laas.fr/matthieu/talks/ttnn-dns. Gérer son DNS Matthieu Herrb tetaneutral.net Atelier Tetaneutral.net, 10 février 2015 http://homepages.laas.fr/matthieu/talks/ttnn-dns.pdf Licence Ce document est sous licence Creative Commons Paternité

Plus en détail

Étude de l application DNS (Domain Name System)

Étude de l application DNS (Domain Name System) Étude de l application DNS (Domain Name System) Master 1 Informatique Pascal Sicard Introduction Le but de ce TP est de comprendre l utilisation et le fonctionnement de l application réseau DNS (Domain

Plus en détail

Formation EFREI - 2004/2005. Implémentation du système DNS dans Windows 200x

Formation EFREI - 2004/2005. Implémentation du système DNS dans Windows 200x Formation EFREI - 2004/2005 Implémentation du système DNS dans Windows 200x Vue d'ensemble Généralités sur DNS Installation du service Serveur DNS Configuration de zones dans Windows 200x Test du service

Plus en détail

Sécurité des protocoles internet

Sécurité des protocoles internet pascal.malterre@cea.fr Historique A l origine, les noms des machines présentes sur le réseau étaient listés dans un simple fichier texte (HOSTS.TXT), mis à jour par le NIC (Network Information Center).

Plus en détail

Domain Name System 5 0 0 2 ot ol F. N 1

Domain Name System 5 0 0 2 ot ol F. N 1 Domain Name System 1 Domain Name System Principe 2 Les besoins Internet est composé de plusieurs réseaux Chaque réseau est composé de sous-réseaux Les sous-réseaux sont constitués de machines Il est possible

Plus en détail

Gilles.Roussel univ-mlv.fr DNS

Gilles.Roussel univ-mlv.fr DNS DNS 1 Problématique Référence des machines par un nom plutôt que par un numéro (adresse IP) Moins facile à retenir Impossible de deviner une adresse d'un serveur Web Noms valables sur tout l'internet 250

Plus en détail

Sécurisation du DNS : Les extensions DNSsec

Sécurisation du DNS : Les extensions DNSsec ,, (@v@) (_^(_\ ----^^\\\-- ^^^^^^^^^^^ IDsA Sécurisation du DNS : Les extensions DNSsec Atelier DNSsec proposé par le projet IDsA Atelier DNSsec IDsA Rennes, 09-10/12/2003 1 Plan Rappels synthétiques

Plus en détail

Formation DNS. Le pouvoir de dire nom. Valentin Roussellet (p2010) - louen@via.ecp.fr. Mercredi 1 er Décembre 2010.

Formation DNS. Le pouvoir de dire nom. Valentin Roussellet (p2010) - louen@via.ecp.fr. Mercredi 1 er Décembre 2010. Le pouvoir de dire nom Centrale Réseaux Mercredi 1 er Décembre 2010 Sommaire Noms, arbres et domaines 1 Noms, arbres et domaines Une petite histoire L arbre qui cache la forêt Domaines et sous-domaines

Plus en détail

Extensions du DNS : DNSv6 & DNSsec

Extensions du DNS : DNSv6 & DNSsec Extensions du DNS : DNSv6 & DNSsec Task Force IPv6 française Paris, 8 avril 2003 Mohsen Souissi AFNIC, G6 {Mohsen.Souissi, ipv6tech}@nic.fr 1 Plan Importance du DNS Recherche (résolution) de ressources

Plus en détail

Sécurisation du DNS : les extensions DNSsec

Sécurisation du DNS : les extensions DNSsec Sécurisation du DNS : les extensions DNSsec Bertrand Léonard AFNIC/projet IDsA (http ://www.idsa.prd.fr) Bertrand.Leonard@nic.fr date :09 octobre 2003 Résumé Les extensions de sécurité DNS (Domain Name

Plus en détail

Administration réseau Résolution de noms et attribution d adresses IP

Administration réseau Résolution de noms et attribution d adresses IP Administration réseau Résolution de noms et attribution d adresses IP A. Guermouche A. Guermouche Cours 9 : DNS & DHCP 1 Plan 1. DNS Introduction Fonctionnement DNS & Linux/UNIX 2. DHCP Introduction Le

Plus en détail

Serveurs de noms (domain name servers)

Serveurs de noms (domain name servers) Serveurs de noms (domain name servers) Rôle : conversion noms adresses IP Organisation hiérarchique des noms en domaines, sous-domaines etc. Fonctionnement par délégation : un domaine est géré par un serveur,

Plus en détail

(Third-Man Attack) PASCAL BONHEUR PASCAL BONHEUR@YAHOO.FR 4/07/2001. Introduction. 1 Domain Name Server. 2 Commandes DNS. 3 Hacking des serveurs DNS

(Third-Man Attack) PASCAL BONHEUR PASCAL BONHEUR@YAHOO.FR 4/07/2001. Introduction. 1 Domain Name Server. 2 Commandes DNS. 3 Hacking des serveurs DNS Détournement de serveur DNS (Third-Man Attack) PASCAL BONHEUR PASCAL BONHEUR@YAHOO.FR 4/07/2001 Introduction Ce document traite de la possibilité d exploiter le serveur DNS pour pirater certains sites

Plus en détail

Master d'informatique e-secure

Master d'informatique e-secure Master d'informatique e-secure Réseaux DNSSEC Bureau S3-354 Mailto:Jean.Saquet@unicaen.fr http://saquet.users.greyc.fr/m2 DNS : rappel du principe Base de données répartie et hiérarchique Contient les

Plus en détail

VI - DNS : RESOLUTION de NOMS. dans le modèle TCP/IP

VI - DNS : RESOLUTION de NOMS. dans le modèle TCP/IP SUPPORT de COURS Thierry DESPRATS VI - DNS : RESOLUTION de NOMS dans le modèle TCP/IP Sommaire Résolution de noms Principes de nommage (espace, arborescence, domaine) Modèle organisationnel du DNS Clients

Plus en détail

Master 1 ALMA Réseaux informatiques 2010-2011. Rapport DNS. François HUVE Peter MOUËZA

Master 1 ALMA Réseaux informatiques 2010-2011. Rapport DNS. François HUVE Peter MOUËZA Master 1 ALMA Réseaux informatiques 2010-2011 Rapport DNS François HUVE Peter MOUËZA Table des matières 1 Principe de fonctionnement......................................... 2 2 Ajout d une machine dans

Plus en détail

Installation Serveur DNS Bind9 Ubuntu 12.04 LTS

Installation Serveur DNS Bind9 Ubuntu 12.04 LTS 1 Installation Serveur DNS Bind9 Ubuntu 12.04 LTS BIND (Berkeley Internet Name Daemon ou Berkeley Internet Name Domain) est le serveur DNS le plus utilisé sur Internet, spécialement sur les systèmes de

Plus en détail

Étude du support de DNSsec côté serveur

Étude du support de DNSsec côté serveur Sous-Projet 2 Livrable 2.2 Étude du support de DNSsec côté serveur Partenaire responsable : AFNIC Auteurs : Bertrand Léonard (bertrand.leonard@nic.fr), Olivier Courtay (olivier.courtay@enst-bretagne.fr)

Plus en détail

Administration d un serveur DNS (Domain Name System) TP N o 1 Interconnexions de réseaux

Administration d un serveur DNS (Domain Name System) TP N o 1 Interconnexions de réseaux RICM 4 - Option Réseaux Administration d un serveur DNS (Domain Name System) TP N o 1 Interconnexions de réseaux Pascal Sicard 1 Introduction Nous allons nous intéresser dans ce TP à la configuration d

Plus en détail

Master d'informatique 1ère année Réseaux et protocoles

Master d'informatique 1ère année Réseaux et protocoles Master d'informatique 1ère année Réseaux et protocoles DNS Bureau S3-203 mailto://alexis.lechervy@unicaen.fr Domain Name System Le fonctionnement d'un réseau IP est basé sur l'adressage et le routage.

Plus en détail

DNS ( DOMAIN NAME SYSTEM)

DNS ( DOMAIN NAME SYSTEM) DNS ( DOMAIN NAME SYSTEM) Principe de la résolution de Noms Certaines applications nécessitent pour communiquer d utiliser les noms de Machines : Sony alors que d autres utiliseront des noms Internet ou

Plus en détail

Résolution de noms. Résolution de noms

Résolution de noms. Résolution de noms cb (C:\Documents and Settings\bcousin\Mes documents\enseignement\res (UE18)\12.DNS.fm- 25 janvier 2009 13:15) PLAN Introduction Noms des domaines de noms Principe de la résolution de noms La résolution

Plus en détail

Jean Saquet Université de Caen. Master 2 E-secure. Réseaux DNS. Bureau S3-354 Mailto:Jean.Saquet@unicaen.fr http://saquet.users.greyc.

Jean Saquet Université de Caen. Master 2 E-secure. Réseaux DNS. Bureau S3-354 Mailto:Jean.Saquet@unicaen.fr http://saquet.users.greyc. Master 2 E-secure Réseaux DNS Bureau S3-354 Mailto:Jean.Saquet@unicaen.fr http://saquet.users.greyc.fr/m2/rezo Domain Name System Rappel : structure de noms de domaine hiérarchique en arbre (ex : info.unicaen.fr.,

Plus en détail

Bind, le serveur de noms sous Linux

Bind, le serveur de noms sous Linux Bind, le serveur de noms sous Linux 1. Principes de fonctionnement d'un serveur de noms La résolution des noms d'hôtes sur les réseaux tcp/ip est fondée sur le principe d'une répartition de la base des

Plus en détail

Domain Name System Extensions Sécurité

Domain Name System Extensions Sécurité Domain Name System Extensions Sécurité 2 juin 2006 France Telecom R&D Daniel Migault, Bogdan Marinoiu mglt.biz@gmail.com, bogdan.marinoiu@polytechnique.org Introduction Extentions de Sécurité DNS Problématique

Plus en détail

Sur un ordinateur exécutant Windows 2000 Server Ayant une adresse IP statique

Sur un ordinateur exécutant Windows 2000 Server Ayant une adresse IP statique Le DNS DNS = Domain Name Service Sert à résoudre les noms d ordinateur en adresse IP. Contention de dénomination pour les domaines Windows 2000 (nommage des domaines W2K) Localisation des composants physiques

Plus en détail

La hiérarchie du système DNS

La hiérarchie du système DNS LA RÉSOLUTION DE NOMS 1. PRÉSENTATION DU SYSTÈME DNS 1.1 INTRODUCTION À LA RÉSOLUTION DE NOMS Pour pouvoir communiquer, chaque machine présente sur un réseau doit avoir un identifiant unique. Avec le protocole

Plus en détail

Domain Name Service (DNS)

Domain Name Service (DNS) Domain Name Service (DNS) FOSSOUO Xavier (AUF) Xavier.fossouo@auf.org PLAN Introduction Nommage avec /etc/hosts Principe du découpage en domaines Configuration de BIND Création d une zone Outils de débuggage

Plus en détail

Administration Système & Réseau. Domain Name System Historique & Concepts Fonctionnalités & Hiérarchie Requêtes & Base de donnée DNS

Administration Système & Réseau. Domain Name System Historique & Concepts Fonctionnalités & Hiérarchie Requêtes & Base de donnée DNS 1/25 Administration Système & Réseau Domain Name System Historique & Concepts Fonctionnalités & Hiérarchie Requêtes & Base de donnée DNS Dynamic Host Configuration Protocol L3 STRI 2005 Philippe Latu philippe.latu(at)linux-france.org

Plus en détail

Réseaux. DNS (Domaine Name System) Master Miage 1 Université de Nice - Sophia Antipolis. (second semestre 2008-2009)

Réseaux. DNS (Domaine Name System) Master Miage 1 Université de Nice - Sophia Antipolis. (second semestre 2008-2009) Réseaux DNS (Domaine Name System) Master Miage 1 Université de Nice - Sophia Antipolis (second semestre ) Jean-Pierre Lips (jean-pierre.lips@unice.fr) (à partir du cours de Jean-Marie Munier) Sources bibliographiques

Plus en détail

UE5A Administration Réseaux LP SIRI

UE5A Administration Réseaux LP SIRI UE5A Administration Réseaux LP SIRI José Dordoigne Architecte infrastructure v1.0 2012-2013 Objectif de la formation -Fournir les éléments clés pour : -Comprendre les principaux services réseaux déployés

Plus en détail

Nommage et adressage dans Internet

Nommage et adressage dans Internet 1 Nommage et adressage dans Internet Full Qualified Domain Name et URL FQDN : Full Qualified Domain Name Nom complet d'un hôte, sur l'internet, c'est-à-dire de la machine jusqu'au domaine, en passant par

Plus en détail

Tutoriel DNSSEC. Stéphane Bortzmeyer, AFNIC. Présenté par : JRES 2009 - Nantes, 4 décembre 2009. {Stephane.Bortzmeyer,Mohsen.Souissi}@afnic.

Tutoriel DNSSEC. Stéphane Bortzmeyer, AFNIC. Présenté par : JRES 2009 - Nantes, 4 décembre 2009. {Stephane.Bortzmeyer,Mohsen.Souissi}@afnic. Tutoriel DNSSEC Présenté par : Stéphane Bortzmeyer, AFNIC JRES 2009 - Nantes, 4 décembre 2009 {Stephane.Bortzmeyer,Mohsen.Souissi}@afnic.fr 1 Tutorial DNSSEC 22 juin 2009 Plan Rappels synthétiques sur

Plus en détail

-DNS. Constantin Yamkoudougou. 28 décembre 2005

-DNS. Constantin Yamkoudougou. 28 décembre 2005 Sécurité dans le système de résolution de noms -DNS Constantin Yamkoudougou 28 décembre 2005 Table des matières 1 Généralités dans les systèmes de résolution de noms 2 1.1 Petite anecdote de la résolution

Plus en détail

Domain Name Space. IUT1 dpt SRC L Isle d Abeau Jean-françois Berdjugin

Domain Name Space. IUT1 dpt SRC L Isle d Abeau Jean-françois Berdjugin Domain Name Space IUT1 dpt SRC L Isle d Abeau Jean-françois Berdjugin DNS Domain Name System permet : la résolution (directe) de nom d hôte (nom logique) en adresse(s) IP, la résolution (inverse) d adresse

Plus en détail

Master d'informatique 1ère année Réseaux et protocoles

Master d'informatique 1ère année Réseaux et protocoles Master d'informatique 1ère année Réseaux et protocoles DNS - DHCP Bureau S3-354 mailto:jean.saquet@info.unicaen.fr http://www.info.unicaen.fr/~jean/ue9 Applications : DNS et DHCP Ces deux services sont

Plus en détail

[inetdoc.linux] http://www.linux-france.org/prj/inetdoc. Administration Système & Réseau. Domain Name System. Dynamic Host Configuration Protocol

[inetdoc.linux] http://www.linux-france.org/prj/inetdoc. Administration Système & Réseau. Domain Name System. Dynamic Host Configuration Protocol [inetdoc.linux] http://www.linux-france.org/prj/inetdoc Administration Système & Réseau Domain Name System Historique & Concepts Fonctionnalités & Hiérarchie Requêtes & Base de donnée DNS Dynamic Host

Plus en détail

Administration de Parc Informatique TP03 : Résolution de noms

Administration de Parc Informatique TP03 : Résolution de noms Institut Galilée L2 Info S1 Année 2013 2014 Administration de Parc Informatique TP03 : Résolution de noms Le but de ce TP est d apprendre aux machines à se connaître par le nom plutôt que simplement par

Plus en détail

Réseau Réseau DHCPD DNS

Réseau Réseau DHCPD DNS Réseau DHCPD DNS 3 Réseaux : DNS L internet est constitué de réseaux (dizaines de milliers) Introduction Les réseaux sont constitués de sous-réseaux Les sous-réseaux sont constitués de machines, La technologie

Plus en détail

DNS / NTP / SNMP. Administration Système et Réseaux, Sécurité. Objectifs. Pourquoi DNS? DNS / NTP / SNMP DNS. Philippe Harrand NTP SNMP

DNS / NTP / SNMP. Administration Système et Réseaux, Sécurité. Objectifs. Pourquoi DNS? DNS / NTP / SNMP DNS. Philippe Harrand NTP SNMP DNS / NTP / SNMP Administration Système et Réseaux, Sécurité DNS / NTP / SNMP Philippe Harrand 1 Département Informatique Pôle Sciences et Technologies 2 Direction Territoriale Sud Ouest France Télécom

Plus en détail

Administration de Parc Informatique TP04 : Résolution de noms

Administration de Parc Informatique TP04 : Résolution de noms Institut Galilée L2 Info S1 Année 2012 2013 Administration de Parc Informatique TP04 : Résolution de noms Le but de ce TP est d apprendre aux machines à se connaître par le nom plutôt que simplement par

Plus en détail

DNS. Domain Name System

DNS. Domain Name System DNS Domain Name System Dans ce dossier, nous allons expliquer le rôle et le fonctionnement d un système DNS et ensuite, nous allons montrer la mise en place d un serveur DNS secondaire. S.VAUGEOIS 24/11/2014

Plus en détail

Serveurs de noms Protocoles HTTP et FTP

Serveurs de noms Protocoles HTTP et FTP Nils Schaefer Théorie des réseaux (EC3a) Serveurs de noms Protocoles HTTP et FTP Théorie des réseaux (EC3a) Séance 7 Pourquoi DNS? Internet est une structure hiérarchique et arborescente de réseaux et

Plus en détail

LOSLIER Mathieu. Filière Informatique et Réseau 1 ère année. TP DNS. Responsable : LOHIER Stephane. Chargé de TD : QUIDELLEUR Aurélie

LOSLIER Mathieu. Filière Informatique et Réseau 1 ère année. TP DNS. Responsable : LOHIER Stephane. Chargé de TD : QUIDELLEUR Aurélie LOSLIER Mathieu Filière Informatique et Réseau 1 ère année. TP DNS Responsable : LOHIER Stephane Chargé de TD : QUIDELLEUR Aurélie Le 24 Novembre 2010 Table des matières 1. Intoduction... 4 2. Préliminaires...

Plus en détail

Domaine Name System. Auteur: Congduc Pham, Université Lyon 1. Figure 1: Schéma des salles TP11 et TD4

Domaine Name System. Auteur: Congduc Pham, Université Lyon 1. Figure 1: Schéma des salles TP11 et TD4 TP de Réseaux IP pour DESS Domaine Name System Auteur: Congduc Pham, Université Lyon 1 1 Schéma de départ Figure 1: Schéma des salles TP11 et TD4 Le schéma de départ pour aujourd hui est celui de la figure

Plus en détail

DNSSEC ET LA DISTRIBUTION SECURISEE DE CLEF

DNSSEC ET LA DISTRIBUTION SECURISEE DE CLEF Institut de la Francophonie pour l'informatique Mémoire de fin d études du : DIPLOME D ETUDES PROFESSIONNELLES APPROFONDIES par TA Quoc An DNSSEC ET LA DISTRIBUTION SECURISEE DE CLEF Novembre, 2004 Remerciement

Plus en détail

TP de réseaux : Domain Name Server.

TP de réseaux : Domain Name Server. ADJIDO Idjiwa, ARIB El Mehdi, CLOIREC Olivier Groupe 1 TP de réseaux : Domain Name Server. Introduction... 2 Présentation du Système de nom de domaines... 2 Le DNS... 2 L accès aux machines... 2 Le fichier

Plus en détail

Le Service de Noms de l'internet: DNS

Le Service de Noms de l'internet: DNS Thème n 4 : Les Applicatifs Réseaux Le Service de Noms de l'internet: DNS (Domain Name System) UV B: Complément Réseaux de Transport et Applications Année 95/96 Laurence Duchien CNAM-Cedric, 292, rue st

Plus en détail

ETUDES DE SUPPORTS & PROTOCOLES DE COMMUNICATION DNS

ETUDES DE SUPPORTS & PROTOCOLES DE COMMUNICATION DNS Page 1 / 8 A) FQDN, URL & URI Un FQDN est le significatif d'un hôte sur l'internet (un serveur la plupart du temps) et un URI ou URL définit l'accès à un document sur un serveur. A.1 FQDN (Full Qualified

Plus en détail

Fonctionnement et Administration d un serveur de noms

Fonctionnement et Administration d un serveur de noms Fonctionnement et Administration d un serveur de noms McInfo4 - Réseaux Département d informatique IUT Bordeaux 1 Janvier 07 Rôle d un serveur de noms : Domain Name Server (Paul Mokapetris, 1983) Rôle

Plus en détail

Réseaux IUP2 / 2005 DNS Système de Noms de Domaine

Réseaux IUP2 / 2005 DNS Système de Noms de Domaine Réseaux IUP2 / 2005 DNS Système de Noms de Domaine 1 Noms symboliques Nommer les machines par un nom plutôt que par son adresse IP Chaîne de caractères Plus "naturel" Espace de noms hiérarchique plutôt

Plus en détail

DNS Session 1: Principes de base

DNS Session 1: Principes de base DNS Session 1: Principes de base Les ordinateurs utilisent des adresses IP. Pourquoi avons nous besoin des noms? Faciles aux êtres humains de mémoriser Les ordinateurs peuvent être déplacés entres les

Plus en détail

Cours admin 200x serveur : DNS et Netbios

Cours admin 200x serveur : DNS et Netbios LE SERVICE DNS Voici l'adresse d'un site très complet sur le sujet (et d'autres): http://www.frameip.com/dns 1- Introduction : Nom Netbios et DNS Résolution de Noms et Résolution inverse Chaque composant

Plus en détail

L3 ASR Projet 1: DNS. Rapport de Projet

L3 ASR Projet 1: DNS. Rapport de Projet L3 ASR Projet 1: DNS Rapport de Projet Table des matières I. Maquette de travail...1 II. Configuration des machines...2 III. Type de zone...3 IV. Délégation de zone...3 V. Suffixes DNS...4 VI. Mise en

Plus en détail

DNS: généralités. Annuaire téléphonique: DNS:

DNS: généralités. Annuaire téléphonique: DNS: Cours 4: DNS DNS: généralités Annuaire téléphonique: utilisé par les centraux: No de tel. (01 69 47 70 00) mémorisé par les humains : nom (P. Petit) lien entre les deux: annuaire téléphonique DNS: communication

Plus en détail

Module 13 : Mise en œuvre des serveurs Microsoft DNS

Module 13 : Mise en œuvre des serveurs Microsoft DNS Module 13 : Mise en œuvre des serveurs Microsoft DNS 0RGXOH#46#=#0LVH#HQ#±XYUH#GHV#VHUYHXUV#0LFURVRIW#'16# # 5

Plus en détail

Comprendre le rôle des certains protocoles (DNS, SMTP, HTTP, TELNET) de la couche application

Comprendre le rôle des certains protocoles (DNS, SMTP, HTTP, TELNET) de la couche application Couche Applicative Objectifs Introduction Exemples de protocoles de la couche Application DNS, SMTP, HTTP Objectifs Objectif de ce chapitre Comprendre le rôle des certains protocoles (DNS, SMTP, HTTP,

Plus en détail

DOMAIN NAME SYSTEM. CAILLET Mélanie. Tutoriel sur le DNS. Session 2012-2014 Option SISR

DOMAIN NAME SYSTEM. CAILLET Mélanie. Tutoriel sur le DNS. Session 2012-2014 Option SISR DOMAIN NAME SYSTEM Tutoriel sur le DNS CAILLET Mélanie Session 2012-2014 Option SISR Table des matières DOMAIN NAME SYSTEM 2013 I. DNS Statique sous Linux (Ubuntu 12.04 LTS)... 3 A. DNS Principal... 3

Plus en détail

TP DNS Utilisation de BIND sous LINUX

TP DNS Utilisation de BIND sous LINUX NOMS : GIRARD Fabien, NARO Guillaume PARTIE 1 : INSTALLATION D'UN SERVEUR TP DNS Utilisation de BIND sous LINUX Pour récupérer les adresses IP, on lance un terminal sur chaque machine et on tape la commande

Plus en détail

M2102 - Architecture des réseaux

M2102 - Architecture des réseaux M2102 - Architecture des réseaux 8 - Service de Nom de Domaine (DNS) Cyril Pain-Barre IUT Aix-Marseille - Dept INFO Aix version du 10/3/2014 Cyril Pain-Barre 8 - DNS 1 / 16 Le DNS (Domain Name Service)

Plus en détail

BIND : installer un serveur DNS

BIND : installer un serveur DNS BIND : installer un serveur DNS Cet article a pour but de vous présenter comment installer et configurer un serveur DNS en utilisant l'application BIND. Je supposerai que vous disposez d'un réseau local

Plus en détail

BONY Simon IR1. Services Réseaux TP1. BONY Simon

BONY Simon IR1. Services Réseaux TP1. BONY Simon Services Réseaux TP1 BONY Simon 09 novembre 2011 1 Table des matières Introduction... 3 A Préliminaire... 4 B Configuration du client... 5 B.1 /etc/hosts et /etc/resolv.conf... 5 B.2 Tests de configuration...

Plus en détail

Serveur DNS. Julien Danjou jdanjou@linuxenrezo.org

Serveur DNS. Julien Danjou jdanjou@linuxenrezo.org Serveur DNS Julien Danjou jdanjou@linuxenrezo.org Pour convertir les noms d ordinateurs en adresses IP, la méthode la plus simple consiste à tenir à jour un fichier hosts contenant les adresses IP suivies

Plus en détail

1 Résolution de nom... 2 1.1 Introduction à la résolution de noms... 2. 1.2 Le système DNS... 2. 1.3 Les types de requêtes DNS...

1 Résolution de nom... 2 1.1 Introduction à la résolution de noms... 2. 1.2 Le système DNS... 2. 1.3 Les types de requêtes DNS... Table des matières 1 Résolution de nom... 2 1.1 Introduction à la résolution de noms... 2 1.2 Le système DNS... 2 1.3 Les types de requêtes DNS... 4 1.4 Configuration des clients DNS... 8 1.4.1 Résolution

Plus en détail

INTERNET & RESEAUX. Dino LOPEZ PACHECO lopezpac@i3s.unice.fr

INTERNET & RESEAUX. Dino LOPEZ PACHECO lopezpac@i3s.unice.fr INTERNET & RESEAUX Dino LOPEZ PACHECO lopezpac@i3s.unice.fr Le modèle OSI Le modèle OSI (cont) Résolution et obtention d'adresses Démarrage et auto-configuration Ex. DHCP Recherche d'une adresse IP à partir

Plus en détail

Contrôle Réseau Internet et services Documents papier et calculatrice autorisés 2h00

Contrôle Réseau Internet et services Documents papier et calculatrice autorisés 2h00 Contrôle Réseau Internet et services Documents papier et calculatrice autorisés 2h00 NOM : Nombre total de points : 56,5 points. Note finale = nb points acquis*20/ Les parties sont indépendantes. Dans

Plus en détail

Présentation du système DNS

Présentation du système DNS Présentation du système DNS Résolution de noms Configuration des clients DNS Configuration du serveur DNS Configuration des zones DNS La délégation d de zones DNS Les outils d'administration Résolution

Plus en détail

Internet Le service de noms - DNS

Internet Le service de noms - DNS Internet Le service de noms - DNS P. Bakowski bako@ieee.org Domaines Internet DNS - Domain Name System hostname : nom symbolique adresse IP : un nombre/valeur logique hostname : www.polytech2go.fr IP address

Plus en détail

INGI2347 - Securité. Rapport n 2. par François Beuvens Grégoire de Hemptinne. Groupe 6

INGI2347 - Securité. Rapport n 2. par François Beuvens Grégoire de Hemptinne. Groupe 6 INGI2347 - Securité Projet de sécurité Rapport n 2 par François Beuvens Grégoire de Hemptinne Groupe 6 Table des matières 1 Implémentation 3 1.1 Avant-propos..................................... 3 1.1.1

Plus en détail

MMI M1204 TCP/IP RÉSOLUTION DES NOMS

MMI M1204 TCP/IP RÉSOLUTION DES NOMS MMI M1204 TCP/IP RÉSOLUTION DES NOMS Problématique Sur un réseau comme Internet une machine (ou un service) peut être identifiée par : Un Nom d'hôte Une adresse logique (IP) En général, les utilisateurs

Plus en détail

- FICHE DE PROCEDURE - Configurer un serveur DNS avec Bind9 sur Debian

- FICHE DE PROCEDURE - Configurer un serveur DNS avec Bind9 sur Debian - FICHE DE PROCEDURE - Configurer un serveur DNS avec Bind9 sur Debian SISR3 N 1 Pré requis : Debian installé. Avoir une IP fixe pour le serveur DNS. Disposer d une connexion à l Internet. Création d un

Plus en détail

Service de noms des domaines (Domain Name System) Cours administration des services réseaux M.BOUABID, 09-2014

Service de noms des domaines (Domain Name System) Cours administration des services réseaux M.BOUABID, 09-2014 Service de noms des domaines (Domain Name System) Cours administration des services réseaux M.BOUABID, 09-2014 Problématique Pour communiquer avec une machine, il faut connaître son adresse IP. comment

Plus en détail

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS Les dossiers thématiques de l AFNIC DNSSEC les extensions de sécurité du DNS 1 - Organisation et fonctionnement du DNS 2 - Les attaques par empoisonnement de cache 3 - Qu est-ce que DNSSEC? 4 - Ce que

Plus en détail

Le système de noms de domaine internet DNS (Domain Name System)

Le système de noms de domaine internet DNS (Domain Name System) Chapitre - 7 Le système de noms de domaine internet DNS (Domain Name System) Des connaissances sur TCP/IP sont requises, ainsi que la pratique d'unix et GNU/Linux. Introduction : Historique : Dès les premiers

Plus en détail

Il est recommandé de fermer les serveurs DNS récursifs ouverts

Il est recommandé de fermer les serveurs DNS récursifs ouverts Il est recommandé de fermer les serveurs DNS récursifs ouverts Stéphane Bortzmeyer Première rédaction de cet article le 23 mars 2006. Dernière mise à jour le 26 janvier 2009

Plus en détail

Complémentarité de DNSsec et d IPsec

Complémentarité de DNSsec et d IPsec Complémentarité de DNSsec et d IPsec Gilles GUETTE IRISA/INRIA, Campus de beaulieu, 35042 Rennes Cedex, France gilles.guette@irisa.fr Olivier COURTAY ENST-Bretagne, 2 rue de la Châtaigneraie, 35512 Cesson

Plus en détail

Résolution de nom avec Bind

Résolution de nom avec Bind Stéphane Gill Stephane.Gill@CollegeAhuntsic.qc.ca Table des matières Introduction 3 Principe de fonctionnement 3 Type de serveur DNS 4 Serveur de noms primaire 4 Serveur de nom secondaire 4 Serveur cache

Plus en détail

M2102 Architecture des réseaux. TP n 4 Configuration de serveur DNS

M2102 Architecture des réseaux. TP n 4 Configuration de serveur DNS M2102 Architecture des réseaux TP n 4 Configuration de serveur DNS Objectif du TP : Dans ce TP vous allez apprendre à configurer des noms d'hôtes sur une machine Linux, puis à configurer un serveur DNS

Plus en détail

DNS. Généralités Historique Arborescence Notion de registrar Architecture Principaux RR 2005-11 DNS - 1

DNS. Généralités Historique Arborescence Notion de registrar Architecture Principaux RR 2005-11 DNS - 1 DNS Généralités Historique Arborescence Notion de registrar Architecture Principaux RR DNS - 1 Licence: ce document est distribué sous la licence Gnu FDL version originale anglaise: http://www.gnu.org/copyleft/fdl.html

Plus en détail

Mise en place Active Directory / DHCP / DNS

Mise en place Active Directory / DHCP / DNS Mise en place Active Directory / DHCP / DNS Guillaume Genteuil Période : 2014 Contexte : L entreprise Diamond Info localisé en Martinique possède une cinquantaine de salariés. Basé sur une infrastructure

Plus en détail

Complémentarité de DNSsec et d IPsec

Complémentarité de DNSsec et d IPsec Complémentarité de DNSsec et d IPsec Gilles GUETTE IRISA/INRIA, Campus de beaulieu, 35042 Rennes Cedex, France gilles.guette@irisa.fr Date : 19 Novembre 2003. Olivier COURTAY ENST-Bretagne, 2 rue de la

Plus en détail

DNS. Sébastien JEAN. Objectifs : 1. Présenter les bases du système de gestion de noms

DNS. Sébastien JEAN. Objectifs : 1. Présenter les bases du système de gestion de noms DNS Objectifs : 1. Présenter les bases du système de gestion de noms Sébastien JEAN Introduction Au niveau réseau les machines sont désignées uniquement par des adresses IP Au niveau des applications,

Plus en détail