GESTION DU RENOUVELLEMENT DES CLEFS POUR DNSSEC

Dimension: px
Commencer à balayer dès la page:

Download "GESTION DU RENOUVELLEMENT DES CLEFS POUR DNSSEC"

Transcription

1 Ecole Nationale Supérieure des Télécommnunications de Bretagne RAPPORT DU STAGE DE FIN D ETUDE GESTION DU RENOUVELLEMENT DES CLEFS POUR DNSSEC Mai Septembre 2003 Réalisé par : LEI Zhi Yu Encadrants : Olivier COURTAY Bernard COUSIN Correspondant école : Francis DUPONT

2 Remerciements Remerciements à tous mes encadrants : Olivier Courtay, Bernard Cousin et Francis Dupont, pour leur accueil chaleureux et leur conseils. Merci au M. Sylvain Gombault et Gille Guette pour leus conseils. Adresses LEI Zhi Yu ENST Bretagne Option RSIFI 2, rue de la Châtaigneraie Cesson Sévigné Cedex Tel : Olivier COURTAY Equipe Armor IRISA / INRIA Rennes Campus Universitaire de Beaulieu Avenue du Général Leclerc RENNES Cedex France Tel : Bernard COUSIN Equipe Armor IRISA/INRIA Campus Universitaire de Beaulieu RENNES Cedex Tel : Fax : Francis DUPONT ENST Bretagne Département RSM 2, rue de la Châtaigneraie Cesson Sévigné Cedex Tel :

3 Résumé Le DNS (Domaine Name System), est une partie indispensable de l Internet d aujourd hui, mais le système DNS original ne propose aucune protection contre des attaques variées, sa sécurisation est-elle devenu une nécessité. Depuis 1999, une extension sécurisée du DNS, DNSSEC, a été exploitée. DNSSEC garantit l intégrité des requêtes et des données et l authentification de la source en utilisant une système de cryptographie à clef publique et de signature numérique. De nouveaux enregistrements (RR KEY, SIG, NXT et DS) sont introduits au service DNS. Des enregistrements d'une zone DNS sécurisée sont signés, par des clefs privées associée à la zone. La durée de validité d'une clef est limitée et les clefs doivent être renouvelées périodiquement, mais ce genre de gestion s'avère coûteuse en temps pour le personnel d'administration. Ce stage est proposé par l IRISA (Institut de Recherche en Informatique et Système Aléatoire), comme une partie du projet IDsA (Infrastructure DNS Sécurisé et Applications). Le but de ce stage est de développer les outils nécessaires à une gestion automatisée de ces clefs de DNSSEC, afin d améliorer l efficacité du traitement des zones et des clefs changées, et de faciliter le travail de maintenance. La durée de stage est du 22 mai au 30 septembre. Ce stage se déroule au site rennais de l IRISA et de l ENST Bretagne. Une solution pour l automatisation de renouvellement des clefs dans DNSSEC est proposée au cour de ce stage, après avoir etudié le mécanisme courant du renouvellement des clefs. Cette solution consiste en un modèle conceptuel décrivant un algorithme nommé KRO, qui efficacement gère le processus de Key Rollover, et un logiciel, implémenté en langage C sous FreeBSD, correspondant au modèle KRO. Mots Clefs : DNSSEC, Key Rollover, Gestion automatisée, KRO - 3 -

4 Abstract Nowadays, the DNS (Domain Name System) is an essential part of the Internet, but originally DNS system did not propose any protection against various attacks and threats, its security had become a necessity. Since 1999, the security extension of the DNS, DNSSEC, was exploited. DNSSEC guarantees the data integrity in DNS messages (requests or response) and the authentication for the source of a message by using a system combined public key infrastructure with digital signatures. New resource records (RR KEY, SIG, NXT and DS) are introduced to service DNS. The resource records of a secured DNS zone are signed by private parts of key-pairs associated with that zone. But the period of validity of a key is limited and the keys must be renewed periodically (Rollover), this kind of management proved to be time-consuming for the personnel of administration. This intern project is proposed by IRISA (Institut de Recherche en Informatique et Système Aléatoire), as a part of IDsA project (Infrastructure DNS Sécurisé et Applications). The goal of this intern is to develop a tool needed for an automated management of these DNSSEC keys so as to improve the performance in processing the changed zones and keys, and to make the work of maintenance easier. The duration of the intern is from May 22 to September 30. This intern proceeded at Rennes, in the location of IRISA and ENST Bretagne. After having studied current mechanism of the keys rollover, a solution is proposed at during this intern, for an automated rollover of the keys in DNSSEC. This solution consists a conceptual model named KRO, which describes an algorithm handles the process of Key Rollover effectively, and a software corresponding to the process of rollover described by the model KRO, implemented in language C under FreeBSD. Keywords: DNSSEC, Key Rollover, Automated Management, KRO - 4 -

5 Sommaire Acronyme...6 I. Introduction...7 II. Contexte Le DNS Historique Architecture du système DNS Contenu d une zone Processus de résolution DNSSEC Extension sécurisée Clef et signature Chaîne de confiance (Chain of Trust)...20 III. DNSSEC Key Rollover Problématique KRO Un algorithme de Key Rollover Justification des choix Avantages et inconvénients Implémentation Découpage fonctionnel Flux d exécution Bibliothèques utilisées Interface utilisateur Résultat...36 IV. Déroulement du projet...40 V. Conclusion et perspectives...41 Index des matériels graphiques...42 Index des extraits du fichier...42 Références...43 Annexe A : Informations sur KEY, SIG et DS...44 Annexe B : Extraits des fichiers de configuration...46 Annexe C : Extraits du code source

6 Acronyme BIND Berkeley Internet Name Domain. Un des programmes DNS sous UNIX et Windows. RFC Request For Comments. DNS Domain Name System, système de noms de domaine DNSSEC DNS security extension PKI Public Key Infrastructure DoS Denial of Service TTL Time To Live. Durée de vie, la durée de validité des données. RR Resource Record. Enregistrement de données figurant pour un nom de domaine dans un serveur de noms. Les enregistrements de données sont de plusieurs types, voici la liste (non-exhaustive) des types d'enregistrements. A Enregistrement adresse AAAA Enregistrement adresse IPv6 CNAME Enregistrement alias NS Enregistrement serveur de noms SOA Enregistrement Start Of Authority TXT Enregistrement texte HINFO Enregistrement d information sur le serveur MX Enregistrement pour l échange du mail Des enregistrements spécifiés par DNSSEC, l extension sécurisé du DNS NXT Enregistrement Next, utilisé pour vérifier la non-existance d une ressource dans une zone KEY Enregistrement clef, la partie publique d une paire de clefs PKI SIG Enregistrement signature, contenant la signature numérique des enregistrements DS Enregistrement du type Delegation Signer RRset Un ensemble de RRs avec même nom, classe et type, par exemple : tous les adresses de en IPv

7 I. Introduction Le DNS (Domaine Name System), qui permet à une machine de communiquer sans connaître au préalable l adresse IP de ses correspondants, est une partie indispensable de l Internet d aujourd hui. Ce service est chargé, entre autres, de la conversion entre un nom de machine et son adresse IP et inversement, mais le système DNS original ne propose aucune protection contre des attaques variées, ni de moyen d authentification ou de contrôle l intégrité des informations obtenues. Une extension récente du DNS, DNSSEC (depuis mai 1999, RFC2535), vient d'être proposée afin d assurer l'authentification et l'intégrité des requêtes et des données DNS. Cette extension utilise une système de cryptographie à clef publique et introduit de nouveaux enregistrements (RR KEY, SIG, NXT et DS) au service DNS. Les enregistrements d'une zone DNS sécurisée sont signés par des clefs privées associée à la zone, afin de réaliser la sécurisation des données, qui est l'objectif principal de DNSSEC. Ainsi, des proposition sont données sur la sécurisation de transaction DNS. La gestion des clefs de zone s'appuie sur la structure hiérarchique des zones du DNS. Pour assurer un certain niveau de sécurité, la durée de validité d'une clef est limitée. Face à tous ces besoins, les clefs doivent donc être renouvelées périodiquement, mais ce genre de gestion peut s'avérer coûteuse en temps pour le personnel d'administration. Le but de ce stage est de développer les outils nécessaires à une gestion automatisée de ces clefs de DNSSEC, afin d améliorer l efficacité du traitement des zones et des clefs qui sont changées, et de faciliter le travail de maintenance du personnel d'administration à la fois. Ce stage est proposé par l IRISA (Institut de Recherche en Informatique et Système Aléatoire), comme une partie du projet IDsA (Infrastructure DNS Sécurisé et Applications). Dans les chapitres suivants, nous expliquerons brièvement d abord, l origine et fonctionnement du système de noms de domaine, DNS, la problématique qui provoque la création de l extension sécurisé de DNS, le DNSSEC, et les comportements principaux de ce dernier. Ensuite nous allons présentons notre solution pour le renouvellement des clefs dans DNSSEC, après avoir expliqué le mécanisme courant du renouvellement. Notre solution consiste d abord en un modèle conceptuel décrivant le processus de Key Rollover (renouvellement des clefs), nommé KRO, et des codes implémentés correspondant à notre modèle, que nous détaillerons. Nous presentons des résultats que nous avons obtenus d après notre solution, ainsi qu une conclusion et des perspectives future

8 II. Contexte L'accès aux services sur Internet se repose sur l'utilisation massive de l'infrastructure DNS. Aujourd'hui, son utilisation est tellement naturelle qu'elle est devenu inévitable. Aussi, sa sécurisation est-elle devenu une nécessité, vu des nombreuses attaques sur des sites célèbres commerciaux ou même des sites gouvernementaux. Donc, depuis des années récentes, une telle infrastructure sécurisée, DNSSEC, a été exploitée pour la sécurisation du service DNS. Dans la partie suivante, nous allons parcourir le principe du service DNS et son extension sécurisé, DNSSEC. 1. Le DNS 1.1 Historique Au début, l'internet (ou anciennement ARPAnet) était formé simplement de quelques machines. Elles avaient chacune une adresse que l'on retenait facilement vu leur faible nombre. Un fichier hosts.txt comprenait les noms des différentes machines avec leur(s) adresse(s). Les manipulations sur ce fichier sont peu à peu devenues trop lourdes avec l augmentation du nombre de machines connectée au réseau, car l'administrateur désirant nommer une machine devaient envoyer un courrier électronique au responsable de la maintenance du fichier, ce dernier effectuait la mise à jour, et publiait une nouvelle version du fichier. Il n'était pas souvent à jour, et les modifications étaient longues à se propager. Un nouveau système a donc été créé, puis mis en place pour remplacer l'ancien. Paul Mockapetris a conçu et spécifié le DOMAIN NAME SYSTEM, ou DNS, en éditant les RFC882 et RFC883, plus tard mises à jour par RFC1034 et RFC1035 [RFC03]. Ce sont les spécifications officielles du système DNS et ce système permet de gérer des milliers de machines, ayant des noms descriptifs. La base de données du DNS est mise à jour de façon distribuée, et qui permet à certaines machines de contrôler certains segments de la base de données, tandis que toute la base de données est accessible par des clients par un mécanisme client-serveur. Un système de réplication assure une fiabilité raisonnable, tandis que des caches augmentent la performance du système. D'autres protocoles existent pour associer des informations à des noms de machines, par exemple NIS ou yellow pages, un système développé par SUN, qui peut être configuré de manière à utiliser aussi le DNS pour la recherche de noms de machines. De même, certains clients peuvent utiliser plusieurs systèmes de recherche, la configuration est spécifique au système. Mais notre considération est plutôt concentrée sur le DNS

9 1.2 Architecture du système DNS ENST Bretagne Campus Rennes L architecture de la base de données DNS est un arbre inversé. La racine se trouve au sommet, et porte le nom vide mais s écrit. (ou racine). Chaque nœud de l'arbre porte une étiquette qui l'identifie par rapport à son parent. L'utilisation de majuscules ou de minuscules est indifférente dans l'écriture des noms d étiquettes. Seuls les lettres, les chiffres, et le symbole "-" sont autorisés. Le terme "nom de domaine" ici représente donc indifféremment les nœuds de l'arbre (domaines, sous-domaines) ou les feuilles (terminales). com edu fr cn irisa enst-bretagne Zone fr Zone enst-bretagne.fr Domaine fr titan rsm A xx.xx AAAA 2001:... [Fig.1 Arbre des zones] Dans l exemples ci-dessus, nous avons un domaine fr, que l'on peut aussi écrire fr. pour bien montrer qu'il est en haut de l'arbre. Ce nœud de l'arbre à un certain nombre de fils, comme irisa.fr ou enst-bretagne.fr dans la figure et bien sûr d autres fils comme tf1.fr ou sncf.fr. Un domaine est la partie de l'arbre présente sous un nom donné. Par exemple, le domaine fr contient le nœud fr ainsi que tous les nœuds dont le nom de domaine se termine par fr, c'est à dire tous des nœuds sous le nœud fr. Chaque nœud peut aussi contenir un certain nombre d'informations, comme une adresse IP, un type de machine, le nom de la machine en charge du courrier pour ce domaine, etc., c est sont des enregistrements des données DNS. Ces informations sont représentées par un ensemble d'enregistrements associés au nœud de l'arbre (A, HINFO, MX, etc.). Les programmes utilisant le DNS peuvent obtenir les enregistrements d'un certain type pour un nom de domaine donné. Dans l illustration au dessus, des enregistrements des données apparaissent dans le cadre sous le label du nœud rsm, entre autres il y a une adresse IP en IPv4 et aussi une autre en IPv6. Nous allons voir - 9 -

10 dans la partie suivante pour les détails des enregistrements. ENST Bretagne Campus Rennes En utilisant la structure d'arbre, il est possible de définir des domaines de responsabilité dans le nommage. Chaque fléche reliant un nœud à un nœud inférieur peut convoyer une information précisant qui est responsable du niveau inférieur. En des termes plus informatique, le domaine à l'origine de la fléche, le père, contient des informations précisant quels sont les serveurs possédant des informations sur les fils. Délégation est la notion utilisée à cet effet dans le système DNS. À chaque niveau cela peut se répéter, d'ou la création d'une répartition des responsabilités de nommage et de fonctionnement mais elle peut également indiquer qu'il n'y a pas de délégation de responsabilité. Une zone est la partie d'un domaine parcourue sans franchir de fléche, délégant la responsabilité. Ou autrement dit, une zone est la partie de l'arbre gérée par le même serveur (mais le même serveur peut gérer plusieurs zones). Dans le schéma, nous pouvons voir la zone fr et la zone enst-bretagne.fr, ainsi que la délégation entre ces deux zones, qui signifie que la zone enst-bretagne.fr est la zone fille de la zone fr. Le nœud rsm est le fils du nœud enst-bretagne.fr, donc le nom complet du nœud rsm, qui est en fait l un des serveurs de notre école, est rsm.enst-bretage.fr, ou rsm.enst-bretagne.fr. avec le point terminal. Les données de chaque zone sont dupliquées sur plusieurs serveurs. Cette duplication permet d'améliorer la fiabilité du service et de répartir la charge entre les différents serveurs. Aussi, chaque enregistrement contient une durée de validité des informations. Une fois qu'une machine cliente a obtenu une information, l'enregistrement est valide pour le temps donné (TTL). Après cette durée, il faut à nouveau demander cette information. Pendant cette durée, l'information peut être stockée dans un cache. La présence de ce mécanisme de cache dans tous les serveurs de noms ainsi que dans un certain nombre de clients (résolveur) permet de limiter le nombre de requêtes faites, au prix d'une certaine latence dans la mise à jour d'informations quand un changement est effectué. 1.3 Contenu d une zone Nous avons vu que chaque nœud peut aussi contenir un certain nombre d'informations, comme une adresse IP, un type de machine, le nom de la machine en charge du courrier pour ce domaine, etc., c est sont des enregistrements. Ces informations sont représentées par un ensemble d'enregistrements décrits dans des fichiers de configuration de la zone correspondante. Dans ce rapport, des exemples sont tous faites sous FreeBSD 4.8 release en utilisant BIND (version 9.3 Snapshot). Après avoir vu la configuration d une zone, dans des serveurs de nom, c est le fichier named.conf qui contient la configuration du serveur et en particulier la liste des zones sur lesquelles le serveur

11 est autoritaire (primaire ou secondaire). La syntaxe complète de ce fichier dépend de la version de BIND. La documentation et les dernières informations de la version actuelle sont disponibles sur l Internet et il est aussi possible de l obtenir par la commande man named.conf. Toutes les zones sont énumérées dans le fichier de configuration du serveur de noms en précisant si la zone est primaire, secondaire, ou cache. La syntaxe générale est la suivante : <type de la zone><nom de la zone>[source]<fichier> Par exemple : zone "lei.enst.idsa.prd.fr" { type master; file "master/lei.enst.idsa.prd.fr.signed"; ; zone "names.lei.enst.idsa.prd.fr" { type slave; masters { ;; file "slave/names.lei.enst.idsa.prd.fr"; ; [Extrait du fichier /etc/namedb/named.conf, section des zones] Outre la liste des zones, le fichier named.conf contient aussi des options de configuration du serveur, par exemple, les noms de fichiers peuvent être absolus (commençant par un /), ou relatifs, l option directory peut être utilisée pour changer le répertoire courant du programme. Par exemple : options { directory "/etc/namedb"; listen-on-v6 { any; ;... ; [Extrait du fichier /etc/namedb/named.conf, section des options] Les champs sont séparés par des espaces, les tabulations sont plus ou moins bien acceptées suivant les versions. Les lignes vides sont acceptées, des commentaires peuvent figurer par ligne entière commençant par un point-virgule ;. Nous avons vu que dans named.conf, pour chaque zone gérée par ce serveur, un fichier de configuration est spécifié, dans l extrait précédant, la ligne file "master/lei.enst.idsa.prd.fr.signed"; et file "slave/names.lei.enst.idsa.prd.fr"; sont des noms de fichier correspondent à la zone

12 "lei.enst.idsa.prd.fr" et "names.lei.enst.idsa.prd.fr". ENST Bretagne Campus Rennes Chaque fichier de configuration de la zone contient une liste de differents enregistrements liées à la zone, ce sont des Resource Records(RR). Dans le système DNS original, des RR de type adresse IPv4(A), adresse IPv6 (AAAA), alias (CNAME), serveur de noms (NS) et start of authority (SOA) sont définis entre autres. Géneralement un RR a une représentation corresponde à le modèle suivant : Name TTL Class Type Rdata Par exemple: names.lei.enst.idsa.prd.fr 600 IN A xxx.xxx Pour le RR SOA, le format est plus compliqué comme le modèle extrait ci-essous : names.lei.enst.idsa.prd.fr. 60 IN SOA ps2.ipv6.rennes.enst-bretagne.fr.enst.idsa.prd.fr. zhiyu\.lei.enst-bretagne.fr.enst.idsa.prd.fr. ( ; serial 60 ; refresh (60 seconds) 3600 ; retry (1 hour) ; expire (1 week) ; minimum (1 day) ) [Extrait du fichier de zone, section RR SOA] Dans l extrait on peut voir un numéro de série et les périodes de différentes opérations de la zone. Mais ici nous ne spécifions pas plus de détails de la configuration d un fichier de zone, pour des enseignements détaillés et complets, nous vous conseillons de voir [AL01] et [OK02]. Il faut noter que sur la réalisation du DNSSEC (nous allons voir en détails dans la partie II.2 du rapport), dans la version 9.2 ou plus anciennes du BIND, la méthode proposé par RFC2535[R2535] est utilisée donc des RR du type KEY, SIG NXT sont implémentés et dépuis BIND 9.3(snapshot) l approche DS est adoptée

13 1.4 Processus de résolution ENST Bretagne Campus Rennes Le DNS est utilisé par la plupart des services liés à l'internet. Chaque fois que l'un de ces services fait référence à une machine par son nom, la base de données est interrogée (si l'enregistrement recherché n'est pas dans le cache du client). Sur des système UNIX, l'interrogation de la base de données est généralement faite par la librairie C dans la routine gethostbyname(). La librairie en question s'appelle libresolv.a et ses routines sont documentées dans le man resolver(3). Cette routine est utilisée par: Telnet (connexion à d'autres machines) FTP (transfert de fichiers) sendmail (MTA) Browsers WWW (Mozilla, NetScape...) etc... Le but de la librairie est de mettre en forme la requête cliente, de l'envoyer à un (ou plusieurs) serveur(s), et de collecter la réponse. Les clients peuvent être des programmes utilisant le service de noms dans la liste précédente ou d autres outils comme nslookup et dig. Chaque serveur possède une partie de la base de données du DNS, en général une ou plusieurs zones. Si c'est un serveur qui a la version officielle des donnés de la zone et les autres serveurs s'adressent à celui-ci pour les obtenir, on dit alors que ce serveur est autoritaire sur cette zone. Les serveur gardent aussi pendant une certaine période des informations venant d'autre zones en mémoire. C'est la fonction cache. Cela permet de limiter le trafic et de diminuer les temps de réponse en n'ayant pas systématiquement besoin de s'adresser à une des serveurs officiel d'un segment de la base pour obtenir les donnés après les avoir obtenues une première fois. Néanmoins les clients interrogent en général toujours le même serveur, souvent une machine "de service" ayant pour vocation de "faire tourner un DNS". Bien sûr cette machine ne connaît pas toutes les réponses (base de données répartie) et il y a d'autres machines plus appropriées pour répondre à certaines question sur un domaine. Une fois une requête reçue pour un domaine dont le serveur n'est pas autoritaire, deux cas sont possibles: Mode itératif 1 : rsm.enst-bretagne.fr? 2 : fr->ns2 Serveur du nom 1 resolveur 3 : rsm.enst-bretagne.fr? 4 : enst-bretagne.fr->ns3 Serveur du nom 2 fr 5 : rsm.enst-bretagne.fr? Serveur du nom 3 6 : rsm.enst-bretagne.fr IN A [Fig.2 Résolution en mode itératif] enst-bretagne.fr

14 Le serveur renvoie une réponse au client en indiquant qu'il ne connaît pas la réponse, mais qu'il suppose que tel serveur est plus renseigné que lui. Le client va envoyer la requête à un premier serveur puis à un second, peut être à un troisième, etc. Mode récursif 1 :rsm.enst-bretagne.fr? Serveur du nom 1 6: rsm.enst-bretagne.fr IN A resolveur Serveur du nom 2 fr 4 3 Serveur du nom 3 enst-bretagne.fr [Fig.3 Résolution en mode récursif] Le serveur envoie la question à un serveur supposé plus renseigné que lui, attend la réponse et la fait suivre au client. Le client envoie la requête à un serveur, celui-ci la fait suivre à un second serveur, ce dernier l'envoie peut-être à un troisième serveur, etc. Par défaut, un resolveur envoie des requêtes en mode récursif aux serveurs de noms, et des serveurs font des requêtes nécessaires en mode itératif pour y répondre, sauf dans les cas ou l option forwarder est configurée dans named.conf du serveur. [AL01] Dans des resolveurs, c est aussi possible et nécessaire de traiter le cas où des noms sont simples qui ne contiennent pas de points en leur ajoutant un nom de domaine (souvent du réseau local). En effet les autres serveurs DNS ne savent traiter que des requêtes pour des noms complets à partir de la racine. Donc généralement une librairie est créée, elle utilise un fichier de configuration précisant la liste des serveurs à contacter, et le nom de domaine par défaut. Sous UNIX, le fichier /etc/resolv.conf qui contient des informations utiles à résoudre ce problème. domain ipv6.rennes.enst-bretagne.fr nameserver xxx.xx [Extrait du fichier /etc/resolv.conf] Dans tous les cas précédents, nous avons parlé de moyens de trouver l'adresse d'une machine à partir de son nom, en revanche, nous avons aussi le pourvoir de faire l'inverse, c'est à dire ayant une adresse de trouver les noms qui correspondent. Mais dans ce papier nous ne détaillons pas ce processus là

15 2. DNSSEC 2.1 Extension sécurisée Puisque le DNS est la base de ce stage, nous avons fait beaucoup d efforts en expliquant la fonctionnement du DNS dans la partie précédante. Maintenant nous avançons à son extension sécurisée, DNSSEC. Comme décrit précédement, le DNS permet des machines de communiquer au travers de l Internet sans connaître leurs adresses IP respectives, mais la conception originelle de ce service n inclut aucun service sécurisé ayant pour but de protéger les transactions et les données échangées. Et par conséquent, le service DNS demeure très vulnérable aux attaques telles que la création ou modification des messages, la pollution de cache, l usurpation d identité, etc. [GC03, AA03] Dans la figure suivante, les endroits où des attaques sont possibles sont marqués par un point d interrogation. Nous pouvons voir qu il y a des faiblesses situées dans des échanges de message DNS, et aussi des intrusions potentielles dans le fichier de zone ou le cache.?? Serveur DNS 1 Cache? Fichier de zone? Resolveur? Cache Serveur DNS 2 Fichier de zone Cache? [Fig.4 Points faibles du DNS] Par exemple, il est possible d intercepter un message DNS et de le modifier. En effet, il n est pas difficile d analyser le trafic sur le réseau à l écoute d une requête DNS (ce qui est particulièrement aisé sur les réseaux locaux où un support commun est partagé par plusieurs stations). Lorsqu une requête DNS passe, l attaquant la duplique, l analyse et envoie une réponse erronée à cette requête avant que le serveur de noms n ait eu le temps de répondre [GC03]. Ou, on peut fabriquer des réponses erronées directement, si l on a deviné le ID (et autre informations) de la requête suivante

16 successivement. [AA03] ENST Bretagne Campus Rennes De plus, le fonctionnement du cache, qui a pour but d améliorer les performances du DNS, c est-à-dire diminuer les temps de réponse lors d une résolution de noms, se fait une cible particulièrement intéressante pour les attaques appelé pollution de cache (ou cache poisoning), qui sont réalisés par une séries d interceptions et manipulations de message DNS. Ainsi, il est possible d utiliser un serveur DNS corrompu pour faciliter le processus d intrusion dans d autres systèmes, en modifiant le fichier de zone. En brèf, le système DNS est très vulnérable aux attaques, les problèmes de sécurité du DNS portent sur : - la sécurité des transaction de message DNS - la sécurité des données, l intégrité et l authentification - le déni de services Pour combler ce manque de sécurité, le protocole DNSSEC est proposé. DNSSEC apporte deux services de sécurité essentiels au DNS : DNSSEC garantit l intégrité des données et l authentification de la source des données. Afin de les mettre en œuvre efficacement, DNSSEC utilise une cryptographie à clef publique et des signatures numériques. Cette extension utilise de nouveaux enregistrements (RR KEY, SIG, NXT et DS) en supplément au service DNS original pour gérer des clefs et signatures nécessaire à l utilisation d une système de cryptographie à clef publique. Dans DNSSEC, chaque enregistrement est désormais signé (sauf les glues), et cette signature est stockées dans un enregistrement de type SIG spécifique [R2535]. Veuillez bien noter que la sécurisation ici est toujours au sens de la garantit de l intégrité des données et l authentification de la source des données. Ou autrement dit, le service DNSSEC est un service sécurisé et non-confidenciel, des données DNS sont toujours accessibles au public. L utilisation de SIG(0) et TSIG dans DNSSEC sont proposées par d autres chercheurs[r2845, R2931] afin de sécuriser des transaction entre serveurs DNS, mais la défense contre le déni de services n'est pas dans le domaine couvert par DNSsec. DNSSEC permet la sécurisation du DNS en se basant sur deux points : - La sécurisation d une zone - La confiance d une zone à une autre : Chaîne de confiance (Chain of Trust);

17 2.2 Clef et signature DNSSEC utilise une cryptographie à clef publique et des signatures numériques pour garantir l intégrité et l authentification dans le service DNS. Au lieu d expliquer en détails la fonctionnalité de PKI et de signature numérique, nous vous présentons le schéma de signature de vérification utilisé par DNSSEC : Signature : Message Message signé Hache Fonction de hachage Chiffrement avec clef privée Signature Envoi de message Vérification : avec clef publique Hache Dechiffrement avec clef publique Signature Message signé Message Les deux hachages sont-ils identiques? Hache [Fig.5 PKI et signature dans DNSSEC]

18 L idéé principale de cryptographie à clef publique est l utilisation asymétrique de clef publique et clef privée, et en revanche la signature numérique est une fonction de hachage. Le système PKI et signature numérique sont des méthodes matures et efficaces, leur emploiment dans DNSSEC est réalisé par la définition et l utilisation des nouveaux enregistrement : RR KEY et SIG. Dans chaque fichier de zone, nous allons trouver, entres autres, des enregistrements de type KEY pour stocker la partie publique des clefs capables d être utilisé à signer d autres enregistrements, ainsi que des enregistrements SIG contenant la signature de l enregistrement auquel ils font référence, et bien sûr la clef utilisée à la création de ce signature. TTL Type Drapeau Protocole Algorithme Clef publique ID de clef 60 KEY (AQPY2k4P2w/fFq/mARgANC8ypQAYEkgxWhSafulQ6rX tz33kk4vojlgcea7yehsp0k0jc5mxwy/fc8ohcug+q0//) ; key id = SIG KEY ( lei.enst.idsa.prd.fr. Y/0nwlvo77IuGBG62S27vqiatzSoehM3WbCqKFzmp5VV DJQ4epQwMTKdkLOI0pWE3ZgMtWKGb9ySvE/2icXsvg == ) NXT chambre.lei.enst.idsa.prd.fr. NS SOA SIG KEY NXT Data fin de valadité Data début de valadité Algorithme Nom de signataire 60 SIG NXT ( lei.enst.idsa.prd.fr. QjBIFk+yJ9rjoBc+cc81oz/EZ6A8Dig+Ii7V8C5+497r5b2 +RwON/1eIwZyHnPtEQO3uNIYKJ5ORh5zZpS0FjQ== )... Label Field [Fig.6 Extrait du fichier de zone, section clefs et signature] En effet, des enregistrements KEY et SIG font partie de la réponse DNS, à condition que le client qui envoie le requête demande l information DNSSEC en supplémentaire et le serveur a implémenté DNSSEC. De cette manière là, le client qui veut vérifier des données dans la réponse DNS qu il a obtenue d un serveur DNSSEC, il lui faut prendre la partie de signature chiffrée (dans enregistrement SIG), et re-établir la signature originale grâce à la partie publique de la clef qui est aussi inclue dans la réponse, et aussi prendre la partie de données et y faire la fonction de hachage pour créer la signature à nouveau. En comparant la signature original dechiffré de la réponse et la signature

19 qu il construite, il connaîtra l intégrité de l information obtenu. ENST Bretagne Campus Rennes Pour plus d information sur la création des clefs et des signatures, vous trouverez des instructions détaillées dans [OK02], ou des aides fourni dans BIND pour la commande dnssec-keygen et dnssec-signzone. D autre part, il existe un type de RR KEY spécial qui sert à signaler des serveur DNSSEC que cette zone n est pas sécurisé, il s agit une de type NULL. Pour plus d information veuilliez voir l annexe A du rapport. Dans l extrait du fichier précedante, nous avons aussi vu l autre type d enregistrement, NXT. En fait des enregistrement d une zone signée sont triées en ordre alphabétique quand on signe une zone par la commande dnssec-signzone, des RR NXT sont ajoutés automatiquement par BIND afin de répondre à la non-existence d un nom d une manière sûre

20 2.3 Chaîne de confiance (Chain of Trust) ENST Bretagne Campus Rennes Nous avons vu qu au sein d un fichier de zone ou d une réponse DNS, il y a des enregistrements sécurisés via des signatures numériques signé par des clefs privées de la zone. Le point critique devient donc de vérifier que la clef utilisée pour créer ces signatures correspondantes est légale. Pourtant, il existe deux types de clefs : les Key Signing Key (KSK) et les Zone Signing Key (ZSK). Les ZSK sont les clefs qui signent tous les enregistrements de la zone et les KSKs sont les clefs qui signent uniquement le KEY RRset. Mais ici c est le KSK qui fait partie de l architecture hiérarchique de l arbre DNS. Afin de valider une clef KSK, Delegation Signer[OG03] spécifient qu un enregistrement DS valide pour la clef de la zone fille doit être conservé dans la zone parente, et DNSSEC l a implémenté depuis BIND 9.3 Snapshot. Cela implique que quand une zone fille veut changer de KSK, elle doit contacter sa zone parente et lui envoyer son KEY RRset pour la prévenir des changements effectués. La zone parente peut alors créer le DS correspondant ou détruire un DS devenu obsolète. Grâce au DS dans la zone parente, on peut authentifier le KEY RRset du KSK correspondant du côté de la zone fille, et une fois la KSK était vérifié, les vérifications des ZSK et d autres enregistrements vont se faire successivement. 60 DS ( AB45E BFD538C8F656A2C61 349B ) 60 KEY ( AQPtej06bDqsYnS97ez4suIS2xqphkUePL7N nieq0+2kc4yzc3qbshee/dwsajtaiv9vnc/j zffsx0yc8kw6dsx2pqbtax/mgdsjj/puy2ct 79Znos+K7f+AI2LmoTUnyRtGsrKI7bToQDfK V9b3MGvP71B8XoeQ2Rk7s9W2PU89qw== ) ; key id = [Extrait du fichier de zone fille, section DS, et section KSK correspondante] En effef, le RR DS comporte un haché d une clef KSK de sa zone fille, sa création est automatisé dans la processus de la commande dnssec-signzone du côté de serveur de la zone parente, si le Keyset de zone fille est déjà donné. D après [OG03], le haché est calculé par : Hache = hash (FQDN du RR KEY Rdata RR KEY) où Rdata RR KEY = Drapeaux Protocole Algorithme Clef Publique et FQDN = Nom ou alias de la zone déléguée Comme dit toujours, DNSSEC utilise le modèle arborescent du DNS, donc pour valider une clef il

Domain Name Service (DNS)

Domain Name Service (DNS) Domain Name Service () 1 PLAN Introduction Nommage avec /etc/hosts Principe du découpage en domaines Configuration de BIND Création d une zone Outils de débuggage (dig, nslookup) Déclaration d une zone

Plus en détail

Domaine Name Service ( DNS )

Domaine Name Service ( DNS ) Domaine Name Service ( DNS ) DOMAINE NAME SERVICE ( DNS )...2 1.) Qu'est ce qu un Service de Nom de Domaine?...2 1.1) Pourquoi utiliser un DNS...2 Historique...2 Dans quel cas l utiliser...2 1.2) Fonctionnement

Plus en détail

Domain Name System. F. Nolot

Domain Name System. F. Nolot Domain Name System F. Nolot 1 Domain Name System Principe F. Nolot 2 Les besoins Internet est composé de plusieurs réseaux Chaque réseau est composé de sous réseaux Les sous réseaux sont constitués de

Plus en détail

Gilles GUETTE IRISA Campus de Beaulieu, 35 042 Rennes Cedex, France gilles.guette@irisa.fr

Gilles GUETTE IRISA Campus de Beaulieu, 35 042 Rennes Cedex, France gilles.guette@irisa.fr 1 Les extensions de sécurité DNS (DNSSEC Gilles GUETTE IRISA Campus de Beaulieu, 35 042 Rennes Cedex, France gilles.guette@irisa.fr I. INTRODUCTION Lorsqu une machine connectée à un réseau veut contacter

Plus en détail

INGI2347 - Securité. Rapport n 1. par François Beuvens Grégoire de Hemptinne. Groupe 6

INGI2347 - Securité. Rapport n 1. par François Beuvens Grégoire de Hemptinne. Groupe 6 INGI2347 - Securité Projet de sécurité Rapport n 1 par François Beuvens Grégoire de Hemptinne Groupe 6 Table des matières 1 Les grands principes du DNS 3 1.1 DNS : Fonctionnement des clients..........................

Plus en détail

DNS. Olivier Aubert 1/27

DNS. Olivier Aubert 1/27 DNS Olivier Aubert 1/27 Liens http://www.dns.net/dnsrd/ DNS Resource Directory http://www.isc.org/products/bind/ Internet Software Consortium - Berkeley Internet Name Domain http://www.nic.fr/guides/dns-intro

Plus en détail

Sécurité des protocoles internet

Sécurité des protocoles internet pascal.malterre@cea.fr Historique A l origine, les noms des machines présentes sur le réseau étaient listés dans un simple fichier texte (HOSTS.TXT), mis à jour par le NIC (Network Information Center).

Plus en détail

B1-4 Administration de réseaux

B1-4 Administration de réseaux B1-4 Administration de réseaux Domain Name System (DNS) École nationale supérieure de techniques avancées B1-4 Administration de réseaux 1 / 29 Principe Chaque machine d un réseau IP est repérée par une

Plus en détail

Gilles.Roussel univ-mlv.fr DNS

Gilles.Roussel univ-mlv.fr DNS DNS 1 Problématique Référence des machines par un nom plutôt que par un numéro (adresse IP) Moins facile à retenir Impossible de deviner une adresse d'un serveur Web Noms valables sur tout l'internet 250

Plus en détail

Sécurisation du DNS : Les extensions DNSsec

Sécurisation du DNS : Les extensions DNSsec ,, (@v@) (_^(_\ ----^^\\\-- ^^^^^^^^^^^ IDsA Sécurisation du DNS : Les extensions DNSsec Atelier DNSsec proposé par le projet IDsA Atelier DNSsec IDsA Rennes, 09-10/12/2003 1 Plan Rappels synthétiques

Plus en détail

Domain Name System 5 0 0 2 ot ol F. N 1

Domain Name System 5 0 0 2 ot ol F. N 1 Domain Name System 1 Domain Name System Principe 2 Les besoins Internet est composé de plusieurs réseaux Chaque réseau est composé de sous-réseaux Les sous-réseaux sont constitués de machines Il est possible

Plus en détail

Gérer son DNS. Matthieu Herrb. tetaneutral.net. Atelier Tetaneutral.net, 10 février 2015. http://homepages.laas.fr/matthieu/talks/ttnn-dns.

Gérer son DNS. Matthieu Herrb. tetaneutral.net. Atelier Tetaneutral.net, 10 février 2015. http://homepages.laas.fr/matthieu/talks/ttnn-dns. Gérer son DNS Matthieu Herrb tetaneutral.net Atelier Tetaneutral.net, 10 février 2015 http://homepages.laas.fr/matthieu/talks/ttnn-dns.pdf Licence Ce document est sous licence Creative Commons Paternité

Plus en détail

DNS : Domaine Name System

DNS : Domaine Name System DNS : Domaine Name System - Les machines utilisent les adresses IP pour communiquer. - Les humaines ont du mal à manipuler et à retenir des adresses IP. Ils retiennent plus facilement des noms de machines.

Plus en détail

Formation DNS. Le pouvoir de dire nom. Valentin Roussellet (p2010) - louen@via.ecp.fr. Mercredi 1 er Décembre 2010.

Formation DNS. Le pouvoir de dire nom. Valentin Roussellet (p2010) - louen@via.ecp.fr. Mercredi 1 er Décembre 2010. Le pouvoir de dire nom Centrale Réseaux Mercredi 1 er Décembre 2010 Sommaire Noms, arbres et domaines 1 Noms, arbres et domaines Une petite histoire L arbre qui cache la forêt Domaines et sous-domaines

Plus en détail

Étude de l application DNS (Domain Name System)

Étude de l application DNS (Domain Name System) Étude de l application DNS (Domain Name System) RICM 4 - Option Réseaux Pascal Sicard Introduction Le but de ce TP est de comprendre l utilisation et le fonctionnement de l application réseau DNS (Domain

Plus en détail

Extensions du DNS : DNSv6 & DNSsec

Extensions du DNS : DNSv6 & DNSsec Extensions du DNS : DNSv6 & DNSsec Task Force IPv6 française Paris, 8 avril 2003 Mohsen Souissi AFNIC, G6 {Mohsen.Souissi, ipv6tech}@nic.fr 1 Plan Importance du DNS Recherche (résolution) de ressources

Plus en détail

Étude de l application DNS (Domain Name System)

Étude de l application DNS (Domain Name System) Étude de l application DNS (Domain Name System) Master 1 Informatique Pascal Sicard Introduction Le but de ce TP est de comprendre l utilisation et le fonctionnement de l application réseau DNS (Domain

Plus en détail

Formation EFREI - 2004/2005. Implémentation du système DNS dans Windows 200x

Formation EFREI - 2004/2005. Implémentation du système DNS dans Windows 200x Formation EFREI - 2004/2005 Implémentation du système DNS dans Windows 200x Vue d'ensemble Généralités sur DNS Installation du service Serveur DNS Configuration de zones dans Windows 200x Test du service

Plus en détail

Serveurs de noms (domain name servers)

Serveurs de noms (domain name servers) Serveurs de noms (domain name servers) Rôle : conversion noms adresses IP Organisation hiérarchique des noms en domaines, sous-domaines etc. Fonctionnement par délégation : un domaine est géré par un serveur,

Plus en détail

Résolution de noms. Résolution de noms

Résolution de noms. Résolution de noms cb (C:\Documents and Settings\bcousin\Mes documents\enseignement\res (UE18)\12.DNS.fm- 25 janvier 2009 13:15) PLAN Introduction Noms des domaines de noms Principe de la résolution de noms La résolution

Plus en détail

Administration Système & Réseau. Domain Name System Historique & Concepts Fonctionnalités & Hiérarchie Requêtes & Base de donnée DNS

Administration Système & Réseau. Domain Name System Historique & Concepts Fonctionnalités & Hiérarchie Requêtes & Base de donnée DNS 1/25 Administration Système & Réseau Domain Name System Historique & Concepts Fonctionnalités & Hiérarchie Requêtes & Base de donnée DNS Dynamic Host Configuration Protocol L3 STRI 2005 Philippe Latu philippe.latu(at)linux-france.org

Plus en détail

Tutoriel DNSSEC. Stéphane Bortzmeyer, AFNIC. Présenté par : JRES 2009 - Nantes, 4 décembre 2009. {Stephane.Bortzmeyer,Mohsen.Souissi}@afnic.

Tutoriel DNSSEC. Stéphane Bortzmeyer, AFNIC. Présenté par : JRES 2009 - Nantes, 4 décembre 2009. {Stephane.Bortzmeyer,Mohsen.Souissi}@afnic. Tutoriel DNSSEC Présenté par : Stéphane Bortzmeyer, AFNIC JRES 2009 - Nantes, 4 décembre 2009 {Stephane.Bortzmeyer,Mohsen.Souissi}@afnic.fr 1 Tutorial DNSSEC 22 juin 2009 Plan Rappels synthétiques sur

Plus en détail

Domain Name Service (DNS)

Domain Name Service (DNS) Domain Name Service (DNS) FOSSOUO Xavier (AUF) Xavier.fossouo@auf.org PLAN Introduction Nommage avec /etc/hosts Principe du découpage en domaines Configuration de BIND Création d une zone Outils de débuggage

Plus en détail

Nommage et adressage dans Internet

Nommage et adressage dans Internet 1 Nommage et adressage dans Internet Full Qualified Domain Name et URL FQDN : Full Qualified Domain Name Nom complet d'un hôte, sur l'internet, c'est-à-dire de la machine jusqu'au domaine, en passant par

Plus en détail

Installation Serveur DNS Bind9 Ubuntu 12.04 LTS

Installation Serveur DNS Bind9 Ubuntu 12.04 LTS 1 Installation Serveur DNS Bind9 Ubuntu 12.04 LTS BIND (Berkeley Internet Name Daemon ou Berkeley Internet Name Domain) est le serveur DNS le plus utilisé sur Internet, spécialement sur les systèmes de

Plus en détail

Administration réseau Résolution de noms et attribution d adresses IP

Administration réseau Résolution de noms et attribution d adresses IP Administration réseau Résolution de noms et attribution d adresses IP A. Guermouche A. Guermouche Cours 9 : DNS & DHCP 1 Plan 1. DNS Introduction Fonctionnement DNS & Linux/UNIX 2. DHCP Introduction Le

Plus en détail

(Third-Man Attack) PASCAL BONHEUR PASCAL BONHEUR@YAHOO.FR 4/07/2001. Introduction. 1 Domain Name Server. 2 Commandes DNS. 3 Hacking des serveurs DNS

(Third-Man Attack) PASCAL BONHEUR PASCAL BONHEUR@YAHOO.FR 4/07/2001. Introduction. 1 Domain Name Server. 2 Commandes DNS. 3 Hacking des serveurs DNS Détournement de serveur DNS (Third-Man Attack) PASCAL BONHEUR PASCAL BONHEUR@YAHOO.FR 4/07/2001 Introduction Ce document traite de la possibilité d exploiter le serveur DNS pour pirater certains sites

Plus en détail

VI - DNS : RESOLUTION de NOMS. dans le modèle TCP/IP

VI - DNS : RESOLUTION de NOMS. dans le modèle TCP/IP SUPPORT de COURS Thierry DESPRATS VI - DNS : RESOLUTION de NOMS dans le modèle TCP/IP Sommaire Résolution de noms Principes de nommage (espace, arborescence, domaine) Modèle organisationnel du DNS Clients

Plus en détail

Réseaux. DNS (Domaine Name System) Master Miage 1 Université de Nice - Sophia Antipolis. (second semestre 2008-2009)

Réseaux. DNS (Domaine Name System) Master Miage 1 Université de Nice - Sophia Antipolis. (second semestre 2008-2009) Réseaux DNS (Domaine Name System) Master Miage 1 Université de Nice - Sophia Antipolis (second semestre ) Jean-Pierre Lips (jean-pierre.lips@unice.fr) (à partir du cours de Jean-Marie Munier) Sources bibliographiques

Plus en détail

UE5A Administration Réseaux LP SIRI

UE5A Administration Réseaux LP SIRI UE5A Administration Réseaux LP SIRI José Dordoigne Architecte infrastructure v1.0 2012-2013 Objectif de la formation -Fournir les éléments clés pour : -Comprendre les principaux services réseaux déployés

Plus en détail

Bind, le serveur de noms sous Linux

Bind, le serveur de noms sous Linux Bind, le serveur de noms sous Linux 1. Principes de fonctionnement d'un serveur de noms La résolution des noms d'hôtes sur les réseaux tcp/ip est fondée sur le principe d'une répartition de la base des

Plus en détail

Le Service de Noms de l'internet: DNS

Le Service de Noms de l'internet: DNS Thème n 4 : Les Applicatifs Réseaux Le Service de Noms de l'internet: DNS (Domain Name System) UV B: Complément Réseaux de Transport et Applications Année 95/96 Laurence Duchien CNAM-Cedric, 292, rue st

Plus en détail

Domaine Name System. Auteur: Congduc Pham, Université Lyon 1. Figure 1: Schéma des salles TP11 et TD4

Domaine Name System. Auteur: Congduc Pham, Université Lyon 1. Figure 1: Schéma des salles TP11 et TD4 TP de Réseaux IP pour DESS Domaine Name System Auteur: Congduc Pham, Université Lyon 1 1 Schéma de départ Figure 1: Schéma des salles TP11 et TD4 Le schéma de départ pour aujourd hui est celui de la figure

Plus en détail

DNS Session 1: Principes de base

DNS Session 1: Principes de base DNS Session 1: Principes de base Les ordinateurs utilisent des adresses IP. Pourquoi avons nous besoin des noms? Faciles aux êtres humains de mémoriser Les ordinateurs peuvent être déplacés entres les

Plus en détail

DNS / NTP / SNMP. Administration Système et Réseaux, Sécurité. Objectifs. Pourquoi DNS? DNS / NTP / SNMP DNS. Philippe Harrand NTP SNMP

DNS / NTP / SNMP. Administration Système et Réseaux, Sécurité. Objectifs. Pourquoi DNS? DNS / NTP / SNMP DNS. Philippe Harrand NTP SNMP DNS / NTP / SNMP Administration Système et Réseaux, Sécurité DNS / NTP / SNMP Philippe Harrand 1 Département Informatique Pôle Sciences et Technologies 2 Direction Territoriale Sud Ouest France Télécom

Plus en détail

Master d'informatique 1ère année Réseaux et protocoles

Master d'informatique 1ère année Réseaux et protocoles Master d'informatique 1ère année Réseaux et protocoles DNS Bureau S3-203 mailto://alexis.lechervy@unicaen.fr Domain Name System Le fonctionnement d'un réseau IP est basé sur l'adressage et le routage.

Plus en détail

Introduction au DNS. Les noms de domaine s'écrivent de la gauche vers la droite, en remontant vers la racine et sont séparés par un "." (point).

Introduction au DNS. Les noms de domaine s'écrivent de la gauche vers la droite, en remontant vers la racine et sont séparés par un . (point). Introduction au DNS Le principe du DNS (Domain Name System) Toutes les requêtes de service que nous effectuons sur le réseau doivent en finalité aboutir sur l'adresse IP du serveur qui fournit ces services.

Plus en détail

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS Les dossiers thématiques de l AFNIC DNSSEC les extensions de sécurité du DNS 1 - Organisation et fonctionnement du DNS 2 - Les attaques par empoisonnement de cache 3 - Qu est-ce que DNSSEC? 4 - Ce que

Plus en détail

Fonctionnement et Administration d un serveur de noms

Fonctionnement et Administration d un serveur de noms Fonctionnement et Administration d un serveur de noms McInfo4 - Réseaux Département d informatique IUT Bordeaux 1 Janvier 07 Rôle d un serveur de noms : Domain Name Server (Paul Mokapetris, 1983) Rôle

Plus en détail

Domain Name System Extensions Sécurité

Domain Name System Extensions Sécurité Domain Name System Extensions Sécurité 2 juin 2006 France Telecom R&D Daniel Migault, Bogdan Marinoiu mglt.biz@gmail.com, bogdan.marinoiu@polytechnique.org Introduction Extentions de Sécurité DNS Problématique

Plus en détail

Complémentarité de DNSsec et d IPsec

Complémentarité de DNSsec et d IPsec Complémentarité de DNSsec et d IPsec Gilles GUETTE IRISA/INRIA, Campus de beaulieu, 35042 Rennes Cedex, France gilles.guette@irisa.fr Olivier COURTAY ENST-Bretagne, 2 rue de la Châtaigneraie, 35512 Cesson

Plus en détail

DNS ( DOMAIN NAME SYSTEM)

DNS ( DOMAIN NAME SYSTEM) DNS ( DOMAIN NAME SYSTEM) Principe de la résolution de Noms Certaines applications nécessitent pour communiquer d utiliser les noms de Machines : Sony alors que d autres utiliseront des noms Internet ou

Plus en détail

TP de réseaux : Domain Name Server.

TP de réseaux : Domain Name Server. ADJIDO Idjiwa, ARIB El Mehdi, CLOIREC Olivier Groupe 1 TP de réseaux : Domain Name Server. Introduction... 2 Présentation du Système de nom de domaines... 2 Le DNS... 2 L accès aux machines... 2 Le fichier

Plus en détail

Sur un ordinateur exécutant Windows 2000 Server Ayant une adresse IP statique

Sur un ordinateur exécutant Windows 2000 Server Ayant une adresse IP statique Le DNS DNS = Domain Name Service Sert à résoudre les noms d ordinateur en adresse IP. Contention de dénomination pour les domaines Windows 2000 (nommage des domaines W2K) Localisation des composants physiques

Plus en détail

INTERNET & RESEAUX. Dino LOPEZ PACHECO lopezpac@i3s.unice.fr

INTERNET & RESEAUX. Dino LOPEZ PACHECO lopezpac@i3s.unice.fr INTERNET & RESEAUX Dino LOPEZ PACHECO lopezpac@i3s.unice.fr Le modèle OSI Le modèle OSI (cont) Résolution et obtention d'adresses Démarrage et auto-configuration Ex. DHCP Recherche d'une adresse IP à partir

Plus en détail

BONY Simon IR1. Services Réseaux TP1. BONY Simon

BONY Simon IR1. Services Réseaux TP1. BONY Simon Services Réseaux TP1 BONY Simon 09 novembre 2011 1 Table des matières Introduction... 3 A Préliminaire... 4 B Configuration du client... 5 B.1 /etc/hosts et /etc/resolv.conf... 5 B.2 Tests de configuration...

Plus en détail

Réseaux IUP2 / 2005 DNS Système de Noms de Domaine

Réseaux IUP2 / 2005 DNS Système de Noms de Domaine Réseaux IUP2 / 2005 DNS Système de Noms de Domaine 1 Noms symboliques Nommer les machines par un nom plutôt que par son adresse IP Chaîne de caractères Plus "naturel" Espace de noms hiérarchique plutôt

Plus en détail

Administration de Parc Informatique TP03 : Résolution de noms

Administration de Parc Informatique TP03 : Résolution de noms Institut Galilée L2 Info S1 Année 2013 2014 Administration de Parc Informatique TP03 : Résolution de noms Le but de ce TP est d apprendre aux machines à se connaître par le nom plutôt que simplement par

Plus en détail

LOSLIER Mathieu. Filière Informatique et Réseau 1 ère année. TP DNS. Responsable : LOHIER Stephane. Chargé de TD : QUIDELLEUR Aurélie

LOSLIER Mathieu. Filière Informatique et Réseau 1 ère année. TP DNS. Responsable : LOHIER Stephane. Chargé de TD : QUIDELLEUR Aurélie LOSLIER Mathieu Filière Informatique et Réseau 1 ère année. TP DNS Responsable : LOHIER Stephane Chargé de TD : QUIDELLEUR Aurélie Le 24 Novembre 2010 Table des matières 1. Intoduction... 4 2. Préliminaires...

Plus en détail

Serveurs de noms Protocoles HTTP et FTP

Serveurs de noms Protocoles HTTP et FTP Nils Schaefer Théorie des réseaux (EC3a) Serveurs de noms Protocoles HTTP et FTP Théorie des réseaux (EC3a) Séance 7 Pourquoi DNS? Internet est une structure hiérarchique et arborescente de réseaux et

Plus en détail

Administration de Parc Informatique TP04 : Résolution de noms

Administration de Parc Informatique TP04 : Résolution de noms Institut Galilée L2 Info S1 Année 2012 2013 Administration de Parc Informatique TP04 : Résolution de noms Le but de ce TP est d apprendre aux machines à se connaître par le nom plutôt que simplement par

Plus en détail

Internet Le service de noms - DNS

Internet Le service de noms - DNS Internet Le service de noms - DNS P. Bakowski bako@ieee.org Domaines Internet DNS - Domain Name System hostname : nom symbolique adresse IP : un nombre/valeur logique hostname : www.polytech2go.fr IP address

Plus en détail

Résolution de nom avec Bind

Résolution de nom avec Bind Stéphane Gill Stephane.Gill@CollegeAhuntsic.qc.ca Table des matières Introduction 3 Principe de fonctionnement 3 Type de serveur DNS 4 Serveur de noms primaire 4 Serveur de nom secondaire 4 Serveur cache

Plus en détail

Il est recommandé de fermer les serveurs DNS récursifs ouverts

Il est recommandé de fermer les serveurs DNS récursifs ouverts Il est recommandé de fermer les serveurs DNS récursifs ouverts Stéphane Bortzmeyer Première rédaction de cet article le 23 mars 2006. Dernière mise à jour le 26 janvier 2009

Plus en détail

M2102 - Architecture des réseaux

M2102 - Architecture des réseaux M2102 - Architecture des réseaux 8 - Service de Nom de Domaine (DNS) Cyril Pain-Barre IUT Aix-Marseille - Dept INFO Aix version du 10/3/2014 Cyril Pain-Barre 8 - DNS 1 / 16 Le DNS (Domain Name Service)

Plus en détail

Ce cours est la propriété de la société CentralWeb. Il peut être utilisé et diffusé librement à des fins non commerciales uniquement.

Ce cours est la propriété de la société CentralWeb. Il peut être utilisé et diffusé librement à des fins non commerciales uniquement. Domain Name System Ce cours est la propriété de la société CentralWeb. Il peut être utilisé et diffusé librement à des fins non commerciales uniquement. CentralWeb 56, Boulevard Pereire - 75017 PARIS Tel

Plus en détail

DNS et Mail. LDN 15 octobre 2011. DNS et Mail. Benjamin Bayart, Fédération FDN. DNS - fichier de zone. DNS - configuration

DNS et Mail. LDN 15 octobre 2011. DNS et Mail. Benjamin Bayart, Fédération FDN. DNS - fichier de zone. DNS - configuration LDN 15 octobre 2011 fichier de Plan fichier de fichier de Pré-requis savoir changer l adresse du résolveur d une machine connaître l IP d au moins 2 résolveurs par cœur un minimum de connaissance d admin

Plus en détail

Sécurité des réseaux Les attaques

Sécurité des réseaux Les attaques Sécurité des réseaux Les attaques A. Guermouche A. Guermouche Cours 2 : Les attaques 1 Plan 1. Les attaques? 2. Quelques cas concrets DNS : Failles & dangers 3. honeypot A. Guermouche Cours 2 : Les attaques

Plus en détail

ETUDES DE SUPPORTS & PROTOCOLES DE COMMUNICATION DNS

ETUDES DE SUPPORTS & PROTOCOLES DE COMMUNICATION DNS Page 1 / 8 A) FQDN, URL & URI Un FQDN est le significatif d'un hôte sur l'internet (un serveur la plupart du temps) et un URI ou URL définit l'accès à un document sur un serveur. A.1 FQDN (Full Qualified

Plus en détail

Cours admin 200x serveur : DNS et Netbios

Cours admin 200x serveur : DNS et Netbios LE SERVICE DNS Voici l'adresse d'un site très complet sur le sujet (et d'autres): http://www.frameip.com/dns 1- Introduction : Nom Netbios et DNS Résolution de Noms et Résolution inverse Chaque composant

Plus en détail

BIND : installer un serveur DNS

BIND : installer un serveur DNS BIND : installer un serveur DNS Cet article a pour but de vous présenter comment installer et configurer un serveur DNS en utilisant l'application BIND. Je supposerai que vous disposez d'un réseau local

Plus en détail

Service de noms des domaines (Domain Name System) Cours administration des services réseaux M.BOUABID, 09-2014

Service de noms des domaines (Domain Name System) Cours administration des services réseaux M.BOUABID, 09-2014 Service de noms des domaines (Domain Name System) Cours administration des services réseaux M.BOUABID, 09-2014 Problématique Pour communiquer avec une machine, il faut connaître son adresse IP. comment

Plus en détail

La mise en place des systèmes de résolutions de nom

La mise en place des systèmes de résolutions de nom La mise en place des systèmes de résolutions de nom 1. La résolution DNS DNS est devenu la pierre de base du fonctionnement d un réseau Windows basé sur Active Directory, mais pas seulement. La plupart

Plus en détail

- FICHE DE PROCEDURE - Configurer un serveur DNS avec Bind9 sur Debian

- FICHE DE PROCEDURE - Configurer un serveur DNS avec Bind9 sur Debian - FICHE DE PROCEDURE - Configurer un serveur DNS avec Bind9 sur Debian SISR3 N 1 Pré requis : Debian installé. Avoir une IP fixe pour le serveur DNS. Disposer d une connexion à l Internet. Création d un

Plus en détail

Historique du support de cours. DNS Session 1: Principes de base. Solution ancienne : hosts.txt

Historique du support de cours. DNS Session 1: Principes de base. Solution ancienne : hosts.txt DNS Session 1: Principes de base Historique du support de cours Présenté par Alain Patrick AINA Roger YERBANGA Création du support en septembre 2004 Traduction du cours DNS AFNOG 2004 de Alain AINA Ayitey

Plus en détail

L3 informatique Réseaux : Configuration d une interface réseau

L3 informatique Réseaux : Configuration d une interface réseau L3 informatique Réseaux : Configuration d une interface réseau Sovanna Tan Septembre 2009 Révision septembre 2012 1/23 Sovanna Tan Configuration d une interface réseau Plan 1 Introduction aux réseaux 2

Plus en détail

Configuration du serveur DNS sous debian

Configuration du serveur DNS sous debian H. TSOUNGUI Configuration d'un serveur DNS sous debian 1/5 Configuration du serveur DNS sous debian (c) Henri TSOUNGUI, Lille, jun. 2009 1. Paramètres Domaine internet : licence.fr Serveur DNS : debian5

Plus en détail

1 Présentation du module sr005 2 I Administration d un serveur DNS... 2 II Organisation... 2

1 Présentation du module sr005 2 I Administration d un serveur DNS... 2 II Organisation... 2 Chapitre 2 Administrer un serveur DNS Table des matières 1 Présentation du module sr005 2 I Administration d un serveur DNS..................................... 2 II Organisation................................................

Plus en détail

Présentation du système DNS

Présentation du système DNS Présentation du système DNS Résolution de noms Configuration des clients DNS Configuration du serveur DNS Configuration des zones DNS La délégation d de zones DNS Les outils d'administration Résolution

Plus en détail

Serveur DNS. Julien Danjou jdanjou@linuxenrezo.org

Serveur DNS. Julien Danjou jdanjou@linuxenrezo.org Serveur DNS Julien Danjou jdanjou@linuxenrezo.org Pour convertir les noms d ordinateurs en adresses IP, la méthode la plus simple consiste à tenir à jour un fichier hosts contenant les adresses IP suivies

Plus en détail

Travaux Pratiques Domain Name System

Travaux Pratiques Domain Name System Master 1 ALMA Université de Nantes 2011-2012 Travaux Pratiques Domain Name System MARGUERITE Alain RINCE Romain Université de Nantes 2 rue de la Houssinière, BP92208, F-44322 Nantes cedex 03, FRANCE Encadrant

Plus en détail

TD n o 8 - Domain Name System (DNS)

TD n o 8 - Domain Name System (DNS) IUT Montpellier - Architecture (DU) V. Poupet TD n o 8 - Domain Name System (DNS) Dans ce TD nous allons nous intéresser au fonctionnement du Domain Name System (DNS), puis pour illustrer son fonctionnement,

Plus en détail

Table des matières. 2011 Hakim Benameurlaine 1

Table des matières. 2011 Hakim Benameurlaine 1 Table des matières 1 SERVICE DNS... 2 1.1 INTRODUCTION... 2 1.1.1 Historique... 2 1.1.2 Principe... 3 1.1.3 Conversion de nom en adresse IP... 3 1.1.4 Conversion d'adresse IP en nom... 4 1.1.5 Le resolver...

Plus en détail

DOMAIN NAME SYSTEM. CAILLET Mélanie. Tutoriel sur le DNS. Session 2012-2014 Option SISR

DOMAIN NAME SYSTEM. CAILLET Mélanie. Tutoriel sur le DNS. Session 2012-2014 Option SISR DOMAIN NAME SYSTEM Tutoriel sur le DNS CAILLET Mélanie Session 2012-2014 Option SISR Table des matières DOMAIN NAME SYSTEM 2013 I. DNS Statique sous Linux (Ubuntu 12.04 LTS)... 3 A. DNS Principal... 3

Plus en détail

1 Résolution de nom... 2 1.1 Introduction à la résolution de noms... 2. 1.2 Le système DNS... 2. 1.3 Les types de requêtes DNS...

1 Résolution de nom... 2 1.1 Introduction à la résolution de noms... 2. 1.2 Le système DNS... 2. 1.3 Les types de requêtes DNS... Table des matières 1 Résolution de nom... 2 1.1 Introduction à la résolution de noms... 2 1.2 Le système DNS... 2 1.3 Les types de requêtes DNS... 4 1.4 Configuration des clients DNS... 8 1.4.1 Résolution

Plus en détail

TP DNS Utilisation de BIND sous LINUX

TP DNS Utilisation de BIND sous LINUX NOMS : GIRARD Fabien, NARO Guillaume PARTIE 1 : INSTALLATION D'UN SERVEUR TP DNS Utilisation de BIND sous LINUX Pour récupérer les adresses IP, on lance un terminal sur chaque machine et on tape la commande

Plus en détail

Construction d un fichier de zone Déboguage et dépannage

Construction d un fichier de zone Déboguage et dépannage Construction d un fichier de zone Déboguage et dépannage Atelier AfTLD, Yaoundé 2004 Construction d un fichier de zone Choisir un nom de domaine: .ws.trstech.net Ecrire le nom et l adresse IP de votre

Plus en détail

Empoisonnement DNS (Attaque de Dan Kaminski)

Empoisonnement DNS (Attaque de Dan Kaminski) Empoisonnement DNS (Attaque de Dan Kaminski) M1 - Outils de l'internet 2008-2009 Victor Poupet (victor.poupet@lif.univ-mrs.fr) Fonctionnement du DNS Idée générale Client demande l'adresse IP correspondant

Plus en détail

LE RESEAU GLOBAL INTERNET

LE RESEAU GLOBAL INTERNET LE RESEAU GLOBAL INTERNET 1. INTRODUCTION Internet est un réseau international, composé d'une multitude de réseaux répartis dans le monde entier - des réseaux locaux, régionaux et nationaux, ainsi que

Plus en détail

Le service de nom : DNS

Le service de nom : DNS Le service de nom : DNS Cyril Rabat cyril.rabat@univ-reims.fr Master 2 ASR - Info09115 - Architecture des réseaux d entreprise 2012-2013 Cours n 8 DNS : schéma de nommage, protocole Version 29 septembre

Plus en détail

M2102 Architecture des réseaux. TP n 4 Configuration de serveur DNS

M2102 Architecture des réseaux. TP n 4 Configuration de serveur DNS M2102 Architecture des réseaux TP n 4 Configuration de serveur DNS Objectif du TP : Dans ce TP vous allez apprendre à configurer des noms d'hôtes sur une machine Linux, puis à configurer un serveur DNS

Plus en détail

Mise en place Active Directory / DHCP / DNS

Mise en place Active Directory / DHCP / DNS Mise en place Active Directory / DHCP / DNS Guillaume Genteuil Période : 2014 Contexte : L entreprise Diamond Info localisé en Martinique possède une cinquantaine de salariés. Basé sur une infrastructure

Plus en détail

Travaux pratiques n o 1

Travaux pratiques n o 1 Travaux pratiques n o 1 Passerelle Applicative IPv6-IPv4 Le déploiement d IPv6 pose la problématique de l accès aux services disponibles dans l Internet IPv4. Dans ce TP nous allons procéder à l installation

Plus en détail

Exemple d application: l annuaire DNS Claude Chaudet

Exemple d application: l annuaire DNS Claude Chaudet Exemple d application: l annuaire DNS Claude Chaudet 66 Institut Mines-Télécom Nommage des machines sur Internet n Le DNS (Domain Name System) est un annuaire associant des noms textuels et des adresses

Plus en détail

Installer un domaine DNS

Installer un domaine DNS Installer un domaine DNS Olivier Hoarau (olivier.hoarau@funix.org) V1.2 du 3.12.00 1 Historique... 2 2 Préambule... 2 3 Présentation... 2 4 Installation et configuration... 3 5 Lancement automatique de

Plus en détail

Windows Internet Name Service (WINS)

Windows Internet Name Service (WINS) Windows Internet Name Service (WINS) WINDOWS INTERNET NAME SERVICE (WINS)...2 1.) Introduction au Service de nom Internet Windows (WINS)...2 1.1) Les Noms NetBIOS...2 1.2) Le processus de résolution WINS...2

Plus en détail

Délégation. Délégation d autorité. Délégation. Serveur de noms. Serveurs racine. Les serveurs de noms

Délégation. Délégation d autorité. Délégation. Serveur de noms. Serveurs racine. Les serveurs de noms D - Généralité D Domaine Name System Port : 3 [RFC 03 à 03, 987] Plus de 0 autres documents Espace de nom mondiale et cohérent Accès à toutes les ressources d Internet Gestion décentralisée Indépendant

Plus en détail

Algorithmique et langages du Web

Algorithmique et langages du Web Cours de Algorithmique et langages du Web Jean-Yves Ramel Licence 1 Peip Biologie Groupe 7 & 8 Durée totale de l enseignement = 46h ramel@univ-tours.fr Bureau 206 DI PolytechTours Organisation de la partie

Plus en détail

6 1 ERE PARTIE : LES PRINCIPES DE BASE DE DNS

6 1 ERE PARTIE : LES PRINCIPES DE BASE DE DNS 6 1 ERE PARTIE : LES PRINCIPES DE BASE DE DNS 1- Le concept DNS Chaque fois que nous voulons utiliser un service Web (Internet), on fait des recherches ou on accède directement à ce service en se servant

Plus en détail

Protocoles DHCP et DNS

Protocoles DHCP et DNS Protocoles DHCP et DNS DHCP (Dynamic Host Configuration Protocol) est un protocole qui permet à un serveur DHCP (Unix, Windows, AS400...) d'affecter des adresses IP temporaires (et d'autres paramètres)

Plus en détail

FUCHS Steve DNS. principe et mise en place. EBC Informatique. Centre de compétences UNIX. EBC Informatique, centre de compétences UNIX 1 / 24

FUCHS Steve DNS. principe et mise en place. EBC Informatique. Centre de compétences UNIX. EBC Informatique, centre de compétences UNIX 1 / 24 DNS principe et mise en place EBC Informatique Centre de compétences UNIX EBC Informatique, centre de compétences UNIX 1 / 24 TABLE DES MATIERES Notes préliminaires... 3 I] Qu est ce que le DNS?... 4 a)

Plus en détail

Introduction aux Systèmes Distribués. Introduction générale

Introduction aux Systèmes Distribués. Introduction générale Introduction aux Systèmes Distribués Licence Informatique 3 ème année Introduction générale Eric Cariou Université de Pau et des Pays de l'adour Département Informatique Eric.Cariou@univ-pau.fr 1 Plan

Plus en détail

Résolution de noms. Résolution de noms

Résolution de noms. Résolution de noms cb (Z:\Polys\Internet de base\12.dns.fm- 29 mars 2011 14:58) PLAN Introduction Noms des domaines de noms Principe de la résolution de noms Conclusion Bibliographie A. Fenyo, F. LeGuern, S. Tardieu, Se

Plus en détail

Télécommunications. IPv4. IPv4 classes. IPv4 réseau locaux. IV - IPv4&6, ARP, DHCP, DNS

Télécommunications. IPv4. IPv4 classes. IPv4 réseau locaux. IV - IPv4&6, ARP, DHCP, DNS Télécommunications IV - &6, ARP, DHCP, 1 32 bits => 2 32 adresses => 4'294'967'296 C'était largement suffisant dans les années 80 (Internet n'était constitué que de plusieurs centaines de noeuds) Clairement

Plus en détail

Chapitre 2: Configuration de la résolution de nom

Chapitre 2: Configuration de la résolution de nom Cours: Administration et sécurité des systèmes et des réseaux Chapitre 2: Configuration de la résolution de nom Omar Cheikhrouhou http://people.coins-lab.org/ocheikhrouhou/ AU: 2013-2014 Omar Cheikhrouhou-ISIMA

Plus en détail

Ce TP consiste à installer, configurer et tester un serveur DNS sous Linux. Serveur open source : bind9 Distribution : Mandriva

Ce TP consiste à installer, configurer et tester un serveur DNS sous Linux. Serveur open source : bind9 Distribution : Mandriva DNS (DOMAIN NAME SERVER) INSTALLATION ET CONFIGURATION Ce TP consiste à installer, configurer et tester un serveur DNS sous Linux. Serveur open source : bind9 Distribution : Mandriva Objectifs : L objectif

Plus en détail

Il est possible d associer ces noms aux langages numérique grâce à un système nommé DNS(Domain Name System)

Il est possible d associer ces noms aux langages numérique grâce à un système nommé DNS(Domain Name System) DNSsousLinux(debian) Introduction Tout ordinateur possède une adresse IP qui lui est propre. Exemple: 192.168.3.33 Cependant, les utilisateurs ne peuvent travailler avec des adresses numériques aussi longue

Plus en détail

titre : CENTOS_BIND_install&config Système : CentOS 5.7 Technologie : Bind 9.3 Auteur : Charles-Alban BENEZECH

titre : CENTOS_BIND_install&config Système : CentOS 5.7 Technologie : Bind 9.3 Auteur : Charles-Alban BENEZECH 2012 Les tutos à toto BIND server-install and configure Réalisée sur CentOS 5.7 Ecrit par Charles-Alban BENEZECH 2012 titre : CENTOS_BIND_install&config Système : CentOS 5.7 Technologie : Bind 9.3 Auteur

Plus en détail

TLS C.1 CRYPTAGE SYMÉTRIQUE. Objectif

TLS C.1 CRYPTAGE SYMÉTRIQUE. Objectif C TLS Objectif Cette annexe présente les notions de cryptage asymétrique, de certificats et de signatures électroniques, et décrit brièvement les protocoles SSL (Secure Sockets Layer) et TLS (Transport

Plus en détail