DNSSEC. Que signifie DNSSEC? Pourquoi a-t-on besoin de DNSSEC? Pour la sécurité sur Internet



Documents pareils
DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS

TD n o 8 - Domain Name System (DNS)

Protection des protocoles

Domain Name System Extensions Sécurité

EMV, S.E.T et 3D Secure

Gilles GUETTE IRISA Campus de Beaulieu, Rennes Cedex, France

Sécuriser le routage sur Internet

Gérer son DNS. Matthieu Herrb. tetaneutral.net. Atelier Tetaneutral.net, 10 février

Administration de Parc Informatique TP03 : Résolution de noms

Les risques liés à la signature numérique. Pascal Seeger Expert en cybercriminalité

(Third-Man Attack) PASCAL BONHEUR PASCAL 4/07/2001. Introduction. 1 Domain Name Server. 2 Commandes DNS. 3 Hacking des serveurs DNS

Cours 14. Crypto. 2004, Marc-André Léger

Signature électronique. Romain Kolb 31/10/2008

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Gestion des Clés Publiques (PKI)

UBS Commercial Cards Online Portal Manuel d utilisation

GENERALITES. COURS TCP/IP Niveau 1

Guide d installation. Routeur Zyxel VMG1312

Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS

Cours CCNA 1. Exercices

L identité numérique. Risques, protection

Windows 2000 Server Active Directory

Programmation Réseau. ! UFR Informatique ! Jean-Baptiste.Yunes@univ-paris-diderot.fr

Sécurité des réseaux Les attaques

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

Fiche Technique. Cisco Security Agent

Installation d un serveur virtuel : DSL_G624M

SECURIDAY 2013 Cyber War

CA SIC Directives de certification Certificate Practice Statement (CPS) du SIC Customer ID CA 1024 Level 2

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

DNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet

Du 03 au 07 Février 2014 Tunis (Tunisie)

Les conseils & les astuces de RSA Pour être tranquille sur Internet

Le concept FAH (ou ASP en anglais)

PHISHING/PHARMING. Les Nouvelles Techniques qui portent atteinte à l intégrité des S.I

EXPOSE. La SuisseID, qu est ce que c est? Secrétariat d Etat à l Economie SECO Pierre Hemmer, Chef du développement egovernment

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

Administration Système & Réseau. Domain Name System Historique & Concepts Fonctionnalités & Hiérarchie Requêtes & Base de donnée DNS

Guide de connexion à. RENAULT SA et PSA PEUGEOT CITROËN. via ENX

Coupez la ligne des courriels hameçons

INSTALLATION D UN SERVEUR DNS SI5

Sécurité WebSphere MQ V 5.3

Il est recommandé de fermer les serveurs DNS récursifs ouverts

DNSSEC Pourquoi et détails du protocole

Votre présentation sur

Présenté par : Mlle A.DIB

Service de certificat

Etat des lieux sur la sécurité de la VoIP

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Étude de l application DNS (Domain Name System)

FORMATION PROFESSIONNELLE AU HACKING

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Public Key Infrastructure (PKI)

Gestion électronique de documents

Catalogue «Intégration de solutions»

Exemple d application: l annuaire DNS Claude Chaudet

Informatique. Les réponses doivent être données en cochant les cases sur la dernière feuille du sujet, intitulée feuille de réponse

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte thawte thawte thawte thawte

UNE ADRESSE SUR INTERNET

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

Guide d'initiation aux. certificats SSL. Faire le bon choix parmi les options qui s'offrent à vous en matière de sécurité en ligne. Document technique

Réseaux. DNS (Domaine Name System) Master Miage 1 Université de Nice - Sophia Antipolis. (second semestre )

1. Présentation de WPA et 802.1X

Configurer et sécuriser son réseau sans fil domestique

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

«ASSISTANT SECURITE RESEAU ET HELP DESK»

Résolution de noms. Résolution de noms

Le protocole sécurisé SSL

Bases de données et interfaces Génie logiciel

Groupe Eyrolles, 2004 ISBN :

Réaliser des achats en ligne

Devoir Surveillé de Sécurité des Réseaux

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Fonctionnement d Internet

Manuel d utilisation du logiciel de messagerie personnelle Palm VersaMail 2.5

Nettoyer l'historique et le cache DNS de votre navigateur

Proxy et reverse proxy. Serveurs mandataires et relais inverses

L3 informatique Réseaux : Configuration d une interface réseau

GUIDE D UTILISATION ADSL ASSISTANCE

Systèmes de tickets avec RT

Politique d utilisation par AC. Certification et protocoles. Contenu d un certificat (X.509)

Kerberos en environnement ISP UNIX/Win2K/Cisco

Les Ateliers Info Tonic

Guide utilisateur pour le déblocage de cartes et/ou la modification d un code PIN

Conditions particulières «hébergement mutualisé» ONLINE applicables au 15/09/2010 Page 1 / 5

Il est possible d associer ces noms aux langages numérique grâce à un système nommé DNS(Domain Name System)

Sécurité de l'information

Sécurité des réseaux sans fil

En 2010, on compte environ 1,65 milliard d utilisateurs d internet, Introduction

OVAL-E LE SYSTÈME D INFORMATION CENTRAL DE LA FFR. Organisation Support - Assistance Juillet 2014

M-Budget Mobile Internet. M-Budget Mobile Connection Manager pour Mac OS

Mesures DNS à l ère du Big Data : outils et défis. JCSA, 9 juillet 2015 Vincent Levigneron, Afnic

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé

Les fonctions de hachage, un domaine à la mode

Proxies,, Caches & CDNs

Les certificats numériques

Le protocole RADIUS Remote Authentication Dial-In User Service

Transcription:

DNSSEC Pour la sécurité sur Internet Que signifie DNSSEC? DNSSEC est une extension du système de noms de domaine (DNS) servant à garantir l authenticité et l intégrité des données de réponses DNS. Par des mesures techniques, l ordinateur demandeur (par exemple navigateur Internet) peut ainsi reconnaître si la réponse sur une adresse Internet au DNS provient effectivement du serveur enregistré chez nous comme compétent. En même temps, il est garanti que cette réponse n a pas été e pendant le transport sur Internet. Plus simplement: DNSSEC est une sorte d assurance garantissant à l usager d Internet que seul est affiché le site Web qu il souhaite appeler. Ceci est garanti par des signatures cryptographiques. Les informations ne sont pas codées sur DNSSEC. Toutes les données restent publiquement accessibles comme pour le DNS existant. Pourquoi a-t-on besoin de DNSSEC? Le lecteur attentif a certainement remarqué qu une technologie destinée à garantir à l usager le site Web «correct» est déjà intégrée au navigateur Internet. De tels sites sont généralement codés par SSL (Secure Sockets Layer) et marqués au navigateur d un symbole de clé. 1

DNSSEC n a pas été développé pour remplacer le codage SSL. Au contraire, il doit compléter SSL et empêcher que l on arrive au mauvais serveur avant même que la liaison par SSL ait été assurée. Comment le DNS (Domain Name System) fonctionne-t-il? Internet, tel que nous le connaissons actuellement, est basé sur le système mondial de noms de domaine. Nous aimerions en expliquer rapidement le fonctionnement. On peut se représenter le DNS comme une sorte d annuaire téléphonique réparti sur le monde affectant les noms de domaine univoques au niveau mondial (www.switch. ch) aux adresses Internet elles aussi mondialement univoques (130.59.138.34). Les adresses Internet ou noms de domaine servent uniquement à simplifier l écriture. Afin que toutes les demandes n aboutissent pas à un seul serveur, le DNS est de structure hiérarchique. L espace de nom est partagé en se qu on appelle des zones. Pour www., cela serait selon le plus haut niveau hiérarchique (Root) les serveurs pour la Suisse («ch») puis les serveurs de SWITCH (). Les compétences des zones sont partagées (déléguées) dans la. Lorsque vous voulez appeler avec votre ordinateur le site www., le serveur de noms de votre fournisseur d accès Internet interrogera l un après l autre tous les niveaux de la. Chaque niveau ne connaissant pas la réponse sur l adresse cible renverra au niveau immédiatement inférieur. Le serveur le plus bas de la pourra finalement donner la réponse à l adresse. Le Domain Name System (DNS) est de structure hiérarchique. Les serveurs de noms pour transmettent les demandes de noms de domaine se terminant par (par ex. ) automatiquement à l adresse correcte..com.org nic iana.org A quoi sert DNSSEC? Imaginez que quelqu un parvienne à modifier des inscriptions à l annuaire téléphonique. Vous chercher le numéro du Help Desk SWITCH et trouvez un faux numéro. Auriez-vous la possibilité de détecter l abus? Certainement pas. Sur Internet, un tel scénario est possible si un attaquant modifie la des sites ci-dessus. S il parvenait par exemple à introduire des données erronées au serveur de votre fournisseur (cache poisoning), en appelant www., vous tomberiez sur un autre site Web. Mieux vaut ne pas songer à ce qui pourrait se passer si le site nic falsifié était celui de votre banque. Ou si vous envoyiez la dernière stratégie de votre société au serveur mail d un partenaire. Etant donné qu Internet est utilisé actuellement à toutes les fins possibles et imaginables, de telles attaques de pirates peuvent avoir de graves conséquences. DNSSEC offre une protection de base de telles attaques et non seulement à l appel de sites. www.? www.? 2

Le «Cache-Poisoning» permet de modifier la. nic DNSSEC en détail nic DNSSEC ne peut pas protéger d une manière générale des attaques de Phishing mais offre une protection efficace contre les attaques au DNS. Ceci est important car la plupart des attaques de Phishing peuvent être décelées et empêchées par des usagers vigilants d Internet. Cependant, les attaques au DNS ne sont guère décelables même par des experts. www.? www.? Comme déjà mentionné, DNSSEC est basé sur les signatures cryptographiques permettant de signer les inscriptions DNS actuelles. www.? www.? Toute personne compétente ayant autorité pour un nom de domaine sur Internet peut protéger ses informations par DNSSEC. Toutes les informations pour lesquelles un fournisseur de services est compétent UTILISATEUR sont signées de son code privé et les signatures sont inscrites au DNS (RRSIG Record). code root public code public code public ch.ds hash() ch.rrsig DS... signé avec code privé root. DS hash(). RRSIG DS... signé avec code privé www. A 130.59.138.34 www. RRSIG A signé avec code privé 3

nic Un exemple avec DNSSEC: nic iana.org Le serveur de noms de votre fournisseur Internet suit à nouveau la connue pour résoudre une question. Cette fois-ci, il peut cependant vérifier, sur la base des signatures reçues, si l origine des réponses est juste et si une réponse a été e en route. Il ne répondra qu une fois que toutes les informations seront correctes. Avec DNSSEC, le serveur de noms de votre fournisseur d accès Internet peut identifier une e par «Cache-Poisoning». www.? www.? nic www.? nic www.? UTILISATEUR Mais comment toutes ces signatures peuvent-elles être vérifiées? www.? Pour établir des signatures numériques, il est généré une paire de codes. Une telle code root public paire de codes se compose d un code privé et d un code public (système cryptographique asymétrique). Comme le nom le dit, la partie privée est secrète et reste chez le code public propriétaire. La partie publique est publiée au DNS ( Record). Le code code public public permet de vérifier et de valider une signature qui a été donnée avec le code privé. nic www.? www.? www.? On doit donc ch.ds faire hash() confiance à un code. public DS hash() avant de pouvoir vérifier une signature. Etant ch.rrsig donné DS... qu il n est pas possible. de RRSIG faire DS... confiance à tous les codes www. sur RRSIG Internet, il est utilisé signé avec une code privé root des codes signé avec analogue code privé à la UTILISATEUR DNS («chain of A trust»). Cela paraît un peu embrouillé à première vue mais sert uniquement à pouvoir vérifier toutes les signatures avec un seul code public. www. A 130.59.138.34 signé avec code privé Dans une «Chain of trust», l instance supérieure garantit (par ex. un serveur de noms pour ) l authenticité des données de l instance inférieure. code root public code public code public ch.ds hash() ch.rrsig DS... signé avec code privé root. DS hash(). RRSIG DS... signé avec code privé www. A 130.59.138.34 www. RRSIG A signé avec code privé 4

«Chain of trust» en détail Une image du code public est toujours communiquée au niveau suivant de la. L instance supérieure inscrit cette image à sa zone (DS Record) et garantit l authenticité par signature. Le code public de cette instance est à son tour communiqué à l instance immédiatement supérieure. DNSSEC DFIE 9.2009 De quoi ai-je besoin pour utiliser DNSSEC? En tant qu usager d Internet, on n a rien à entreprendre. Si votre fournisseur ADSL ou de modem à câble supporte DNSSEC, toutes les signatures sont vérifiées sur ses serveurs DNS. En tant que détenteur d un nom de domaine, votre gestionnaire compétent de site doit installer DNSSEC pour vous. Etant donné que DNSSEC ne sera pas encore très répandu dans un premier temps, il est probable que seuls des gestionnaires de sites devant être protégés (banques par exemple) protégeront leurs noms de domaine avec DNSSEC. SWITCH Werdstrasse 2 Case postale CH-8021 Zurich Téléphone + 41 848 844 080 Fax + 41 848 844 081 helpdesk@nic www.nic/fr/dnssec 5

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back