Master d'informatique e-secure

Documents pareils

Tutoriel DNSSEC. Stéphane Bortzmeyer, AFNIC. Présenté par : JRES Nantes, 4 décembre {Stephane.Bortzmeyer,Mohsen.Souissi}@afnic.

Sécurisation du DNS : Les extensions DNSsec

Domain Name System Extensions Sécurité

Gilles GUETTE IRISA Campus de Beaulieu, Rennes Cedex, France

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS

Gérer son DNS. Matthieu Herrb. tetaneutral.net. Atelier Tetaneutral.net, 10 février

(Third-Man Attack) PASCAL BONHEUR PASCAL 4/07/2001. Introduction. 1 Domain Name Server. 2 Commandes DNS. 3 Hacking des serveurs DNS

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

Domain Name System. F. Nolot

Administration Système & Réseau. Domain Name System Historique & Concepts Fonctionnalités & Hiérarchie Requêtes & Base de donnée DNS

Cryptographie. Master de cryptographie Architectures PKI. 23 mars Université Rennes 1

Domain Name Service (DNS)

DNSSEC. Que signifie DNSSEC? Pourquoi a-t-on besoin de DNSSEC? Pour la sécurité sur Internet

INSTALLATION D UN SERVEUR DNS SI5

B1-4 Administration de réseaux

Domain Name System : Attaques et sécurisation

Sur un ordinateur exécutant Windows 2000 Server Ayant une adresse IP statique

Cours admin 200x serveur : DNS et Netbios

Master d'informatique 1ère année Réseaux et protocoles

Protocoles cryptographiques

DNS : Domaine Name System

DNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet

DNSSEC Pourquoi et détails du protocole

Domaine Name Service ( DNS )

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC

Le protocole SSH (Secure Shell)

Domain Name Service (DNS)

Sécurité des réseaux sans fil

Ce TP consiste à installer, configurer et tester un serveur DNS sous Linux. Serveur open source : bind9 Distribution : Mandriva

DNS. Olivier Aubert 1/27

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Service de noms des domaines (Domain Name System) Cours administration des services réseaux M.BOUABID,

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

Installation Serveur DNS Bind9 Ubuntu LTS

LOSLIER Mathieu. Filière Informatique et Réseau 1 ère année. TP DNS. Responsable : LOHIER Stephane. Chargé de TD : QUIDELLEUR Aurélie

Les principes de la sécurité

Complémentarité de DNSsec et d IPsec

L annuaire et le Service DNS

Sécurisation et résilience des services DNS/DHCP Gestion de l adressage IP automatisée

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Domain Name System ot ol F. N 1

Authentifications à W4 Engine en.net (SSO)

Domain Name System. AFNIC (12/12/07) DNS - 1

DNS et Mail. LDN 15 octobre DNS et Mail. Benjamin Bayart, Fédération FDN. DNS - fichier de zone. DNS - configuration

Introduction au DNS. Les noms de domaine s'écrivent de la gauche vers la droite, en remontant vers la racine et sont séparés par un "." (point).

Introduction à la sécurité Cours 8 Infrastructure de clés publiques. Catalin Dima

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

DOMAIN NAME SYSTEM. CAILLET Mélanie. Tutoriel sur le DNS. Session Option SISR

Master d'informatique. Réseaux. Supervision réseaux

SSH, le shell sécurisé

Sécurité des réseaux IPSec

Cours 14. Crypto. 2004, Marc-André Léger

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Réseaux IUP2 / 2005 DNS Système de Noms de Domaine

Protocoles d authentification

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

COTISATIONS VSNET 2015

Réseaux Privés Virtuels

L identité numérique. Risques, protection

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

1. Présentation de WPA et 802.1X

Serveurs de noms Protocoles HTTP et FTP

EMV, S.E.T et 3D Secure

Service d'authentification LDAP et SSO avec CAS

État Réalisé En cours Planifié

GESTION DU RENOUVELLEMENT DES CLEFS POUR DNSSEC

Mise en place Active Directory / DHCP / DNS

Concilier mobilité et sécurité pour les postes nomades

FOIRE AUX QUESTIONS PAIEMENT PAR INTERNET. Nom de fichier : Monetico_Paiement_Foire_aux_Questions_v1.7 Numéro de version : 1.7 Date :

Résolution de noms. Résolution de noms

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé

Administration réseau Résolution de noms et attribution d adresses IP

Guide Share France. Web Single Sign On. Panorama des solutions SSO

Guide de candidature. Module 5

FORMATION PROFESSIONNELLE AU HACKING

Richard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises. La banque en ligne et le protocole TLS : exemple

Le service de nom : DNS

Description de la maquette fonctionnelle. Nombre de pages :

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»

- FICHE DE PROCEDURE - Configurer un serveur DNS avec Bind9 sur Debian

DNS ( DOMAIN NAME SYSTEM)

Fiche de l'awt La sécurité informatique

CREER UN ENREGISTREMENT DANS LA ZONE DNS DU DOMAINE

Devoir Surveillé de Sécurité des Réseaux

Gestion des Clés Publiques (PKI)

Le rôle Serveur NPS et Protection d accès réseau

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

BIND : installer un serveur DNS

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

M Architecture des réseaux

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

Bibliographie. Gestion des risques

SESSION 2014 ÉPREUVE À OPTION. (durée : 4 heures coefficient : 6 note éliminatoire 4 sur 20)

Transcription:

Master d'informatique e-secure Réseaux DNSSEC Bureau S3-354 Mailto:Jean.Saquet@unicaen.fr http://saquet.users.greyc.fr/m2

DNS : rappel du principe Base de données répartie et hiérarchique Contient les associations entre noms de domaine et informations telles que adresses IP, serveurs de courrier, de nom, Informations contenues dans les RRs, eux même situés dans des fichiers de zone ou reverse. Protocole pour l'interrogation des serveurs, et pour l'échange d'information entre serveurs. 17/12/12 M2 e-secure Réseaux - DNS Page 2

DNS : vulnérabilités Le DNS est essentiel au fonctionnement de l'internet : - pbs en cas de dénis de service - besoin de disponibilité permanente - problème d'authenticité et d'intégrité des données Risque de falsification des données au niveau des fichiers (cas de mise à jour dynamique) ou lors de la transmission entre serveurs, ou entre client et serveur. 17/12/12 M2 e-secure Réseaux - DNS Page 3

DNS : but des attaques - Blocage du service - Redirection des utilisateurs, en vue d'attaques plus graves - Récupération d'informations confidentielles (ex. : courrier) -... 17/12/12 M2 e-secure Réseaux - DNS Page 4

DNSSEC : principes But : sécuriser les données Besoin : essentiellement signature (données publiques) Moyens : outils cryptographiques, clés d'authentification (symétriques ou non), avec architecture de distribution de clés 17/12/12 M2 e-secure Réseaux - DNS Page 5

DNS : besoins spécifiques Sécurité du transfert de zones (entre serveur primaire et secondaires) Mises à jour dynamiques Lien entre client et serveur le plus proche Tout ceci peut se faire en dehors de DNSSEC, Des solutions ont été proposées. 17/12/12 M2 e-secure Réseaux - DNS Page 6

Transaction SIGnature Technique proposée pour la liaison maître / secondaire : Clé secrète partagée, générée par le maître, transmise aux secondaires «manuellement» Assure authenticité et intégrité des échanges Protection contre le rejeu possible par utilisation d'un datage. 17/12/12 M2 e-secure Réseaux - DNS Page 7

Utilisation d'ipsec? On pourrait établir des associations de sécurité entre serveur maître et esclaves, entre serveur et client pouvant mettre à jour dynamiquement. Mais il faut une association par paire, peu pratique, lourd à gérer. 17/12/12 M2 e-secure Réseaux - DNS Page 8

DNSSEC Version 1 : 1999 DNSSEC bis : 2005 NSEC3 : mars 2008 Implémenté dans Bind et autres logiciels. 17/12/12 M2 e-secure Réseaux - DNS Page 9

Extensions DNSSEC Besoins : - Signer les données envoyées - Prouver la non-existence d'une donnée - Vérifier authenticité et intégrité des données Doit régler aussi le pb de la distribution de clés. 17/12/12 M2 e-secure Réseaux - DNS Page 10

DNSSEC côté serveur Chaque zone génère une ou des paires de clés. Ces clés sont associées à la zone, pas au serveur La clef privée signe les infos sur lequel le serveur a autorité. Tout ceci doit rester compatible avec le DNS d'origine. 17/12/12 M2 e-secure Réseaux - DNS Page 11

DNSSEC nouveaux RRs DNSKEY stocke la clef publique RRSIG stocke la signature d'une donnée signée par la clef privée correspondant à DNSKEY Ces données sont lisibles. Bien entendu, la clef secrète n'est pas dans la base lisible La syntaxe est conforme à celle des autres RRs, la partie donnée étant spécifique pour chaque RR. 17/12/12 M2 e-secure Réseaux - DNS Page 12

DNSSEC réponses négatives Problème : signer l'absence de réponse Une «non-réponse» n'est pas basée sur un RR, donc on ne peut pas signer ce dernier! Principe de la solution : les enregistrements NSEC relatifs aux données du domaine sont organisés en liste chaînée circulaire, basée sur les noms des ressources. Si une donnée n'existe pas, le serveur renvoie un RR signé avec des infos existantes, celles qui encadrent au sens ordre ASCII) l'enregistrement inexistant. 17/12/12 M2 e-secure Réseaux - DNS Page 13

DNSSEC pb de «walk» La gestion des non réponses peut provoquer la possibilité de récupérer tous les RRs de la zone. (parcours de zone ou DNS walking) NSEC3 résout le problème en chaînant sur les hachages des noms au lieu des noms. 17/12/12 M2 e-secure Réseaux - DNS Page 14

DNSSEC côté client La connaissance de la clé publique permet de vérifier les signatures. Reste, comme toujours, à faire confiance à cette clé publique Une «clé de confiance» doit être configurée statiquement, permettant d'établir un point de départ d'une chaîne de confiance. 17/12/12 M2 e-secure Réseaux - DNS Page 15

DNSSEC chaînes de confiance Délégation sécurisée : la zone parente authentifie la clé publique de la zone fille. Une chaîne de confiance est un chemin connexe dans l'arbre des délégations DNS, où chaque passage d'une zone parente à une zone fille est une délégation sécurisée. Un record DS permet de signer et authentifier la clé d'une zone fille. Une absence authentifiée de DS indique qu'une telle délégation sécurisée n'existe pas. 17/12/12 M2 e-secure Réseaux - DNS Page 16

DNSSEC but, état Une zone peut ainsi être non sécurisée, localement sécurisée (signature locale mais la délégation depuis la zone parente n'est pas sécurisée), ou sécurisée globalement depuis une zone de confiance. L'arbre DNS est constitué d'ilôts sécurisés et d'autres non. Le but de DNSSEC serait de sécuriser l'ensemble 17/12/12 M2 e-secure Réseaux - DNS Page 17

DNSSEC DLV Dnssec Lookaside Validation sépare la racine du DNS de celle de validation. Le résolveur DLV demande à une racine DLV de valider la chaîne. Un domaine signé, ou au moins le début d'un chemin de confiance vers ce domaine, sera signalé dans un record DLV sur cette racine. Exemple : registre DLV chez ISC (Internet Systems Consortium). Pas utile si la racine est signée. 17/12/12 M2 e-secure Réseaux - DNS Page 18

DNSSEC durée de vie des clés Des clés courtes doivent être renouvelées de temps en temps, ce qui peut être lourd pour les relations de délégation sécurisée. En pratique, on utilise des clés courtes pour signer les enregistrements d'une zone, et on la renouvelle fréquemment, mais on utilise des clés longues pour les maillons de confiance. 17/12/12 M2 e-secure Réseaux - DNS Page 19

DNSSEC problèmes Réponses plus longues (plus qu'un DG) Lourdeur de mise en place Nécessite des ressources complémentaires Mais : BIND adapté, racine et de nombreux TLD signés. 17/12/12 M2 e-secure Réseaux - DNS Page 20