SlideShare uma empresa Scribd logo

DNSSEC : les extensions de sécurité du DNS

Afnic
Afnic

La sécurité de tout système dépend à la fois de la sécurisation de ses différentes composantes et des interactions entre celles-ci. Ce constat est aussi valable pour le DNS (Domain Name System), maillon clé du fonctionnement de l’Internet, car la quasi-totalité des services en ligne utilise des noms de domaine à un moment ou à un autre.

Tecnologia
1 de 8
Baixar para ler offline
DNSSEC - les extensions de sécurité du DNS 1/8 Reproduction des contenus rédactionnels autorisée sous réserve de mentionner la source : www.afnic.fr Copyright AFNIC 2010 DNSSEC les extensions de sécurité du DNS Enjeux de DNSSEC Lasécuritédetoutsystèmedépendàlafoisdelasécurisation de ses différentes composantes et des interactions entre celles-ci. Ce constat est aussi valable pour le DNS (Domain Name System), maillon clé du fonctionnement de l’Internet, car la quasi-totalité des services en ligne utilise des noms de domaine à un moment ou à un autre. Cependant, le DNS a été mis au point dans les années 80, dans un environnement où sa capacité à répondre aux besoins de performance et de résilience primait sur sa sécurisation. Avec le temps, et notamment depuis 2008, avec la révélation de la « Faille Kaminsky », la nécessité de mieux sécuriser le DNS est devenue une priorité pour tous ses acteurs. S’il ne saurait répondre à l’ensemble des attaques possibles contre le DNS, le protocole DNSSEC permet d’apporter une protection durable – et demain, indispensable – contre les agressions dites « par empoisonnement de cache » visant à substituer de fausses informations aux vraies dans le processus de résolution des noms de domaine. L’attaquant peut ainsi espérer leurrer des utilisateurs et les détourner vers son site à leur insu. Or la capacité croissante des machines et du réseau en termes de débit rend désormais possible des attaques qui, jusqu’à présent, n’étaient que théoriques, compte tenu de leur faible probabilité de succès. Le présent dossier thématique s’inscrit dans la continuité de celui que l’AFNIC a déjà consacré à la sécurité du DNS 1 , en explorant plus précisément les tenants et les aboutissants de DNSSEC. Il a pour objectif d’apporter des éléments de compréhension de ses enjeux et de son fonctionnement, afin de permettre au lecteur de mieux s’approprier cette évolution qui va modifier la physionomie du DNS dans les années à venir. 1 - Organisation et fonctionnement du DNS 2 - Les attaques par empoisonnement de cache 3 - Qu’est-ce que DNSSEC ? 4 - Ce que n’est pas DNSSEC 5 - Utilisation des clés dans DNSSEC 6 - Le déploiement de DNSSEC 7 - Quelques questions à se poser au regard de la mise en place de DNSSEC 8 - Pour aller plus loin 9 - Glossaire 1 www.afnic.fr/data/divers/public/afnic-dossier-dns-attaques-securite-2009-06.pdf Introduction Les dossiers thématiques de l’AFNIC
2/8 Reproduction des contenus rédactionnels autorisée sous réserve de mentionner la source : www.afnic.fr DNSSEC - les extensions de sécurité du DNS Copyright AFNIC 2010 RésolveurUtilisateur . fr wikipedia.fr www.wikipedia.fr ? www.wikipedia.fr ? www.wikipedia.fr ? www.wikipedia.fr ? 74.125.39.99 74.125.39.99 serveur wikipedia.fr serveur fr 1 2 3 La résolution DNS 1 Organisation et fonctionnement du DNS 2 Les attaques par empoisonnement de cache Le DNS est organisé sous la forme d’une arborescence inversée, avec une « racine » dont dépendent les différentes « branches ». Au premier niveau de l’arborescence se trouvent les « Top Level Domains » ou domaines de premier niveau, comme les .fr, .com etc. Au second niveau, nous avons les noms de domaine « classiques » comme « afnic.fr ». Dans l’exemple ci-dessus, l’utilisateur veut se connecter au site http://www.wikipedia.fr. Il envoie sa requête via son navigateur. Celle-ci est reçue par un serveur dit « résolveur » qui a pour première mission d’identifier la machine sur laquelle est installé le nom de domaine wikipedia.fr. Le résolveur s’adresse d’abord à la « racine » du DNS, qui lui indique quelles sont les serveurs « faisant autorité » (c’est-à-dire compétents) pour .fr puisque le nom de domaine est en .fr. Dans un second temps, les serveurs du .fr indiquent à leur tour au résolveur que le nom de domaine wikipedia.fr est hébergé sur tel serveur. Celui-ci est alors en mesure d’indiquer au navigateur l’adresse IP du serveur web hébergeant les contenus du site web www.wikipedia.fr. Ce schéma est vrai quel que soit le site web auquel on souhaite accéder, et quelle que soit l’adresse électronique à laquelle on souhaite écrire. Fonctionnant comme une base de données distribuée sur des millions de machines, le DNS repose sur des interactions entre ces machines permettant d’identifier celle qui est la plus susceptible de pouvoir répondre à la requête d’un internaute. Le dossier thématique de l’AFNIC consacré à la sécurité du DNS dresse un panorama des grands types d’attaques possibles, depuis les attaques ne visant pas directement le DNS (cybersquatting, vol de noms de domaine…) jusqu’à celles qui se concentrent sur lui, telles les attaques par déni de services ou empoisonnement de cache. DNSSEC répond spécifiquement aux attaques par empoisonnement de cache visant à intoxiquer le « résolveur » pour qu’il considère que le serveur « pirate » est légitime, en lieu et place du serveur originel. Cette opération permet notamment de capter et de détourner les requêtes vers un autre site web sans que les utilisateurs puissent s’en rendre compte, avec à la clé le risque de les voir confier des données personnelles en se croyant sur le site légitime de la victime de l’attaque.
3/8 Reproduction des contenus rédactionnels autorisée sous réserve de mentionner la source : www.afnic.fr DNSSEC - les extensions de sécurité du DNS Copyright AFNIC 2010 Les attaques par empoisonnement de cache 3 Qu’est-ce que DNSSEC ? 4 Ce que n’est pas DNSSEC Ces extensions utilisent les mécanismes de la signature cryptographique asymétrique pour authentifier les enregistrements. Les signatures et les clés publiques se présentent sous la forme de nouveaux enregistrements complémentaires et permettent d’assurer l’authentification. Ces nouveaux enregistrements engendrent une augmentation de la taille des messages et du nombre d’échanges pour vérifier les signatures et les clés. DNSSEC nécessite donc plus de ressources machines, ainsi que des versions récentes et à jour de logiciels DNS. Le protocole a naturellement été conçu pour pouvoir fonctionner sans problème dans un environnement qui, au départ tout au moins, ne sera pas entièrement composé de résolveurs DNSSEC validants. Dans le cas où un résolveur non DNSSEC validant interroge des serveurs DNSSEC, ceux-ci renvoient simplement les informations habituellement échangées sans les signatures ni les enregistrements propres à DNSSEC. Il n’a, par exemple, pas vocation à crypter les enregistrements DNS, ni à assurer la confidentialité des échanges sur le réseau, ni à garantir la sécurité d’une transaction comme le font les certificats SSL. Il ne protège pas contre le phishing ou le vol de noms de domaine, contre les virus et autres techniques d’infection des postes informatiques, ou encore contre les attaques visant les sites web eux- mêmes (injections SQL…). Le bon fonctionnement du DNS dépend donc étroitement de la fiabilité des données transmises à chaque étape. Les extensions de sécurité du DNS cherchent à répondre à cette contrainte en assurant l’intégrité des données transitant sur le réseau, notamment entre résolveurs et serveurs faisant autorité. DNSSEC est l’acronyme de Domain Name System Security Extensions, il désigne un ensemble défini d’extensions de sécurité du protocole DNS. Bien qu’étant à juste titre présenté comme une évolution nécessaire en termes de sécurisation du DNS, DNSSEC ne prétend aucunement répondre à tous les types d’attaques pouvant survenir. Pirate Serveur DNS A Serveur DNS B RequêtesD N S Requêtes transmises Bonne Réponse Réponses erronées
4/8 Reproduction des contenus rédactionnels autorisée sous réserve de mentionner la source : www.afnic.fr DNSSEC - les extensions de sécurité du DNS Copyright AFNIC 2010 privée publique Information DNS Message DNS Signature numérique wikipedia.fr Réside à l’adresse ... wikipedia.fr Réside à l’adresse ... wikipedia.fr Réside à l’adresse ...AwEAAdzt V8QQzRLg Hko0P9nI ... AwEAAdzt V8QQzRLg Hko0P9nI ... clé privée clé publique Chiffrement Déchiffrement comparaison Erreur Identique Message authentique Message non authentique Réseau-Réseau-Réseau-Réseau-Réseau-Réseau Logiciel de signature Serveur maître faisant autorité Validation d’une signature par le serveur récursif DNSSEC validant Signature et validation de signature dans le cas du DNS 5 Utilisation des clés dans DNSSEC DNSSEC utilise un mécanisme reposant sur une paire de clés ayant des rôles complémentaires. La première clé, privée, signe par chiffrement alors que la seconde clé, publique, vérifie les signatures par déchiffrement. Un message est chiffré grâce à la clé privée, créant une signature accompagnant le message. Cette signature pourra être authentifiée par les résolveurs DNSSEC validant à l’aide de la clé publique correspondante publiée dans la zone. Afin d’éviter qu’un attaquant n’utilise son propre jeu de clés, les concepteurs de DNSSEC ont prévu que chaque zone parente, située au niveau supérieur de l’arborescence du DNS, garantisse l’authenticité des clés de ses zones filles en les signant, les échanges de clés entre zones parentes et filles se faisant exclusivement par des canaux sécurisés. Ce système permet de créer de véritables chaînes de confiance jusqu’à la racine du DNS. DNSSEC nécessite par ailleurs une bonne gestion de la durée de vie des signatures par rapport à la publication des clés, des signatures expirées pouvant conduire au blocage de la résolution pour la zone concernée. À l’instar des autres enregistrements DNS, les enregistrements DNSSEC ont en effet des durées de vie limitées afin de permettre la résilience du système et d’autoriser des mises à jour en temps utile. Lorsqu’une signature expire, elle est considérée comme invalide et il n’est plus possible de joindre le service. Il est donc nécessaire de resigner régulièrement les enregistrements, en plus des nouvelles signatures produites suite à des créations ou à des modifications d’enregistrements. Le déploiement de DNSSEC induit par conséquent un travail supplémentaire et génère potentiellement de nouveaux risques d’erreurs (mauvaises configurations, expirations de signatures…). Ainsi, si la clé insérée dans la zone parente n’est pas celle qui est utilisée pour signer, la zone fille sera considérée comme invalide et il se produira une erreur de résolution. De plus, chacun des niveaux de sécurité n’a de sens qu’au sein de la chaîne de confiance : ainsi, des enregistrements signés ne peuvent pas être authentifiés tant que la clé de la zone n’a pas été publiée dans la zone parente. À l’inverse, aucune sécurité particulière n’est apportée à l’utilisateur tant que son résolveur n’a pas mis en oeuvre DNSSEC. Enfin, DNSSEC ne protège pas l’intégrité des données qui auraient été modifiées de manière accidentelle ou volontaire en amont de leur publication dans le DNS.
5/8 Reproduction des contenus rédactionnels autorisée sous réserve de mentionner la source : www.afnic.fr DNSSEC - les extensions de sécurité du DNS Copyright AFNIC 2010 6 Le déploiement de DNSSEC Ce n’est pourtant qu’en 2005, après maints travaux au sein de la communauté technique, que le registre de l’extension .se (Suède) fut le premier à signer sa zone. C’est aussi lui qui fut le premier à ouvrir ce service aux titulaires de noms de domaine en 2007. Considéré avec intérêt mais sans caractère d’urgence jusqu’en 2008, DNSSEC devient une priorité forte pour tous les registres d’extensions à partir de l’été 2008, lorsque la Faille Kaminsky révèle à tous de l’ampleur du problème potentiel. Par conséquent, depuis, une quinzaine de registres ont signé leur extension à la mi-2010 et la plupart des autres y travaillent. Le .fr pour sa part a été signé le 14 septembre 2010. S’il passe par les registres, le déploiement de DNSSEC ne s’arrête pas là : les gestionnaires des résolveurs (FAI, bureaux d’enregistrement, entreprises…) doivent à leur tour mettre en place DNSSEC pour que celui-ci fonctionne à plein. Un certain nombre de solutions existent, depuis les solutions de logiciels libres telles qu’Open-dnssec jusqu’aux boîtiers propriétaires, en passant par les bibliothèques de programmation qui simplifient les développements. Bien qu’ayant connu une forte montée en puissance depuis la révélation de la Faille Kaminsky, DNSSEC n’est pas une découverte pour les experts du DNS. L’IETF (Internet Engineering Task Force) a en effet commencé à travailler dès 1995 sur un tel protocole de sécurisation du DNS. FAI Entreprises ... Résolveur simple Applications Services internet Titulaire de nom Internaute Serveur faisant autorité DNSSEC Serveur récursif DNSSEC validant Requêtes et réponses DNS Approvisionnement NS + empreinte KSK La clé qui signe les clés Chaîne de confiance Web Email Voip ... DS DS DS Registre de TLD Bureau d’enregis- trement Hébergeur de zone DNS Racines du DNS Composantes de la chaîne de confiance DNSSEC
6/8 Reproduction des contenus rédactionnels autorisée sous réserve de mentionner la source : www.afnic.fr DNSSEC - les extensions de sécurité du DNS Copyright AFNIC 2010 7 Quelques questions à se poser au regard de la mise en place de DNSSEC La mise en oeuvre de DNSSEC n’est pas seulement une évolution technique majeure pour le DNS : elle induit aussi une adaptation de l’organisation de la gestion des noms de domaine et peut conduire à une nécessaire évolution de celle-ci, notamment du fait de l’émergence de nouveaux aspects comme la gestion des clés. Il convient donc d’anticiper une certaine montée en compétence des équipes techniques – le sujet restant peu connu – mais aussi une évolution des procédures tout en conservant une cohérence globale avec les différents aspects de la politique de sécurité de l’entreprise. Voici une liste de quelques questions à se poser, sans prétendre à l’exhaustivité : Chez qui les zones DNS de l’entreprise sont-elles hébergées ? Quelle est la compétence de ce prestataire dans la gestion de DNSSEC ? Quel niveau de transparence ce prestataire offre-t-il à ses clients en termes de pratiques ? Quels sont les dispositifs de sécurité dont ce prestataire dispose au-delà de DNSSEC ? Ce prestataire offre-t-il des canaux de transactions sécurisés ? Quel mode d’organisation ce prestataire préconise-t-il pour la gestion des clés, au sein de son équipe et en articulation avec celles de l’entreprise ? Y a-t-il une incidence en termes de coûts à la mise en place de DNSSEC ? Si l’entreprise passe par un prestataire pour la signature de ses zones, comment gérer un transfert à un autre prestataire de ses noms de domaine signés ? Le niveau de dépendance induit à l’égard de ce prestataire est-il acceptable, ou de nature à inciter l’entreprise à internaliser cette fonction au moins pour ses noms de domaine les plus stratégiques ? Si oui, quelles sont les ressources et les capacités dont dispose l’entreprise sur ces problématiques et quels moyens seraient-ils nécessaires pour accompagner une éventuelle montée en puissance ? La charge induite par le déploiement de DNSSEC, aussi bien en coûts qu’en termes de mise à niveau des équipes, peut être perçue comme importante en regard des risques qu’il prévient. Bien que potentiellement justifiée à court terme, cette approche ne tient cependant pas compte de l’accroissement du débit des réseaux et des capacités machines, qui fait progresser mécaniquement les chances de succès des attaques par empoisonnement de cache dans le format actuel du fonctionnement du DNS. La mise en oeuvre de DNSSEC doit donc être envisagée comme une nécessité incontournable à moyen terme. La principale problématique dans le déploiement de DNSSEC est de mettre en place un système efficace de gestion des clés. Celles-ci doivent en effet être régulièrement modifiées afin d’éviter leur vol ou leur recalcul, mais aussi protégées par des dispositifs physiques et numériques. Les mises à jour doivent par ailleurs être opérée de manière à prendre en compte les temps de propagation des informations dans le DNS, afin d’éviter que les résolveurs fassent correspondre une nouvelle signature à une ancienne clé ou l’inverse. Ceci impose des périodes de latence entre la déclaration des clés et la signature avec celles-ci. La mise en œuvre de DNSSEC implique donc pour chaque zone de : • Créer des clés. • Signer ses enregistrements. • Publier la zone signée. • Gérer des périodes de validité. • Gérer les publications du résumé de la clé dans la zone parente avec chaque rotation de KSK. • Contrôler la publication d’une nouvelle clé avant de l’utiliser pour signer.
7/8 Reproduction des contenus rédactionnels autorisée sous réserve de mentionner la source : www.afnic.fr DNSSEC - les extensions de sécurité du DNS Copyright AFNIC 2010 8 Pour aller plus loin 9 Glossaire Espace DNSSEC du site de l’AFNIC : www.afnic.fr/dnssec Page DNSSEC de Wikipedia en français : http://fr.wikipedia.org/wiki/DNSSEC DNS : Domain Name System. Service distribué permettant d’enregistrer les ressources de l’Internet (adresse de serveurs, de routeurs, ...) sous la forme d’un nom de domaine. DNSKEY : Enregistrement DNS servant à stocker la partie publique d’une clé. DNSSEC : Domain Name System Security Extensions. Ensemble d’extensions de sécurité du protocole DNS. DS : Delegation Signer. Enregistrement DNS qui correspond à l’empreinte de la partie publique d’une clé. KSK : Key Signing Key. Clé qui signe les clés ZSK. L’empreinte de sa partie publique est publiée dans la zone parente pour créer une chaîne de confiance garantissant son authenticité ainsi que l’authenticité des clés signant la zone. NS : Name Server. Appelé aussi serveur DNS ou serveur de nom. Serveur utilisé pour héberger un nom de domaine. SSL : Secure Sockets Layer. Protocole de sécurisation des échanges sur Internet. SQL : Structured Query Language. Langage informatique normalisé qui sert à demander des opérations sur des bases de données. ZSK : Zone Signing Key. Clé qui signe les enregistrements de la zone. La partie publique de la ZSK permet de vérifier les signatures. web Pour toute information supplémentaire sur les actions de l’AFNIC relatives à DNSSEC : solutions@afnic.fr
DNSSEC - les extensions de sécurité du DNS 8/8 Reproduction des contenus rédactionnels autorisée sous réserve de mentionner la source : www.afnic.fr Copyright AFNIC 2010 Retrouvez tous les dossiers thématiques de l’AFNIC : www.afnic.fr/actu/presse/liens-utiles www.afnic.fr - afnic@afnic.fr web

Recomendados

08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec ssl08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec ssl
Noël
 
Webinar SSL Français
Webinar SSL FrançaisWebinar SSL Français
Webinar SSL Français
SSL247®
 
SSL - Secure Sockets Layer - Présentation
SSL - Secure Sockets Layer - PrésentationSSL - Secure Sockets Layer - Présentation
SSL - Secure Sockets Layer - Présentation
Ikram Benabdelouahab
 
Présentation sécurité open_ssl
Présentation sécurité open_sslPrésentation sécurité open_ssl
Présentation sécurité open_ssl
dihiaselma
 
Les défis les plus fréquents dans l’implémentation de HTTPS
Les défis les plus fréquents dans l’implémentation de HTTPSLes défis les plus fréquents dans l’implémentation de HTTPS
Les défis les plus fréquents dans l’implémentation de HTTPS
Semrush
 
Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Afnic
 
SSL/TSL Protocols
SSL/TSL ProtocolsSSL/TSL Protocols
SSL/TSL Protocols
Haifa Ftirich
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détection
Manassé Achim kpaya
 

Recomendados

08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec ssl08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec ssl
Noël
 
Webinar SSL Français
Webinar SSL FrançaisWebinar SSL Français
Webinar SSL Français
SSL247®
 
SSL - Secure Sockets Layer - Présentation
SSL - Secure Sockets Layer - PrésentationSSL - Secure Sockets Layer - Présentation
SSL - Secure Sockets Layer - Présentation
Ikram Benabdelouahab
 
Présentation sécurité open_ssl
Présentation sécurité open_sslPrésentation sécurité open_ssl
Présentation sécurité open_ssl
dihiaselma
 
Les défis les plus fréquents dans l’implémentation de HTTPS
Les défis les plus fréquents dans l’implémentation de HTTPSLes défis les plus fréquents dans l’implémentation de HTTPS
Les défis les plus fréquents dans l’implémentation de HTTPS
Semrush
 
Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Afnic
 
SSL/TSL Protocols
SSL/TSL ProtocolsSSL/TSL Protocols
SSL/TSL Protocols
Haifa Ftirich
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détection
Manassé Achim kpaya
 
07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns
Noël
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
dihiaselma
 
Domain Name System Security Extensions (aka. DNSSEC pour les intimes)
Domain Name System Security Extensions (aka. DNSSEC pour les intimes)Domain Name System Security Extensions (aka. DNSSEC pour les intimes)
Domain Name System Security Extensions (aka. DNSSEC pour les intimes)
felixaime
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
Charif Khrichfa
 
Https,ssl,ssh
Https,ssl,sshHttps,ssl,ssh
Https,ssl,ssh
Moncef Essid
 
Le protocole tls
Le protocole tlsLe protocole tls
Le protocole tls
Franck TOUNGA
 
Cours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZeroCours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZero
CHILDZ Laurent
 
DNS et bien commun
DNS et bien communDNS et bien commun
DNS et bien commun
AnDaolVras
 
Premiers pas avec snort
Premiers pas avec snortPremiers pas avec snort
Premiers pas avec snort
Fathi Ben Nasr
 
Authentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNAuthentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPN
Ismail Rachdaoui
 
Genma - Vulgarisons le DNS
Genma - Vulgarisons le DNSGenma - Vulgarisons le DNS
Genma - Vulgarisons le DNS
Jérôme aka "Genma" Kun
 
Snort implementation
Snort implementationSnort implementation
Snort implementation
Rokitta Apollonia
 
Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite web
Christophe Villeneuve
 
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...
DICKO Yacouba
 
SSL/TLS : Faille Heartbleed
SSL/TLS : Faille HeartbleedSSL/TLS : Faille Heartbleed
SSL/TLS : Faille Heartbleed
Thomas Moegli
 
05 01 open-vpn
05 01 open-vpn05 01 open-vpn
05 01 open-vpn
Noël
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et client
Manassé Achim kpaya
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPN
Charif Khrichfa
 
DDoS, la nouvelle arme des hackers
DDoS, la nouvelle arme des hackersDDoS, la nouvelle arme des hackers
DDoS, la nouvelle arme des hackers
e-Xpert Solutions SA
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de Pfsense
Ismail Rachdaoui
 
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...
Afnic
 
Identification, nommage et DNS dans l’Internet du futur: "Toile de fond techn...
Identification, nommage et DNS dans l’Internet du futur: "Toile de fond techn...Identification, nommage et DNS dans l’Internet du futur: "Toile de fond techn...
Identification, nommage et DNS dans l’Internet du futur: "Toile de fond techn...
Afnic
 

Mais conteúdo relacionado

Mais procurados

07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns
Noël
 
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...
DICKO Yacouba
 
05 01 open-vpn
05 01 open-vpn05 01 open-vpn
05 01 open-vpn
Noël
 

Mais procurados (20)

07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
 
Domain Name System Security Extensions (aka. DNSSEC pour les intimes)
Domain Name System Security Extensions (aka. DNSSEC pour les intimes)Domain Name System Security Extensions (aka. DNSSEC pour les intimes)
Domain Name System Security Extensions (aka. DNSSEC pour les intimes)
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
 
Https,ssl,ssh
Https,ssl,sshHttps,ssl,ssh
Https,ssl,ssh
 
Le protocole tls
Le protocole tlsLe protocole tls
Le protocole tls
 
Cours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZeroCours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZero
 
DNS et bien commun
DNS et bien communDNS et bien commun
DNS et bien commun
 
Premiers pas avec snort
Premiers pas avec snortPremiers pas avec snort
Premiers pas avec snort
 
Authentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNAuthentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPN
 
Genma - Vulgarisons le DNS
Genma - Vulgarisons le DNSGenma - Vulgarisons le DNS
Genma - Vulgarisons le DNS
 
Snort implementation
Snort implementationSnort implementation
Snort implementation
 
Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite web
 
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...
 
SSL/TLS : Faille Heartbleed
SSL/TLS : Faille HeartbleedSSL/TLS : Faille Heartbleed
SSL/TLS : Faille Heartbleed
 
05 01 open-vpn
05 01 open-vpn05 01 open-vpn
05 01 open-vpn
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et client
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPN
 
DDoS, la nouvelle arme des hackers
DDoS, la nouvelle arme des hackersDDoS, la nouvelle arme des hackers
DDoS, la nouvelle arme des hackers
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de Pfsense
 

Destaque

JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...
Afnic
 
Mailclub proposition dns care-fr - 2014-1
Mailclub proposition dns care-fr - 2014-1Mailclub proposition dns care-fr - 2014-1
Mailclub proposition dns care-fr - 2014-1
miso2217
 
07 01 configuration élémentaire d'un dns
07 01 configuration élémentaire d'un dns07 01 configuration élémentaire d'un dns
07 01 configuration élémentaire d'un dns
Noël
 
Ux074 formation-unix-linux-bind-mise-en-oeuvre-de-serveurs-dns
Ux074 formation-unix-linux-bind-mise-en-oeuvre-de-serveurs-dnsUx074 formation-unix-linux-bind-mise-en-oeuvre-de-serveurs-dns
Ux074 formation-unix-linux-bind-mise-en-oeuvre-de-serveurs-dns
CERTyou Formation
 
Adresses ip et dns
Adresses ip et dnsAdresses ip et dns
Adresses ip et dns
nanoune1965
 

Destaque (8)

JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...
 
Identification, nommage et DNS dans l’Internet du futur: "Toile de fond techn...
Identification, nommage et DNS dans l’Internet du futur: "Toile de fond techn...Identification, nommage et DNS dans l’Internet du futur: "Toile de fond techn...
Identification, nommage et DNS dans l’Internet du futur: "Toile de fond techn...
 
Mailclub proposition dns care-fr - 2014-1
Mailclub proposition dns care-fr - 2014-1Mailclub proposition dns care-fr - 2014-1
Mailclub proposition dns care-fr - 2014-1
 
Decouverte de Services via le DNS (DNS-SD)
Decouverte de Services via le DNS (DNS-SD)Decouverte de Services via le DNS (DNS-SD)
Decouverte de Services via le DNS (DNS-SD)
 
07 01 configuration élémentaire d'un dns
07 01 configuration élémentaire d'un dns07 01 configuration élémentaire d'un dns
07 01 configuration élémentaire d'un dns
 
Gns3
Gns3Gns3
Gns3
 
Ux074 formation-unix-linux-bind-mise-en-oeuvre-de-serveurs-dns
Ux074 formation-unix-linux-bind-mise-en-oeuvre-de-serveurs-dnsUx074 formation-unix-linux-bind-mise-en-oeuvre-de-serveurs-dns
Ux074 formation-unix-linux-bind-mise-en-oeuvre-de-serveurs-dns
 
Adresses ip et dns
Adresses ip et dnsAdresses ip et dns
Adresses ip et dns
 

Semelhante a DNSSEC : les extensions de sécurité du DNS

Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKI
Sylvain Maret
 
Utilisation de services Web sécurisés en Java en environnement Open Source
Utilisation de services Web sécurisés en Java en environnement Open SourceUtilisation de services Web sécurisés en Java en environnement Open Source
Utilisation de services Web sécurisés en Java en environnement Open Source
guest3be047
 
Démo : comment sécuriser des milliers de serveurs gratuitement
Démo : comment sécuriser des milliers de serveurs gratuitementDémo : comment sécuriser des milliers de serveurs gratuitement
Démo : comment sécuriser des milliers de serveurs gratuitement
Open Source Experience
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & Annuaires
Paulin CHOUDJA
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
Cyber Security Alliance
 

Semelhante a DNSSEC : les extensions de sécurité du DNS (20)

Domain Name System
Domain Name SystemDomain Name System
Domain Name System
 
Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKI
 
Surveillances de Nom de domaines : fonctionnement, bonnes pratiques et usages...
Surveillances de Nom de domaines : fonctionnement, bonnes pratiques et usages...Surveillances de Nom de domaines : fonctionnement, bonnes pratiques et usages...
Surveillances de Nom de domaines : fonctionnement, bonnes pratiques et usages...
 
Conséquences du filtrage Internet par le DNS
Conséquences du filtrage Internet par le DNSConséquences du filtrage Internet par le DNS
Conséquences du filtrage Internet par le DNS
 
Au-delà du réseau - une défense simple en profondeur
Au-delà du réseau - une défense simple en profondeurAu-delà du réseau - une défense simple en profondeur
Au-delà du réseau - une défense simple en profondeur
 
Utilisation de services Web sécurisés en Java en environnement Open Source
Utilisation de services Web sécurisés en Java en environnement Open SourceUtilisation de services Web sécurisés en Java en environnement Open Source
Utilisation de services Web sécurisés en Java en environnement Open Source
 
Comprendre les noms de domaine
Comprendre les noms de domaine Comprendre les noms de domaine
Comprendre les noms de domaine
 
Démo : comment sécuriser des milliers de serveurs gratuitement
Démo : comment sécuriser des milliers de serveurs gratuitementDémo : comment sécuriser des milliers de serveurs gratuitement
Démo : comment sécuriser des milliers de serveurs gratuitement
 
L’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en PratiqueL’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en Pratique
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & Annuaires
 
Infographie des fonctions IANA
Infographie des fonctions IANAInfographie des fonctions IANA
Infographie des fonctions IANA
 
5625
56255625
5625
 
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANESécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
 
Sécurité des web services soap
Sécurité des web services soapSécurité des web services soap
Sécurité des web services soap
 
Bonnes pratiques pour sécuriser un serveur Linux
Bonnes pratiques pour sécuriser un serveur LinuxBonnes pratiques pour sécuriser un serveur Linux
Bonnes pratiques pour sécuriser un serveur Linux
 
Le Darwinisme Digital
Le Darwinisme DigitalLe Darwinisme Digital
Le Darwinisme Digital
 
Comment exploiter le DNS par plaisir et appât du gain ? (Infoblox)
Comment exploiter le DNS par plaisir et appât du gain ? (Infoblox)Comment exploiter le DNS par plaisir et appât du gain ? (Infoblox)
Comment exploiter le DNS par plaisir et appât du gain ? (Infoblox)
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques Informatiques
 
Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
 

Mais de Afnic

Afnic Public Consultation overview on the Opening of 1 and 2 characters
Afnic Public Consultation overview on the Opening of 1 and 2 charactersAfnic Public Consultation overview on the Opening of 1 and 2 characters
Afnic Public Consultation overview on the Opening of 1 and 2 characters
Afnic
 

Mais de Afnic (20)

Alternative Dispute Resolution Trends 2015 (1st Semester)
Alternative Dispute Resolution Trends 2015 (1st Semester)Alternative Dispute Resolution Trends 2015 (1st Semester)
Alternative Dispute Resolution Trends 2015 (1st Semester)
 
Tendances PARL 2015 (1er trimestre)
Tendances PARL 2015 (1er trimestre)Tendances PARL 2015 (1er trimestre)
Tendances PARL 2015 (1er trimestre)
 
Securing Internet communications end-to-end with the DANE protocol
Securing Internet communications end-to-end with the DANE protocolSecuring Internet communications end-to-end with the DANE protocol
Securing Internet communications end-to-end with the DANE protocol
 
Deploying DNSSEC: what, how and where ?
Deploying DNSSEC: what, how and where ?Deploying DNSSEC: what, how and where ?
Deploying DNSSEC: what, how and where ?
 
Déployer DNSSEC, comment, quoi, où ?
Déployer DNSSEC, comment, quoi, où ?Déployer DNSSEC, comment, quoi, où ?
Déployer DNSSEC, comment, quoi, où ?
 
.fr domain name life cycle
.fr domain name life cycle .fr domain name life cycle
.fr domain name life cycle
 
Cycle de vie d'un nom de domaine en .fr
Cycle de vie d'un nom de domaine en .frCycle de vie d'un nom de domaine en .fr
Cycle de vie d'un nom de domaine en .fr
 
JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...
JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...
JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...
 
JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...
JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...
JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...
 
JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...
JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...
JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...
 
JCSA2013 05 Pascal Thubert - La frange polymorphe de l'Internet
JCSA2013 05 Pascal Thubert - La frange polymorphe de l'InternetJCSA2013 05 Pascal Thubert - La frange polymorphe de l'Internet
JCSA2013 05 Pascal Thubert - La frange polymorphe de l'Internet
 
JCSA2013 04 Laurent Toutain - La frange polymorphe de l'Internet
JCSA2013 04 Laurent Toutain - La frange polymorphe de l'InternetJCSA2013 04 Laurent Toutain - La frange polymorphe de l'Internet
JCSA2013 04 Laurent Toutain - La frange polymorphe de l'Internet
 
JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...
JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...
JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...
 
JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013
JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013
JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013
 
New gTLDs: a new Big Bang for domain names
New gTLDs: a new Big Bang for domain namesNew gTLDs: a new Big Bang for domain names
New gTLDs: a new Big Bang for domain names
 
Nouvelles extensions Internet : un nouveau Big Bang pour les noms de domaine
Nouvelles extensions Internet : un nouveau Big Bang pour les noms de domaineNouvelles extensions Internet : un nouveau Big Bang pour les noms de domaine
Nouvelles extensions Internet : un nouveau Big Bang pour les noms de domaine
 
Observatoire sur la résilience Internet en France-2012
Observatoire sur la résilience Internet en France-2012Observatoire sur la résilience Internet en France-2012
Observatoire sur la résilience Internet en France-2012
 
Afnic Public Consultation overview on the Opening of 1 and 2 characters
Afnic Public Consultation overview on the Opening of 1 and 2 charactersAfnic Public Consultation overview on the Opening of 1 and 2 characters
Afnic Public Consultation overview on the Opening of 1 and 2 characters
 
Synthèse de la Consultation publique Afnic sur l'ouverture 1 et 2 caractères
Synthèse de la Consultation publique Afnic sur l'ouverture 1 et 2 caractèresSynthèse de la Consultation publique Afnic sur l'ouverture 1 et 2 caractères
Synthèse de la Consultation publique Afnic sur l'ouverture 1 et 2 caractères
 
Afnic Rapport d'activite 2012
Afnic Rapport d'activite 2012Afnic Rapport d'activite 2012
Afnic Rapport d'activite 2012
 

DNSSEC : les extensions de sécurité du DNS

  • 1. DNSSEC - les extensions de sécurité du DNS 1/8 Reproduction des contenus rédactionnels autorisée sous réserve de mentionner la source : www.afnic.fr Copyright AFNIC 2010 DNSSEC les extensions de sécurité du DNS Enjeux de DNSSEC Lasécuritédetoutsystèmedépendàlafoisdelasécurisation de ses différentes composantes et des interactions entre celles-ci. Ce constat est aussi valable pour le DNS (Domain Name System), maillon clé du fonctionnement de l’Internet, car la quasi-totalité des services en ligne utilise des noms de domaine à un moment ou à un autre. Cependant, le DNS a été mis au point dans les années 80, dans un environnement où sa capacité à répondre aux besoins de performance et de résilience primait sur sa sécurisation. Avec le temps, et notamment depuis 2008, avec la révélation de la « Faille Kaminsky », la nécessité de mieux sécuriser le DNS est devenue une priorité pour tous ses acteurs. S’il ne saurait répondre à l’ensemble des attaques possibles contre le DNS, le protocole DNSSEC permet d’apporter une protection durable – et demain, indispensable – contre les agressions dites « par empoisonnement de cache » visant à substituer de fausses informations aux vraies dans le processus de résolution des noms de domaine. L’attaquant peut ainsi espérer leurrer des utilisateurs et les détourner vers son site à leur insu. Or la capacité croissante des machines et du réseau en termes de débit rend désormais possible des attaques qui, jusqu’à présent, n’étaient que théoriques, compte tenu de leur faible probabilité de succès. Le présent dossier thématique s’inscrit dans la continuité de celui que l’AFNIC a déjà consacré à la sécurité du DNS 1 , en explorant plus précisément les tenants et les aboutissants de DNSSEC. Il a pour objectif d’apporter des éléments de compréhension de ses enjeux et de son fonctionnement, afin de permettre au lecteur de mieux s’approprier cette évolution qui va modifier la physionomie du DNS dans les années à venir. 1 - Organisation et fonctionnement du DNS 2 - Les attaques par empoisonnement de cache 3 - Qu’est-ce que DNSSEC ? 4 - Ce que n’est pas DNSSEC 5 - Utilisation des clés dans DNSSEC 6 - Le déploiement de DNSSEC 7 - Quelques questions à se poser au regard de la mise en place de DNSSEC 8 - Pour aller plus loin 9 - Glossaire 1 www.afnic.fr/data/divers/public/afnic-dossier-dns-attaques-securite-2009-06.pdf Introduction Les dossiers thématiques de l’AFNIC
  • 2. 2/8 Reproduction des contenus rédactionnels autorisée sous réserve de mentionner la source : www.afnic.fr DNSSEC - les extensions de sécurité du DNS Copyright AFNIC 2010 RésolveurUtilisateur . fr wikipedia.fr www.wikipedia.fr ? www.wikipedia.fr ? www.wikipedia.fr ? www.wikipedia.fr ? 74.125.39.99 74.125.39.99 serveur wikipedia.fr serveur fr 1 2 3 La résolution DNS 1 Organisation et fonctionnement du DNS 2 Les attaques par empoisonnement de cache Le DNS est organisé sous la forme d’une arborescence inversée, avec une « racine » dont dépendent les différentes « branches ». Au premier niveau de l’arborescence se trouvent les « Top Level Domains » ou domaines de premier niveau, comme les .fr, .com etc. Au second niveau, nous avons les noms de domaine « classiques » comme « afnic.fr ». Dans l’exemple ci-dessus, l’utilisateur veut se connecter au site http://www.wikipedia.fr. Il envoie sa requête via son navigateur. Celle-ci est reçue par un serveur dit « résolveur » qui a pour première mission d’identifier la machine sur laquelle est installé le nom de domaine wikipedia.fr. Le résolveur s’adresse d’abord à la « racine » du DNS, qui lui indique quelles sont les serveurs « faisant autorité » (c’est-à-dire compétents) pour .fr puisque le nom de domaine est en .fr. Dans un second temps, les serveurs du .fr indiquent à leur tour au résolveur que le nom de domaine wikipedia.fr est hébergé sur tel serveur. Celui-ci est alors en mesure d’indiquer au navigateur l’adresse IP du serveur web hébergeant les contenus du site web www.wikipedia.fr. Ce schéma est vrai quel que soit le site web auquel on souhaite accéder, et quelle que soit l’adresse électronique à laquelle on souhaite écrire. Fonctionnant comme une base de données distribuée sur des millions de machines, le DNS repose sur des interactions entre ces machines permettant d’identifier celle qui est la plus susceptible de pouvoir répondre à la requête d’un internaute. Le dossier thématique de l’AFNIC consacré à la sécurité du DNS dresse un panorama des grands types d’attaques possibles, depuis les attaques ne visant pas directement le DNS (cybersquatting, vol de noms de domaine…) jusqu’à celles qui se concentrent sur lui, telles les attaques par déni de services ou empoisonnement de cache. DNSSEC répond spécifiquement aux attaques par empoisonnement de cache visant à intoxiquer le « résolveur » pour qu’il considère que le serveur « pirate » est légitime, en lieu et place du serveur originel. Cette opération permet notamment de capter et de détourner les requêtes vers un autre site web sans que les utilisateurs puissent s’en rendre compte, avec à la clé le risque de les voir confier des données personnelles en se croyant sur le site légitime de la victime de l’attaque.
  • 3. 3/8 Reproduction des contenus rédactionnels autorisée sous réserve de mentionner la source : www.afnic.fr DNSSEC - les extensions de sécurité du DNS Copyright AFNIC 2010 Les attaques par empoisonnement de cache 3 Qu’est-ce que DNSSEC ? 4 Ce que n’est pas DNSSEC Ces extensions utilisent les mécanismes de la signature cryptographique asymétrique pour authentifier les enregistrements. Les signatures et les clés publiques se présentent sous la forme de nouveaux enregistrements complémentaires et permettent d’assurer l’authentification. Ces nouveaux enregistrements engendrent une augmentation de la taille des messages et du nombre d’échanges pour vérifier les signatures et les clés. DNSSEC nécessite donc plus de ressources machines, ainsi que des versions récentes et à jour de logiciels DNS. Le protocole a naturellement été conçu pour pouvoir fonctionner sans problème dans un environnement qui, au départ tout au moins, ne sera pas entièrement composé de résolveurs DNSSEC validants. Dans le cas où un résolveur non DNSSEC validant interroge des serveurs DNSSEC, ceux-ci renvoient simplement les informations habituellement échangées sans les signatures ni les enregistrements propres à DNSSEC. Il n’a, par exemple, pas vocation à crypter les enregistrements DNS, ni à assurer la confidentialité des échanges sur le réseau, ni à garantir la sécurité d’une transaction comme le font les certificats SSL. Il ne protège pas contre le phishing ou le vol de noms de domaine, contre les virus et autres techniques d’infection des postes informatiques, ou encore contre les attaques visant les sites web eux- mêmes (injections SQL…). Le bon fonctionnement du DNS dépend donc étroitement de la fiabilité des données transmises à chaque étape. Les extensions de sécurité du DNS cherchent à répondre à cette contrainte en assurant l’intégrité des données transitant sur le réseau, notamment entre résolveurs et serveurs faisant autorité. DNSSEC est l’acronyme de Domain Name System Security Extensions, il désigne un ensemble défini d’extensions de sécurité du protocole DNS. Bien qu’étant à juste titre présenté comme une évolution nécessaire en termes de sécurisation du DNS, DNSSEC ne prétend aucunement répondre à tous les types d’attaques pouvant survenir. Pirate Serveur DNS A Serveur DNS B RequêtesD N S Requêtes transmises Bonne Réponse Réponses erronées
  • 4. 4/8 Reproduction des contenus rédactionnels autorisée sous réserve de mentionner la source : www.afnic.fr DNSSEC - les extensions de sécurité du DNS Copyright AFNIC 2010 privée publique Information DNS Message DNS Signature numérique wikipedia.fr Réside à l’adresse ... wikipedia.fr Réside à l’adresse ... wikipedia.fr Réside à l’adresse ...AwEAAdzt V8QQzRLg Hko0P9nI ... AwEAAdzt V8QQzRLg Hko0P9nI ... clé privée clé publique Chiffrement Déchiffrement comparaison Erreur Identique Message authentique Message non authentique Réseau-Réseau-Réseau-Réseau-Réseau-Réseau Logiciel de signature Serveur maître faisant autorité Validation d’une signature par le serveur récursif DNSSEC validant Signature et validation de signature dans le cas du DNS 5 Utilisation des clés dans DNSSEC DNSSEC utilise un mécanisme reposant sur une paire de clés ayant des rôles complémentaires. La première clé, privée, signe par chiffrement alors que la seconde clé, publique, vérifie les signatures par déchiffrement. Un message est chiffré grâce à la clé privée, créant une signature accompagnant le message. Cette signature pourra être authentifiée par les résolveurs DNSSEC validant à l’aide de la clé publique correspondante publiée dans la zone. Afin d’éviter qu’un attaquant n’utilise son propre jeu de clés, les concepteurs de DNSSEC ont prévu que chaque zone parente, située au niveau supérieur de l’arborescence du DNS, garantisse l’authenticité des clés de ses zones filles en les signant, les échanges de clés entre zones parentes et filles se faisant exclusivement par des canaux sécurisés. Ce système permet de créer de véritables chaînes de confiance jusqu’à la racine du DNS. DNSSEC nécessite par ailleurs une bonne gestion de la durée de vie des signatures par rapport à la publication des clés, des signatures expirées pouvant conduire au blocage de la résolution pour la zone concernée. À l’instar des autres enregistrements DNS, les enregistrements DNSSEC ont en effet des durées de vie limitées afin de permettre la résilience du système et d’autoriser des mises à jour en temps utile. Lorsqu’une signature expire, elle est considérée comme invalide et il n’est plus possible de joindre le service. Il est donc nécessaire de resigner régulièrement les enregistrements, en plus des nouvelles signatures produites suite à des créations ou à des modifications d’enregistrements. Le déploiement de DNSSEC induit par conséquent un travail supplémentaire et génère potentiellement de nouveaux risques d’erreurs (mauvaises configurations, expirations de signatures…). Ainsi, si la clé insérée dans la zone parente n’est pas celle qui est utilisée pour signer, la zone fille sera considérée comme invalide et il se produira une erreur de résolution. De plus, chacun des niveaux de sécurité n’a de sens qu’au sein de la chaîne de confiance : ainsi, des enregistrements signés ne peuvent pas être authentifiés tant que la clé de la zone n’a pas été publiée dans la zone parente. À l’inverse, aucune sécurité particulière n’est apportée à l’utilisateur tant que son résolveur n’a pas mis en oeuvre DNSSEC. Enfin, DNSSEC ne protège pas l’intégrité des données qui auraient été modifiées de manière accidentelle ou volontaire en amont de leur publication dans le DNS.
  • 5. 5/8 Reproduction des contenus rédactionnels autorisée sous réserve de mentionner la source : www.afnic.fr DNSSEC - les extensions de sécurité du DNS Copyright AFNIC 2010 6 Le déploiement de DNSSEC Ce n’est pourtant qu’en 2005, après maints travaux au sein de la communauté technique, que le registre de l’extension .se (Suède) fut le premier à signer sa zone. C’est aussi lui qui fut le premier à ouvrir ce service aux titulaires de noms de domaine en 2007. Considéré avec intérêt mais sans caractère d’urgence jusqu’en 2008, DNSSEC devient une priorité forte pour tous les registres d’extensions à partir de l’été 2008, lorsque la Faille Kaminsky révèle à tous de l’ampleur du problème potentiel. Par conséquent, depuis, une quinzaine de registres ont signé leur extension à la mi-2010 et la plupart des autres y travaillent. Le .fr pour sa part a été signé le 14 septembre 2010. S’il passe par les registres, le déploiement de DNSSEC ne s’arrête pas là : les gestionnaires des résolveurs (FAI, bureaux d’enregistrement, entreprises…) doivent à leur tour mettre en place DNSSEC pour que celui-ci fonctionne à plein. Un certain nombre de solutions existent, depuis les solutions de logiciels libres telles qu’Open-dnssec jusqu’aux boîtiers propriétaires, en passant par les bibliothèques de programmation qui simplifient les développements. Bien qu’ayant connu une forte montée en puissance depuis la révélation de la Faille Kaminsky, DNSSEC n’est pas une découverte pour les experts du DNS. L’IETF (Internet Engineering Task Force) a en effet commencé à travailler dès 1995 sur un tel protocole de sécurisation du DNS. FAI Entreprises ... Résolveur simple Applications Services internet Titulaire de nom Internaute Serveur faisant autorité DNSSEC Serveur récursif DNSSEC validant Requêtes et réponses DNS Approvisionnement NS + empreinte KSK La clé qui signe les clés Chaîne de confiance Web Email Voip ... DS DS DS Registre de TLD Bureau d’enregis- trement Hébergeur de zone DNS Racines du DNS Composantes de la chaîne de confiance DNSSEC
  • 6. 6/8 Reproduction des contenus rédactionnels autorisée sous réserve de mentionner la source : www.afnic.fr DNSSEC - les extensions de sécurité du DNS Copyright AFNIC 2010 7 Quelques questions à se poser au regard de la mise en place de DNSSEC La mise en oeuvre de DNSSEC n’est pas seulement une évolution technique majeure pour le DNS : elle induit aussi une adaptation de l’organisation de la gestion des noms de domaine et peut conduire à une nécessaire évolution de celle-ci, notamment du fait de l’émergence de nouveaux aspects comme la gestion des clés. Il convient donc d’anticiper une certaine montée en compétence des équipes techniques – le sujet restant peu connu – mais aussi une évolution des procédures tout en conservant une cohérence globale avec les différents aspects de la politique de sécurité de l’entreprise. Voici une liste de quelques questions à se poser, sans prétendre à l’exhaustivité : Chez qui les zones DNS de l’entreprise sont-elles hébergées ? Quelle est la compétence de ce prestataire dans la gestion de DNSSEC ? Quel niveau de transparence ce prestataire offre-t-il à ses clients en termes de pratiques ? Quels sont les dispositifs de sécurité dont ce prestataire dispose au-delà de DNSSEC ? Ce prestataire offre-t-il des canaux de transactions sécurisés ? Quel mode d’organisation ce prestataire préconise-t-il pour la gestion des clés, au sein de son équipe et en articulation avec celles de l’entreprise ? Y a-t-il une incidence en termes de coûts à la mise en place de DNSSEC ? Si l’entreprise passe par un prestataire pour la signature de ses zones, comment gérer un transfert à un autre prestataire de ses noms de domaine signés ? Le niveau de dépendance induit à l’égard de ce prestataire est-il acceptable, ou de nature à inciter l’entreprise à internaliser cette fonction au moins pour ses noms de domaine les plus stratégiques ? Si oui, quelles sont les ressources et les capacités dont dispose l’entreprise sur ces problématiques et quels moyens seraient-ils nécessaires pour accompagner une éventuelle montée en puissance ? La charge induite par le déploiement de DNSSEC, aussi bien en coûts qu’en termes de mise à niveau des équipes, peut être perçue comme importante en regard des risques qu’il prévient. Bien que potentiellement justifiée à court terme, cette approche ne tient cependant pas compte de l’accroissement du débit des réseaux et des capacités machines, qui fait progresser mécaniquement les chances de succès des attaques par empoisonnement de cache dans le format actuel du fonctionnement du DNS. La mise en oeuvre de DNSSEC doit donc être envisagée comme une nécessité incontournable à moyen terme. La principale problématique dans le déploiement de DNSSEC est de mettre en place un système efficace de gestion des clés. Celles-ci doivent en effet être régulièrement modifiées afin d’éviter leur vol ou leur recalcul, mais aussi protégées par des dispositifs physiques et numériques. Les mises à jour doivent par ailleurs être opérée de manière à prendre en compte les temps de propagation des informations dans le DNS, afin d’éviter que les résolveurs fassent correspondre une nouvelle signature à une ancienne clé ou l’inverse. Ceci impose des périodes de latence entre la déclaration des clés et la signature avec celles-ci. La mise en œuvre de DNSSEC implique donc pour chaque zone de : • Créer des clés. • Signer ses enregistrements. • Publier la zone signée. • Gérer des périodes de validité. • Gérer les publications du résumé de la clé dans la zone parente avec chaque rotation de KSK. • Contrôler la publication d’une nouvelle clé avant de l’utiliser pour signer.
  • 7. 7/8 Reproduction des contenus rédactionnels autorisée sous réserve de mentionner la source : www.afnic.fr DNSSEC - les extensions de sécurité du DNS Copyright AFNIC 2010 8 Pour aller plus loin 9 Glossaire Espace DNSSEC du site de l’AFNIC : www.afnic.fr/dnssec Page DNSSEC de Wikipedia en français : http://fr.wikipedia.org/wiki/DNSSEC DNS : Domain Name System. Service distribué permettant d’enregistrer les ressources de l’Internet (adresse de serveurs, de routeurs, ...) sous la forme d’un nom de domaine. DNSKEY : Enregistrement DNS servant à stocker la partie publique d’une clé. DNSSEC : Domain Name System Security Extensions. Ensemble d’extensions de sécurité du protocole DNS. DS : Delegation Signer. Enregistrement DNS qui correspond à l’empreinte de la partie publique d’une clé. KSK : Key Signing Key. Clé qui signe les clés ZSK. L’empreinte de sa partie publique est publiée dans la zone parente pour créer une chaîne de confiance garantissant son authenticité ainsi que l’authenticité des clés signant la zone. NS : Name Server. Appelé aussi serveur DNS ou serveur de nom. Serveur utilisé pour héberger un nom de domaine. SSL : Secure Sockets Layer. Protocole de sécurisation des échanges sur Internet. SQL : Structured Query Language. Langage informatique normalisé qui sert à demander des opérations sur des bases de données. ZSK : Zone Signing Key. Clé qui signe les enregistrements de la zone. La partie publique de la ZSK permet de vérifier les signatures. web Pour toute information supplémentaire sur les actions de l’AFNIC relatives à DNSSEC : solutions@afnic.fr
  • 8. DNSSEC - les extensions de sécurité du DNS 8/8 Reproduction des contenus rédactionnels autorisée sous réserve de mentionner la source : www.afnic.fr Copyright AFNIC 2010 Retrouvez tous les dossiers thématiques de l’AFNIC : www.afnic.fr/actu/presse/liens-utiles www.afnic.fr - afnic@afnic.fr web