Domain Name System Security Extensions<br />(aka. DNSSEC  pour les intimes)<br />RFC 4033, RFC 4034 et RFC 4035…<br />~<br...
DNS<br />
tread<br />DNS(SEC)<br />
OK, what’s the :(){:|:&};: ?<br />
DNS en deuxmots : c’estbien ! <br /><ul><li>Une idée intelligente : la résolution de noms
 Un principe pas bête : la récursivité
Une application mondiale (ICANN)</li></li></ul><li>Cependantc’est du gruyère ! <br /><ul><li> DNS Soofing
 DNS Cache poisoning
 Et d’autrestrucssympathiques* :</li></ul>- Transfers de zones ($dig axfr)<br /><ul><li>Questionnement du cache (TTL - Sca...
Tunneling DNS (TEXT - DNScat, Meterpreter etc.)
 DNS rebinding etc.</li></ul>(* Certains « trucs » non liés au protocole lui-même) <br />
Cependantc’est du gruyère ! <br /><ul><li> DNS Soofing
 DNS Cache poisoning
 Et d’autrestrucssympathiques* :</li></ul>- Transfers de zones ($dig axfr)<br /><ul><li>Questionnement du cache (TTL - Sca...
Tunneling DNS (TEXT - DNScat, Meterpreter etc.)
 DNS rebinding etc.</li></ul>(* Certains « trucs » non liés au protocole lui-même) <br />
DNS Cache poisoning, uh ? <br />3. Quelle est l’IP de<br />     www.ndd.tld ?<br />2. J’lai pas dans mon cache,<br />    a...
Prochain SlideShare
Chargement dans…5
×

Domain Name System Security Extensions (aka. DNSSEC pour les intimes)

1 463 vues

Publié le

Petite présentation (très) simplifiée de DNSSEC

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 463
Sur SlideShare
0
Issues des intégrations
0
Intégrations
103
Actions
Partages
0
Téléchargements
16
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Domain Name System Security Extensions (aka. DNSSEC pour les intimes)

  1. 1. Domain Name System Security Extensions<br />(aka. DNSSEC pour les intimes)<br />RFC 4033, RFC 4034 et RFC 4035…<br />~<br />Félix AIME – LP CDAISI – 0x7da<br />
  2. 2. DNS<br />
  3. 3. tread<br />DNS(SEC)<br />
  4. 4. OK, what’s the :(){:|:&};: ?<br />
  5. 5. DNS en deuxmots : c’estbien ! <br /><ul><li>Une idée intelligente : la résolution de noms
  6. 6. Un principe pas bête : la récursivité
  7. 7. Une application mondiale (ICANN)</li></li></ul><li>Cependantc’est du gruyère ! <br /><ul><li> DNS Soofing
  8. 8. DNS Cache poisoning
  9. 9. Et d’autrestrucssympathiques* :</li></ul>- Transfers de zones ($dig axfr)<br /><ul><li>Questionnement du cache (TTL - Scapy & Others)
  10. 10. Tunneling DNS (TEXT - DNScat, Meterpreter etc.)
  11. 11. DNS rebinding etc.</li></ul>(* Certains « trucs » non liés au protocole lui-même) <br />
  12. 12. Cependantc’est du gruyère ! <br /><ul><li> DNS Soofing
  13. 13. DNS Cache poisoning
  14. 14. Et d’autrestrucssympathiques* :</li></ul>- Transfers de zones ($dig axfr)<br /><ul><li>Questionnement du cache (TTL - Scapy & Others)
  15. 15. Tunneling DNS (TEXT - DNScat, Meterpreter etc.)
  16. 16. DNS rebinding etc.</li></ul>(* Certains « trucs » non liés au protocole lui-même) <br />
  17. 17. DNS Cache poisoning, uh ? <br />3. Quelle est l’IP de<br /> www.ndd.tld ?<br />2. J’lai pas dans mon cache,<br /> attends, j’demande…<br />?<br />1. Quelle est l’IP de www.ndd.tld ?<br />5. www.ndd.tld<br /> = 1.1.1.1<br />SERVEUR <br />FAISANT AUTORITÉ SUR<br />WWW.NDD.TLD<br />RESOLVER<br />6. www.ndd.tld<br /> = 6.6.6.6<br />DORA L’EXPLORATRICE<br />4. Bob répond avant le serveur<br /> www.ndd.tld = 6.6.6.6<br />BOB LE BRICOLEUR<br />(Il existe plusieurs types d’attaques permettant le DNS Cache Poisoning j’ai donc simplifié) <br />
  18. 18. DNS Cache poisoning, uh ? <br />3. Quelle est l’IP de<br /> www.ndd.tld ?<br />2. J’lai pas dans mon cache,<br /> attends, j’demande…<br />?<br />PWNED<br />1. Quelle est l’IP de www.ndd.tld ?<br />5. www.ndd.tld<br /> = 1.1.1.1<br />SERVEUR <br />FAISANT AUTORITÉ SUR<br />WWW.NDD.TLD<br />RESOLVER<br />6. www.ndd.tld<br /> = 6.6.6.6<br />PWNED<br />DORA L’EXPLORATRICE<br />4. Bob répond avant le serveur<br /> www.ndd.tld = 6.6.6.6<br />BOB LE BRICOLEUR<br />(Il existe plusieurs types d’attaques permettant le DNS Cache Poisoning j’ai donc simplifié) <br />
  19. 19. Et DNSSEC arriva pour contrer Bob ! <br />(en partie)<br /><ul><li> Un “ajout” à DNS
  20. 20. Protection cryptographique des enregistrements
  21. 21. Authenticité & intégrité
  22. 22. Chaine de confiance par récursivité
  23. 23. Cool, n’est-ce pas ?</li></li></ul><li>Sécurité des transactions & enr. <br /><ul><li> Adieu l’insécurité des zones !
  24. 24. Signature électronique des enregistrements</li></ul>;; Réponse DNSSEC (avec dig)<br />;; ANSWER SECTION:<br />icann.org. 600 IN A 192.0.32.7<br />icann.org. 600 IN RRSIG A 7 2 600 20101003060346 (<br />2010092517251217997 icann.org. <br />j6cO8Nxk3gqQM2ycu550M/8cZXiD0Z4ivtjMn2zcuN1M<br />adY2/cZwuhZaAwkAxy8o+Fs18K+5W5YzDQZ4yxZKNtA8<br />sE8hBwOUcBv8mWAdlVqacpzWbwuELdv9Z2FEvJZ2TQuvJIxS8LRc6YlGV4J8ryYF6gOH4K1B8TM1V2+51mo=<br />)<br />;; Réponse DNS « standard » (avec dig)<br />;; ANSWER SECTION:<br />icann.org. 600 IN A 192.0.32.7<br />(*sous réserve d’implémentation totale et correcte) <br />
  25. 25. SERVER, le serveur DNS faisant autorité<br />RESOLVER, le Résolver<br />Signature de l’enregistre-ment avec une clé privée<br />Envoi d’une question <br />de type « A »<br />Query « A » : what’s the IP for www.exemple.com ?<br />Réception de la demande<br />envoi de l’enregistrement<br />Réception d’une réponse<br />de type « A » avec DNSSEC<br />Answer A : www.exemple.com = 192.0.32.7 <br />Sign : AwEAAbJ41(…)qqdVirOiibKey : 6myTz9(…)GWONmNY<br />Analyse de la signature <br />grâce à la clé publique <br />réceptionnée<br />Signe Signe Signe<br />Authenticité par récursivité des signatures<br />xx.ndd.fr<br />ndd.fr<br />.fr<br />.<br />DS<br />DS<br />DS<br />(* Le graphique a été (très/trop) simplifié) <br />
  26. 26. Cool ! Cependant…<br />
  27. 27. <ul><li> DNSSEC a ses propres “failles”et limites
  28. 28. L’implémentation sera (très, très) longue
  29. 29. Certains équipements sont encore “unaware”
  30. 30. Les FAI fr n’ont toujours pas intégré DNSSEC
  31. 31. Il ne corrige que certaines vulnérabilités
  32. 32. La transaction n’est PAS chiffrée & authentifiée
  33. 33. Encore faut-il que le client vérifie les RSIG & DS.</li></li></ul><li>Conclusion<br />Tant que DNSSEC n’est pas totalement déployé<br />correctement sur les différents niveaux :<br />Le système reste faillible. (lol)<br />
  34. 34. Sources & Merci<br />Merci à StéphaneBortzmeyerpour ses articles<br />AFNIC, NOMINET, IETF, DIG<br />Images : EnglishRussia & XKCD <3<br />DNSSEC Adds Value ?- Ron Aitchison, 2008<br />DNSSEC-bis for complete beginners (like me) - Bert Hubert<br />RFC 4033: DNS Security Introduction and Requirements - StéphaneBortzmeyer, 2010<br />Delegation Signer (DS) Resource Record (RR) - O. Gudmundsson , 2003<br />DNSSEC Training Workshop - Alain Patrick, 2008<br />Deploying DNSSEC Without a Signed Root - Samuel Weiler, 2004<br />
  35. 35. 1. #!/usr/bin/python<br />2.<br />3. def merci():<br />4. print ‘Merci !’<br />5. exit()<br />6.<br />7. try:<br />8. merci()<br />9. except:<br />10. print ‘Questions ?’<br />11. exit()<br />Félix AIME – LP CDAISI – 0x7da<br />

×