SlideShare une entreprise Scribd logo

Domain Name System Security Extensions (aka. DNSSEC pour les intimes)

Télécharger en tant que PPTX, PDF
F
felixaime

Petite présentation (très) simplifiée de DNSSEC

1  sur  17
Domain Name System Security Extensions (aka. DNSSEC pour les intimes) RFC 4033, RFC 4034 et RFC 4035… ~ Félix AIME – LP CDAISI – 0x7da
DNS
tread DNS(SEC)
OK, what’s the :(){:|:&};: ?
DNS en deuxmots : c’estbien ! ,[object Object]
Un principe pas bête : la récursivité
Une application mondiale (ICANN),[object Object]
DNS Cache poisoning
Et d’autrestrucssympathiques* :- Transfers de zones ($dig axfr) ,[object Object]
Tunneling DNS (TEXT - DNScat, Meterpreter etc.)
DNS rebinding etc.(* Certains « trucs » non liés au protocole lui-même)
Cependantc’est du gruyère ! ,[object Object]
DNS Cache poisoning
Et d’autrestrucssympathiques* :- Transfers de zones ($dig axfr) ,[object Object]
Tunneling DNS (TEXT - DNScat, Meterpreter etc.)
DNS rebinding etc.(* Certains « trucs » non liés au protocole lui-même)
DNS Cache poisoning, uh ? 3. Quelle est l’IP de www.ndd.tld ? 2. J’lai pas dans mon cache, attends, j’demande… ? 1. Quelle est l’IP de www.ndd.tld ? 5. www.ndd.tld = 1.1.1.1 SERVEUR FAISANT AUTORITÉ SUR WWW.NDD.TLD RESOLVER 6. www.ndd.tld = 6.6.6.6 DORA L’EXPLORATRICE 4. Bob répond avant le serveur www.ndd.tld = 6.6.6.6 BOB LE BRICOLEUR (Il existe plusieurs types d’attaques permettant le DNS Cache Poisoning j’ai donc simplifié)

Recommandé

DNS et bien commun
DNS et bien communDNS et bien commun
DNS et bien commun
AnDaolVras
 
07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dnsNoël
 
Implémentation d'openvpn
Implémentation d'openvpnImplémentation d'openvpn
Implémentation d'openvpn
Dimitri LEMBOKOLO
 
Poster réseau - DNS
Poster réseau - DNSPoster réseau - DNS
Poster réseau - DNS
Alizée Lhoussene
 
Tp dns
Tp dns Tp dns
Tp dns Chris Dogny
 
Genma - Vulgarisons le DNS
Genma - Vulgarisons le DNSGenma - Vulgarisons le DNS
Genma - Vulgarisons le DNS
Jérôme aka "Genma" Kun
 
Workshop ssh
Workshop sshWorkshop ssh
Workshop sshAkram Rekik
 
Workshop ssh (OSSEC)
Workshop ssh (OSSEC)Workshop ssh (OSSEC)
Workshop ssh (OSSEC)
Akram Rekik
 

Recommandé

DNS et bien commun
DNS et bien communDNS et bien commun
DNS et bien commun
AnDaolVras
 
07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dnsNoël
 
Implémentation d'openvpn
Implémentation d'openvpnImplémentation d'openvpn
Implémentation d'openvpn
Dimitri LEMBOKOLO
 
Poster réseau - DNS
Poster réseau - DNSPoster réseau - DNS
Poster réseau - DNS
Alizée Lhoussene
 
Tp dns
Tp dns Tp dns
Tp dns Chris Dogny
 
Genma - Vulgarisons le DNS
Genma - Vulgarisons le DNSGenma - Vulgarisons le DNS
Genma - Vulgarisons le DNS
Jérôme aka "Genma" Kun
 
Workshop ssh
Workshop sshWorkshop ssh
Workshop sshAkram Rekik
 
Workshop ssh (OSSEC)
Workshop ssh (OSSEC)Workshop ssh (OSSEC)
Workshop ssh (OSSEC)
Akram Rekik
 
ssh, bien plus qu'un telnet sécurisé
ssh, bien plus qu'un telnet sécuriséssh, bien plus qu'un telnet sécurisé
ssh, bien plus qu'un telnet sécurisé
Tryphon
 
Rapport tp openssl
Rapport tp opensslRapport tp openssl
Rapport tp openssl
Yacoubou Salifou Bouraima
 
Initiation a la ligne de commande
Initiation a la ligne de commandeInitiation a la ligne de commande
Initiation a la ligne de commande
Lakhdar Meftah
 
Expose dns
Expose dnsExpose dns
Expose dnsLaouali Ibrahim bassirou Been Makao
 
Guide pratique openssl sous debian
Guide pratique openssl sous debianGuide pratique openssl sous debian
Guide pratique openssl sous debianyahyaf10
 
Adresses ip et dns
Adresses ip et dnsAdresses ip et dns
Adresses ip et dnsnanoune1965
 
GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azur...
GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azur...GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azur...
GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azur...
AZUG FR
 
08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec ssl08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec ssl
Noël
 
Config ip
Config ipConfig ip
Config ipMouhsine Najih
 
Hdfs
HdfsHdfs
Hdfs
Ines Slimene
 
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...DICKO Yacouba
 
Configuration dns sous linux
Configuration dns sous linuxConfiguration dns sous linux
Configuration dns sous linuxBalamine Gassama
 
Atelier ssh
Atelier sshAtelier ssh
Atelier ssh
Akram Rekik
 
Gestion des logs sur une plateforme web
Gestion des logs sur une plateforme webGestion des logs sur une plateforme web
Gestion des logs sur une plateforme webfredcons
 
5625
56255625
5625Youssef Rvd
 
OpenSSL
OpenSSLOpenSSL
OpenSSL
Safwane Madjeri
 
07 02 création et maintenance de zones dns
07 02 création et maintenance de zones dns07 02 création et maintenance de zones dns
07 02 création et maintenance de zones dnsNoël
 
Guide De Piratage Dun Reseau Wifi Domestique (Ou Commentexploserune Clef Wep)...
Guide De Piratage Dun Reseau Wifi Domestique (Ou Commentexploserune Clef Wep)...Guide De Piratage Dun Reseau Wifi Domestique (Ou Commentexploserune Clef Wep)...
Guide De Piratage Dun Reseau Wifi Domestique (Ou Commentexploserune Clef Wep)...
guest0b40ec
 
Install arch ultrabook full luks ssd
Install arch ultrabook full luks ssdInstall arch ultrabook full luks ssd
Install arch ultrabook full luks ssd
Anthony Le Goff
 
Domain Name System
Domain Name SystemDomain Name System
Domain Name System
Amira Hakim
 
Data Security - Français
Data Security - FrançaisData Security - Français
Data Security - Français
Data Security
 
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
Cyber Security Alliance
 

Contenu connexe

Tendances

ssh, bien plus qu'un telnet sécurisé
ssh, bien plus qu'un telnet sécuriséssh, bien plus qu'un telnet sécurisé
ssh, bien plus qu'un telnet sécurisé
Tryphon
 
Rapport tp openssl
Rapport tp opensslRapport tp openssl
Rapport tp openssl
Yacoubou Salifou Bouraima
 
Initiation a la ligne de commande
Initiation a la ligne de commandeInitiation a la ligne de commande
Initiation a la ligne de commande
Lakhdar Meftah
 
Guide pratique openssl sous debian
Guide pratique openssl sous debianGuide pratique openssl sous debian
Guide pratique openssl sous debianyahyaf10
 
Adresses ip et dns
Adresses ip et dnsAdresses ip et dns
Adresses ip et dnsnanoune1965
 
GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azur...
GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azur...GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azur...
GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azur...
AZUG FR
 
08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec ssl08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec ssl
Noël
 
Hdfs
HdfsHdfs
Hdfs
Ines Slimene
 
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...DICKO Yacouba
 
Configuration dns sous linux
Configuration dns sous linuxConfiguration dns sous linux
Configuration dns sous linuxBalamine Gassama
 
Atelier ssh
Atelier sshAtelier ssh
Atelier ssh
Akram Rekik
 
Gestion des logs sur une plateforme web
Gestion des logs sur une plateforme webGestion des logs sur une plateforme web
Gestion des logs sur une plateforme webfredcons
 
OpenSSL
OpenSSLOpenSSL
OpenSSL
Safwane Madjeri
 
07 02 création et maintenance de zones dns
07 02 création et maintenance de zones dns07 02 création et maintenance de zones dns
07 02 création et maintenance de zones dnsNoël
 
Guide De Piratage Dun Reseau Wifi Domestique (Ou Commentexploserune Clef Wep)...
Guide De Piratage Dun Reseau Wifi Domestique (Ou Commentexploserune Clef Wep)...Guide De Piratage Dun Reseau Wifi Domestique (Ou Commentexploserune Clef Wep)...
Guide De Piratage Dun Reseau Wifi Domestique (Ou Commentexploserune Clef Wep)...
guest0b40ec
 
Install arch ultrabook full luks ssd
Install arch ultrabook full luks ssdInstall arch ultrabook full luks ssd
Install arch ultrabook full luks ssd
Anthony Le Goff
 
Domain Name System
Domain Name SystemDomain Name System
Domain Name System
Amira Hakim
 

Tendances (20)

ssh, bien plus qu'un telnet sécurisé
ssh, bien plus qu'un telnet sécuriséssh, bien plus qu'un telnet sécurisé
ssh, bien plus qu'un telnet sécurisé
 
Rapport tp openssl
Rapport tp opensslRapport tp openssl
Rapport tp openssl
 
Initiation a la ligne de commande
Initiation a la ligne de commandeInitiation a la ligne de commande
Initiation a la ligne de commande
 
Expose dns
Expose dnsExpose dns
Expose dns
 
Guide pratique openssl sous debian
Guide pratique openssl sous debianGuide pratique openssl sous debian
Guide pratique openssl sous debian
 
Adresses ip et dns
Adresses ip et dnsAdresses ip et dns
Adresses ip et dns
 
GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azur...
GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azur...GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azur...
GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azur...
 
08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec ssl08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec ssl
 
Config ip
Config ipConfig ip
Config ip
 
Hdfs
HdfsHdfs
Hdfs
 
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...
Guide de piratage d'un reseau wifi domestiquee (ou commentexploserune clef we...
 
Configuration dns sous linux
Configuration dns sous linuxConfiguration dns sous linux
Configuration dns sous linux
 
Atelier ssh
Atelier sshAtelier ssh
Atelier ssh
 
Gestion des logs sur une plateforme web
Gestion des logs sur une plateforme webGestion des logs sur une plateforme web
Gestion des logs sur une plateforme web
 
5625
56255625
5625
 
OpenSSL
OpenSSLOpenSSL
OpenSSL
 
07 02 création et maintenance de zones dns
07 02 création et maintenance de zones dns07 02 création et maintenance de zones dns
07 02 création et maintenance de zones dns
 
Guide De Piratage Dun Reseau Wifi Domestique (Ou Commentexploserune Clef Wep)...
Guide De Piratage Dun Reseau Wifi Domestique (Ou Commentexploserune Clef Wep)...Guide De Piratage Dun Reseau Wifi Domestique (Ou Commentexploserune Clef Wep)...
Guide De Piratage Dun Reseau Wifi Domestique (Ou Commentexploserune Clef Wep)...
 
Install arch ultrabook full luks ssd
Install arch ultrabook full luks ssdInstall arch ultrabook full luks ssd
Install arch ultrabook full luks ssd
 
Domain Name System
Domain Name SystemDomain Name System
Domain Name System
 

En vedette

Data Security - Français
Data Security - FrançaisData Security - Français
Data Security - Français
Data Security
 
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
Cyber Security Alliance
 
Nuance - webinaire biométrie vocale du 15-01-2015
Nuance - webinaire biométrie vocale du 15-01-2015Nuance - webinaire biométrie vocale du 15-01-2015
Nuance - webinaire biométrie vocale du 15-01-2015
Celine Kahouadji
 
Livre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordLivre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time Password
PRONETIS
 
Culture web dc 2016
Culture web dc 2016Culture web dc 2016
Culture web dc 2016
Claire WIBAILLE
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
Sébastien GIORIA
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettes
Thierry Pertus
 
ASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
ASFWS 2011 : Sur le chemin de l’authentification multi-facteursASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
ASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
Cyber Security Alliance
 
Pierre Neis marshmallow challenge
Pierre Neis marshmallow challengePierre Neis marshmallow challenge
Pierre Neis marshmallow challenge
Pierre E. NEIS
 
2010 - Intégration de l'authentification: les mesures proposées par OWASP
2010 - Intégration de l'authentification: les mesures proposées par OWASP2010 - Intégration de l'authentification: les mesures proposées par OWASP
2010 - Intégration de l'authentification: les mesures proposées par OWASP
Cyber Security Alliance
 
Foundations of Platform Security
Foundations of Platform SecurityFoundations of Platform Security
Foundations of Platform Security
Nate Lawson
 
Facebook Timeline pour les entreprises
Facebook Timeline pour les entreprisesFacebook Timeline pour les entreprises
Facebook Timeline pour les entreprisesChalifour
 
Installation configuration openvas
Installation configuration openvasInstallation configuration openvas
Installation configuration openvas
Safae Rahel
 
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesSécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesElodie Heitz
 
Introduction to architectures based on models, models and metamodels. model d...
Introduction to architectures based on models, models and metamodels. model d...Introduction to architectures based on models, models and metamodels. model d...
Introduction to architectures based on models, models and metamodels. model d...
Vicente García Díaz
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
Bachir Benyammi
 
Gestion des risques SSI : Approche globale ou individuelle ?
Gestion des risques SSI : Approche globale ou individuelle ?Gestion des risques SSI : Approche globale ou individuelle ?
Gestion des risques SSI : Approche globale ou individuelle ?
BPMSinfo
 
Beijaflore dashboard sécurité
Beijaflore dashboard sécuritéBeijaflore dashboard sécurité
Beijaflore dashboard sécurité
Maxime de Jabrun
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Bachir Benyammi
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Eric Clairvoyant, Adm.A.,T.P., CRISC
 

En vedette (20)

Data Security - Français
Data Security - FrançaisData Security - Français
Data Security - Français
 
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
 
Nuance - webinaire biométrie vocale du 15-01-2015
Nuance - webinaire biométrie vocale du 15-01-2015Nuance - webinaire biométrie vocale du 15-01-2015
Nuance - webinaire biométrie vocale du 15-01-2015
 
Livre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordLivre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time Password
 
Culture web dc 2016
Culture web dc 2016Culture web dc 2016
Culture web dc 2016
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
 
Le « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettesLe « Security by Design » et ses multiples facettes
Le « Security by Design » et ses multiples facettes
 
ASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
ASFWS 2011 : Sur le chemin de l’authentification multi-facteursASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
ASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
 
Pierre Neis marshmallow challenge
Pierre Neis marshmallow challengePierre Neis marshmallow challenge
Pierre Neis marshmallow challenge
 
2010 - Intégration de l'authentification: les mesures proposées par OWASP
2010 - Intégration de l'authentification: les mesures proposées par OWASP2010 - Intégration de l'authentification: les mesures proposées par OWASP
2010 - Intégration de l'authentification: les mesures proposées par OWASP
 
Foundations of Platform Security
Foundations of Platform SecurityFoundations of Platform Security
Foundations of Platform Security
 
Facebook Timeline pour les entreprises
Facebook Timeline pour les entreprisesFacebook Timeline pour les entreprises
Facebook Timeline pour les entreprises
 
Installation configuration openvas
Installation configuration openvasInstallation configuration openvas
Installation configuration openvas
 
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesSécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
 
Introduction to architectures based on models, models and metamodels. model d...
Introduction to architectures based on models, models and metamodels. model d...Introduction to architectures based on models, models and metamodels. model d...
Introduction to architectures based on models, models and metamodels. model d...
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
Gestion des risques SSI : Approche globale ou individuelle ?
Gestion des risques SSI : Approche globale ou individuelle ?Gestion des risques SSI : Approche globale ou individuelle ?
Gestion des risques SSI : Approche globale ou individuelle ?
 
Beijaflore dashboard sécurité
Beijaflore dashboard sécuritéBeijaflore dashboard sécurité
Beijaflore dashboard sécurité
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
 

Similaire à Domain Name System Security Extensions (aka. DNSSEC pour les intimes)

Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Afnic
 
JCSA 2012 Tutoriel Afnic par Stéphane Bortzmeyer : Securité des noms de domaines
JCSA 2012 Tutoriel Afnic par Stéphane Bortzmeyer : Securité des noms de domainesJCSA 2012 Tutoriel Afnic par Stéphane Bortzmeyer : Securité des noms de domaines
JCSA 2012 Tutoriel Afnic par Stéphane Bortzmeyer : Securité des noms de domainesAfnic
 
Réseau MiNET
Réseau MiNETRéseau MiNET
Réseau MiNET
Guillaume Rose
 
DNSSEC : les extensions de sécurité du DNS
DNSSEC : les extensions de sécurité du DNSDNSSEC : les extensions de sécurité du DNS
DNSSEC : les extensions de sécurité du DNS
Afnic
 
Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite web
Christophe Villeneuve
 
DevoxxFR 2019: Consul @Criteo
DevoxxFR 2019: Consul @CriteoDevoxxFR 2019: Consul @Criteo
DevoxxFR 2019: Consul @Criteo
Pierre Souchay
 
DDoS, la nouvelle arme des hackers
DDoS, la nouvelle arme des hackersDDoS, la nouvelle arme des hackers
DDoS, la nouvelle arme des hackers
e-Xpert Solutions SA
 
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
Hackfest Communication
 
Nouveautés de zabbix 3.0 par Alain Ganuchaud
Nouveautés de zabbix 3.0 par Alain GanuchaudNouveautés de zabbix 3.0 par Alain Ganuchaud
Nouveautés de zabbix 3.0 par Alain Ganuchaud
Alain Ganuchaud
 
Hackerspace jan-2013
Hackerspace jan-2013Hackerspace jan-2013
Hackerspace jan-2013
Hackfest Communication
 
Alphorm.com Formation CEHV9 IV- partie 2
Alphorm.com Formation CEHV9 IV- partie 2Alphorm.com Formation CEHV9 IV- partie 2
Alphorm.com Formation CEHV9 IV- partie 2
Alphorm
 
Configuration dns
Configuration dnsConfiguration dns
Configuration dns
Dimitri LEMBOKOLO
 
Networxx (intro et fin)
Networxx (intro et fin)Networxx (intro et fin)
Networxx (intro et fin)
Cyrille Dupuydauby
 
Architecture réseau
Architecture réseauArchitecture réseau
Architecture réseau
cedric lemery
 
.NET Microframework: du code, de l’électronique, de la robotique
.NET Microframework: du code, de l’électronique, de la robotique.NET Microframework: du code, de l’électronique, de la robotique
.NET Microframework: du code, de l’électronique, de la robotique
Microsoft
 
Wrap up SSTIC 2013
Wrap up SSTIC 2013Wrap up SSTIC 2013
Wrap up SSTIC 2013
quack1
 
L’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en PratiqueL’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en Pratique
Amadou Dia
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Trésor-Dux LEBANDA
 
Presentation
PresentationPresentation
Presentation
Abdelghafour Zguindou
 

Similaire à Domain Name System Security Extensions (aka. DNSSEC pour les intimes) (20)

Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)
 
JCSA 2012 Tutoriel Afnic par Stéphane Bortzmeyer : Securité des noms de domaines
JCSA 2012 Tutoriel Afnic par Stéphane Bortzmeyer : Securité des noms de domainesJCSA 2012 Tutoriel Afnic par Stéphane Bortzmeyer : Securité des noms de domaines
JCSA 2012 Tutoriel Afnic par Stéphane Bortzmeyer : Securité des noms de domaines
 
Réseau MiNET
Réseau MiNETRéseau MiNET
Réseau MiNET
 
DNSSEC : les extensions de sécurité du DNS
DNSSEC : les extensions de sécurité du DNSDNSSEC : les extensions de sécurité du DNS
DNSSEC : les extensions de sécurité du DNS
 
Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite web
 
DevoxxFR 2019: Consul @Criteo
DevoxxFR 2019: Consul @CriteoDevoxxFR 2019: Consul @Criteo
DevoxxFR 2019: Consul @Criteo
 
DDoS, la nouvelle arme des hackers
DDoS, la nouvelle arme des hackersDDoS, la nouvelle arme des hackers
DDoS, la nouvelle arme des hackers
 
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
 
Nouveautés de zabbix 3.0 par Alain Ganuchaud
Nouveautés de zabbix 3.0 par Alain GanuchaudNouveautés de zabbix 3.0 par Alain Ganuchaud
Nouveautés de zabbix 3.0 par Alain Ganuchaud
 
Hackerspace jan-2013
Hackerspace jan-2013Hackerspace jan-2013
Hackerspace jan-2013
 
Alphorm.com Formation CEHV9 IV- partie 2
Alphorm.com Formation CEHV9 IV- partie 2Alphorm.com Formation CEHV9 IV- partie 2
Alphorm.com Formation CEHV9 IV- partie 2
 
Configuration dns
Configuration dnsConfiguration dns
Configuration dns
 
BSidesQuebec2013-ssl
BSidesQuebec2013-sslBSidesQuebec2013-ssl
BSidesQuebec2013-ssl
 
Networxx (intro et fin)
Networxx (intro et fin)Networxx (intro et fin)
Networxx (intro et fin)
 
Architecture réseau
Architecture réseauArchitecture réseau
Architecture réseau
 
.NET Microframework: du code, de l’électronique, de la robotique
.NET Microframework: du code, de l’électronique, de la robotique.NET Microframework: du code, de l’électronique, de la robotique
.NET Microframework: du code, de l’électronique, de la robotique
 
Wrap up SSTIC 2013
Wrap up SSTIC 2013Wrap up SSTIC 2013
Wrap up SSTIC 2013
 
L’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en PratiqueL’ Administration des Réseaux en Pratique
L’ Administration des Réseaux en Pratique
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
 
Presentation
PresentationPresentation
Presentation
 

Dernier

Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
OCTO Technology
 
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptxPRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
AlbertSmithTambwe
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
Université de Franche-Comté
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
UNITECBordeaux
 
Les écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptxLes écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptx
abderrahimbourimi
 
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO Technology
 
COURS D'ADMINISTRATION RESEAU SOUS WINDOWS
COURS D'ADMINISTRATION RESEAU SOUS WINDOWSCOURS D'ADMINISTRATION RESEAU SOUS WINDOWS
COURS D'ADMINISTRATION RESEAU SOUS WINDOWS
AlbertSmithTambwe
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
OCTO Technology
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Laurent Speyser
 

Dernier (9)

Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
 
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptxPRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
 
Les écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptxLes écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptx
 
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
 
COURS D'ADMINISTRATION RESEAU SOUS WINDOWS
COURS D'ADMINISTRATION RESEAU SOUS WINDOWSCOURS D'ADMINISTRATION RESEAU SOUS WINDOWS
COURS D'ADMINISTRATION RESEAU SOUS WINDOWS
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
 

Domain Name System Security Extensions (aka. DNSSEC pour les intimes)

  • 1. Domain Name System Security Extensions (aka. DNSSEC pour les intimes) RFC 4033, RFC 4034 et RFC 4035… ~ Félix AIME – LP CDAISI – 0x7da
  • 2. DNS
  • 4. OK, what’s the :(){:|:&};: ?
  • 5.
  • 6. Un principe pas bête : la récursivité
  • 7.
  • 8. DNS Cache poisoning
  • 9.
  • 10. Tunneling DNS (TEXT - DNScat, Meterpreter etc.)
  • 11. DNS rebinding etc.(* Certains « trucs » non liés au protocole lui-même)
  • 12.
  • 13. DNS Cache poisoning
  • 14.
  • 15. Tunneling DNS (TEXT - DNScat, Meterpreter etc.)
  • 16. DNS rebinding etc.(* Certains « trucs » non liés au protocole lui-même)
  • 17. DNS Cache poisoning, uh ? 3. Quelle est l’IP de www.ndd.tld ? 2. J’lai pas dans mon cache, attends, j’demande… ? 1. Quelle est l’IP de www.ndd.tld ? 5. www.ndd.tld = 1.1.1.1 SERVEUR FAISANT AUTORITÉ SUR WWW.NDD.TLD RESOLVER 6. www.ndd.tld = 6.6.6.6 DORA L’EXPLORATRICE 4. Bob répond avant le serveur www.ndd.tld = 6.6.6.6 BOB LE BRICOLEUR (Il existe plusieurs types d’attaques permettant le DNS Cache Poisoning j’ai donc simplifié)
  • 18. DNS Cache poisoning, uh ? 3. Quelle est l’IP de www.ndd.tld ? 2. J’lai pas dans mon cache, attends, j’demande… ? PWNED 1. Quelle est l’IP de www.ndd.tld ? 5. www.ndd.tld = 1.1.1.1 SERVEUR FAISANT AUTORITÉ SUR WWW.NDD.TLD RESOLVER 6. www.ndd.tld = 6.6.6.6 PWNED DORA L’EXPLORATRICE 4. Bob répond avant le serveur www.ndd.tld = 6.6.6.6 BOB LE BRICOLEUR (Il existe plusieurs types d’attaques permettant le DNS Cache Poisoning j’ai donc simplifié)
  • 19.
  • 20. Protection cryptographique des enregistrements
  • 22. Chaine de confiance par récursivité
  • 23.
  • 24. Signature électronique des enregistrements;; Réponse DNSSEC (avec dig) ;; ANSWER SECTION: icann.org. 600 IN A 192.0.32.7 icann.org. 600 IN RRSIG A 7 2 600 20101003060346 ( 2010092517251217997 icann.org. j6cO8Nxk3gqQM2ycu550M/8cZXiD0Z4ivtjMn2zcuN1M adY2/cZwuhZaAwkAxy8o+Fs18K+5W5YzDQZ4yxZKNtA8 sE8hBwOUcBv8mWAdlVqacpzWbwuELdv9Z2FEvJZ2TQuvJIxS8LRc6YlGV4J8ryYF6gOH4K1B8TM1V2+51mo= ) ;; Réponse DNS « standard » (avec dig) ;; ANSWER SECTION: icann.org. 600 IN A 192.0.32.7 (*sous réserve d’implémentation totale et correcte)
  • 25. SERVER, le serveur DNS faisant autorité RESOLVER, le Résolver Signature de l’enregistre-ment avec une clé privée Envoi d’une question de type « A » Query « A » : what’s the IP for www.exemple.com ? Réception de la demande envoi de l’enregistrement Réception d’une réponse de type « A » avec DNSSEC Answer A : www.exemple.com = 192.0.32.7 Sign : AwEAAbJ41(…)qqdVirOiibKey : 6myTz9(…)GWONmNY Analyse de la signature grâce à la clé publique réceptionnée Signe Signe Signe Authenticité par récursivité des signatures xx.ndd.fr ndd.fr .fr . DS DS DS (* Le graphique a été (très/trop) simplifié)
  • 27.
  • 28. L’implémentation sera (très, très) longue
  • 29. Certains équipements sont encore “unaware”
  • 30. Les FAI fr n’ont toujours pas intégré DNSSEC
  • 31. Il ne corrige que certaines vulnérabilités
  • 32. La transaction n’est PAS chiffrée & authentifiée
  • 33.
  • 34. Sources & Merci Merci à StéphaneBortzmeyerpour ses articles AFNIC, NOMINET, IETF, DIG Images : EnglishRussia & XKCD <3 DNSSEC Adds Value ?- Ron Aitchison, 2008 DNSSEC-bis for complete beginners (like me) - Bert Hubert RFC 4033: DNS Security Introduction and Requirements - StéphaneBortzmeyer, 2010 Delegation Signer (DS) Resource Record (RR) - O. Gudmundsson , 2003 DNSSEC Training Workshop - Alain Patrick, 2008 Deploying DNSSEC Without a Signed Root - Samuel Weiler, 2004
  • 35. 1. #!/usr/bin/python 2. 3. def merci(): 4. print ‘Merci !’ 5. exit() 6. 7. try: 8. merci() 9. except: 10. print ‘Questions ?’ 11. exit() Félix AIME – LP CDAISI – 0x7da