Académique Documents
Professionnel Documents
Culture Documents
Dnssec Technical Overview FR PDF
Dnssec Technical Overview FR PDF
SN
DNSSEC
Pourquoi et dtails du protocole
As friend
secondary
As ISP
Cache server
Registry DB
primary client
Fichier de
zone matre Cache/forwarder
Mise jour
dynamiques Esclaves
Resolver
Rsolution DNS
Question: www.ripe.net A
www.ripe.net A ? Serveurs racine
Demande aux serveurs net @ X.gtld-servers.net (+ glue)
www.ripe.net A ?
Resolver Cache
192.168.5.10 forwarder www.ripe.net A ?
(rcursif) Serveurs-gtld
Demande aux serveurs ripe @ ns.ripe.net (+ glue)
Serveurs-ripe
Registrars
Points de vulnrabilit DNS
Registrants
Server compromise
Inter-server
communication
Cache Poisoning
Registry DB
Cache-Stub resolver
Provisioning DNS Protocol communication
Subject: tenure
Exemple:
Scan de mail non autoris
Where?
There!
DNS
Subject: tenure
Exemple:
Scan de mail non autoris
Elsewhere
Where?
Inter-server
communication
Cache Poisoning
Registry DB
Cache-Stub resolver
Provisioning DNS Protocol communication
Registrars
Registrants Protection de DNSSEC
Registry DB
Inter-server
communication
Cache Poisoning
Registry DB
Cache-Stub resolver
Provisioning DNS Protocol communication
DNSSEC en une page
o L authenticit et l intgrit de donnes par la signature
des ensembles de ressource Record avec la cl
prive
Exemples:
ripe.net. 3600 IN DNSKEY 256 3 5 (
AQOvhvXXU61Pr8sCwELcqqq1g4JJ
CALG4C9EtraBKVd+vGIF/unwigfLOA
O3nHp/cgGrG6gJYe8OWKYNgq3kDChN)
RSA/SHA-256 est recommand comme remplacant de RSA/SHA1
RDATA de RRSIG
16 bits type couvert 32 bit expiration de
8 bits algorithme signature
8 bits labels couvert 32 bit dbut de validit de
signature
32 bit TTL originel
16 bit ID de cl
Nom du signataire
ripe.net. SOA ..
NS NS.ripe.net.
DNSKEY ............
NSEC mailbox DNSKEY NS NSEC RRSIG SOA
mailbox A 192.168.10.2
NSEC www A NSEC RRSIG
www A 192.168.10.3
NSEC ripe.net A NSEC RRSIG
239af98b923c023371b521g23b92da12f42162b1a9
)
Signature de zone
$ORIGIN kids.net.
$ORIGIN net.
@ NS ns1.kids
kids NS ns1.kids RRSIG NS () kids.net.
DS () 1234 DNSKEY () (1234)
RRSIG DS ()net. DNSKEY () (3456)
money NS ns1.money RRSIG DNSKEY 1234 kids.net
DS () RRSIG DNSKEY 3456 kids.net
Cl de signature de zone
RRSIG DS ()
net. beth A 127.0.10.1
RRSIG A () 3456 kids.net.
ns1 A 127.0.10.3
RRSIG A () 3456 kids.net.
KSK/ZSK
o draft-ietf-dnsop-rfc4641bis-01.txt suggre
1024 bits par dfaut
2048 pour les niveaux Trust Anchor ou cls difficiles
changer
RSA/SHA-256 ds que possible
Utiliser Une bonne source de nombre alatoire
RFC4086
NIST SP 800-90
Chane de confiance
o Les donnes dans les zones peuvent tre valides si elles sont
signes par une ZSK
o La ZSK ne peut tre valide que si elle est signe par une KSK
o La KSK ne peut digne de confiance que si elle rfrence par
un enregistrement DS de confiance
o Un enregistrement DS ne peut tre valide que s'il est sign par
la ZSK du parent ou
o Une KSK peut tre valide si elle est change hors bande
(Trusted key)
Chane de confiance
Configuration locale
Trusted key: . 8907
$ORIGIN . Cl de signature de zone
www.ripe.net. A 193.0.0.202
RRSIG A () 1234 ripe.net. a3Ud...
Scurisation de l'arborescence du DNS
o Problme de distribution de cls
.
com.
net.
0= validation active
Le resolver veut des rponses vrifies pour les donnes
signes,mais accepte les rponses non vrifies pour les
donnes non signes
Bit D0
Outils:
ERs: DSNKEY, RRSSIG, DS, NSEC
Configuration manuelle des cls de la racine
Adoption DNSSEC ccTLDs and gTLDs
http://www.ohmo.to/dnssec/maps/ 03/10/2014
Tches de dploiement de DNSSEC
o Politiques et outils de gestion des cls
Utilisation et protection de la cl prive
Distribution de la cl publique
o Signature et Intgration de zone dans la chane
d approvisionnement
o Infrastructure de serveurs DNS
o Dlgation scurise des modifications du registre
Interfaage avec les clients
Modification de l Architecture
DNSSEC
o RENOUVELLEMENT DE CLES
CLES PRIVEES