0
Domain Name System Security Extensions<br />(aka. DNSSEC  pour les intimes)<br />RFC 4033, RFC 4034 et RFC 4035…<br />~<br...
DNS<br />
tread<br />DNS(SEC)<br />
OK, what’s the :(){:|:&};: ?<br />
DNS en deuxmots : c’estbien ! <br /><ul><li>Une idée intelligente : la résolution de noms
 Un principe pas bête : la récursivité
Une application mondiale (ICANN)</li></li></ul><li>Cependantc’est du gruyère ! <br /><ul><li> DNS Soofing
 DNS Cache poisoning
 Et d’autrestrucssympathiques* :</li></ul>- Transfers de zones ($dig axfr)<br /><ul><li>Questionnement du cache (TTL - Sca...
Tunneling DNS (TEXT - DNScat, Meterpreter etc.)
 DNS rebinding etc.</li></ul>(* Certains « trucs » non liés au protocole lui-même) <br />
Cependantc’est du gruyère ! <br /><ul><li> DNS Soofing
 DNS Cache poisoning
 Et d’autrestrucssympathiques* :</li></ul>- Transfers de zones ($dig axfr)<br /><ul><li>Questionnement du cache (TTL - Sca...
Tunneling DNS (TEXT - DNScat, Meterpreter etc.)
 DNS rebinding etc.</li></ul>(* Certains « trucs » non liés au protocole lui-même) <br />
DNS Cache poisoning, uh ? <br />3. Quelle est l’IP de<br />     www.ndd.tld ?<br />2. J’lai pas dans mon cache,<br />    a...
Upcoming SlideShare
Loading in...5
×

Domain Name System Security Extensions (aka. DNSSEC pour les intimes)

1,246

Published on

Petite présentation (très) simplifiée de DNSSEC

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,246
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
13
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Domain Name System Security Extensions (aka. DNSSEC pour les intimes)"

  1. 1. Domain Name System Security Extensions<br />(aka. DNSSEC pour les intimes)<br />RFC 4033, RFC 4034 et RFC 4035…<br />~<br />Félix AIME – LP CDAISI – 0x7da<br />
  2. 2. DNS<br />
  3. 3. tread<br />DNS(SEC)<br />
  4. 4. OK, what’s the :(){:|:&};: ?<br />
  5. 5. DNS en deuxmots : c’estbien ! <br /><ul><li>Une idée intelligente : la résolution de noms
  6. 6. Un principe pas bête : la récursivité
  7. 7. Une application mondiale (ICANN)</li></li></ul><li>Cependantc’est du gruyère ! <br /><ul><li> DNS Soofing
  8. 8. DNS Cache poisoning
  9. 9. Et d’autrestrucssympathiques* :</li></ul>- Transfers de zones ($dig axfr)<br /><ul><li>Questionnement du cache (TTL - Scapy & Others)
  10. 10. Tunneling DNS (TEXT - DNScat, Meterpreter etc.)
  11. 11. DNS rebinding etc.</li></ul>(* Certains « trucs » non liés au protocole lui-même) <br />
  12. 12. Cependantc’est du gruyère ! <br /><ul><li> DNS Soofing
  13. 13. DNS Cache poisoning
  14. 14. Et d’autrestrucssympathiques* :</li></ul>- Transfers de zones ($dig axfr)<br /><ul><li>Questionnement du cache (TTL - Scapy & Others)
  15. 15. Tunneling DNS (TEXT - DNScat, Meterpreter etc.)
  16. 16. DNS rebinding etc.</li></ul>(* Certains « trucs » non liés au protocole lui-même) <br />
  17. 17. DNS Cache poisoning, uh ? <br />3. Quelle est l’IP de<br /> www.ndd.tld ?<br />2. J’lai pas dans mon cache,<br /> attends, j’demande…<br />?<br />1. Quelle est l’IP de www.ndd.tld ?<br />5. www.ndd.tld<br /> = 1.1.1.1<br />SERVEUR <br />FAISANT AUTORITÉ SUR<br />WWW.NDD.TLD<br />RESOLVER<br />6. www.ndd.tld<br /> = 6.6.6.6<br />DORA L’EXPLORATRICE<br />4. Bob répond avant le serveur<br /> www.ndd.tld = 6.6.6.6<br />BOB LE BRICOLEUR<br />(Il existe plusieurs types d’attaques permettant le DNS Cache Poisoning j’ai donc simplifié) <br />
  18. 18. DNS Cache poisoning, uh ? <br />3. Quelle est l’IP de<br /> www.ndd.tld ?<br />2. J’lai pas dans mon cache,<br /> attends, j’demande…<br />?<br />PWNED<br />1. Quelle est l’IP de www.ndd.tld ?<br />5. www.ndd.tld<br /> = 1.1.1.1<br />SERVEUR <br />FAISANT AUTORITÉ SUR<br />WWW.NDD.TLD<br />RESOLVER<br />6. www.ndd.tld<br /> = 6.6.6.6<br />PWNED<br />DORA L’EXPLORATRICE<br />4. Bob répond avant le serveur<br /> www.ndd.tld = 6.6.6.6<br />BOB LE BRICOLEUR<br />(Il existe plusieurs types d’attaques permettant le DNS Cache Poisoning j’ai donc simplifié) <br />
  19. 19. Et DNSSEC arriva pour contrer Bob ! <br />(en partie)<br /><ul><li> Un “ajout” à DNS
  20. 20. Protection cryptographique des enregistrements
  21. 21. Authenticité & intégrité
  22. 22. Chaine de confiance par récursivité
  23. 23. Cool, n’est-ce pas ?</li></li></ul><li>Sécurité des transactions & enr. <br /><ul><li> Adieu l’insécurité des zones !
  24. 24. Signature électronique des enregistrements</li></ul>;; Réponse DNSSEC (avec dig)<br />;; ANSWER SECTION:<br />icann.org. 600 IN A 192.0.32.7<br />icann.org. 600 IN RRSIG A 7 2 600 20101003060346 (<br />2010092517251217997 icann.org. <br />j6cO8Nxk3gqQM2ycu550M/8cZXiD0Z4ivtjMn2zcuN1M<br />adY2/cZwuhZaAwkAxy8o+Fs18K+5W5YzDQZ4yxZKNtA8<br />sE8hBwOUcBv8mWAdlVqacpzWbwuELdv9Z2FEvJZ2TQuvJIxS8LRc6YlGV4J8ryYF6gOH4K1B8TM1V2+51mo=<br />)<br />;; Réponse DNS « standard » (avec dig)<br />;; ANSWER SECTION:<br />icann.org. 600 IN A 192.0.32.7<br />(*sous réserve d’implémentation totale et correcte) <br />
  25. 25. SERVER, le serveur DNS faisant autorité<br />RESOLVER, le Résolver<br />Signature de l’enregistre-ment avec une clé privée<br />Envoi d’une question <br />de type « A »<br />Query « A » : what’s the IP for www.exemple.com ?<br />Réception de la demande<br />envoi de l’enregistrement<br />Réception d’une réponse<br />de type « A » avec DNSSEC<br />Answer A : www.exemple.com = 192.0.32.7 <br />Sign : AwEAAbJ41(…)qqdVirOiibKey : 6myTz9(…)GWONmNY<br />Analyse de la signature <br />grâce à la clé publique <br />réceptionnée<br />Signe Signe Signe<br />Authenticité par récursivité des signatures<br />xx.ndd.fr<br />ndd.fr<br />.fr<br />.<br />DS<br />DS<br />DS<br />(* Le graphique a été (très/trop) simplifié) <br />
  26. 26. Cool ! Cependant…<br />
  27. 27. <ul><li> DNSSEC a ses propres “failles”et limites
  28. 28. L’implémentation sera (très, très) longue
  29. 29. Certains équipements sont encore “unaware”
  30. 30. Les FAI fr n’ont toujours pas intégré DNSSEC
  31. 31. Il ne corrige que certaines vulnérabilités
  32. 32. La transaction n’est PAS chiffrée & authentifiée
  33. 33. Encore faut-il que le client vérifie les RSIG & DS.</li></li></ul><li>Conclusion<br />Tant que DNSSEC n’est pas totalement déployé<br />correctement sur les différents niveaux :<br />Le système reste faillible. (lol)<br />
  34. 34. Sources & Merci<br />Merci à StéphaneBortzmeyerpour ses articles<br />AFNIC, NOMINET, IETF, DIG<br />Images : EnglishRussia & XKCD <3<br />DNSSEC Adds Value ?- Ron Aitchison, 2008<br />DNSSEC-bis for complete beginners (like me) - Bert Hubert<br />RFC 4033: DNS Security Introduction and Requirements - StéphaneBortzmeyer, 2010<br />Delegation Signer (DS) Resource Record (RR) - O. Gudmundsson , 2003<br />DNSSEC Training Workshop - Alain Patrick, 2008<br />Deploying DNSSEC Without a Signed Root - Samuel Weiler, 2004<br />
  35. 35. 1. #!/usr/bin/python<br />2.<br />3. def merci():<br />4. print ‘Merci !’<br />5. exit()<br />6.<br />7. try:<br />8. merci()<br />9. except:<br />10. print ‘Questions ?’<br />11. exit()<br />Félix AIME – LP CDAISI – 0x7da<br />
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×