DNSSEC (SECDNS)

Le DNS est indispensable au bon fonctionnement d'Internet et de tout réseau privé. S'il s'agit d'un des plus anciens protocoles, c'est aussi l'un des plus sensibles et des plus méconnus, dont la sécurité n'a été étudiée que tardivement. DNSSEC tente de remédier à certaines faiblesses de DNS, mais les contraintes et les nouveaux risques liés à la DNSSEC sont réels et ne participent pas à son déploiement rapide.
Afin de maîtriser les risques et difficultés techniques du protocole DNS, pour évaluer l'utilité réelle de DNSSEC pour la sécurité, il est nécessaire de maîtriser le fonctionnement de DNS et DNSSEC, en théorie comme en pratique.
 
Vous allez apprendre

  • Les connaissances techniques du protocole DNS et de l’extension DNSSEC
  • A configurer en pratique une installation d’un resolver (Unbound) validant les réponses avec DNSSEC
  • A configurer une installation DNSSEC avec OpenDNSSEC pour gérer les clefs et BIND pour servir les zones signées
  • A éviter les pièges du DNS
  • A déterminer l’intérêt réel d’un déploiement de DNSSEC dans votre environnement

 
Public visé

  • Administrateurs systèmes et réseaux
  • Responsables d’exploitation
  • Architectes

 
Pré-requis
Des connaissances préalables en administration système et des protocoles réseaux TCP/IP sont nécessaires
 
Méthode pédagogique

  • Cours magistral
  • Travaux pratiques

 
Matériel

  • Supports papier en français
  • Ordinateurs portables mis à disposition des stagiaires

 
Certification
Formation non certifiante.

Afficher les détails
 
Programme
DNS : spécifications et principes
  • Vocabulaire :
    • arbres, zones...
    • resolver, cache, authoritative, fowarder...
  • Organisation : TLD, autres domaines, délégations...
  • Protocole :
    • RRSet, entêtes, couche de transport et EDNS
    • problèmes liés aux pare-feux
  • Les enregistrements (RR) : A, AAAA, PTR, SOA, NS, MX...
  • Fonctionnement interne : récursion et itération, fonctionnement de la résolution…
 
Logiciels
  • Les couches logicielles
    • "stub resolver", resolver, rôle de l'application...
    • Alternatives à BIND
  • Outils sur le DNS : zonecheck, dig, delv...
 
Sécurité du DNS
Les risques : modification non autorisée des données, piratage des serveurs, attaque via le routage ou autre "IP spoofing", empoisonnement de cache... Ce qu'a apporté l'attaque Kaminsky.
 
Cryptographie
Petit rappel cryptographie asymétrique, longueur des clés, sécurité de la clé privée...
 
DNSSEC
  • Clés : l'enregistrement DNSKEY. Métadonnées des clés. Algorithmes et longueurs des clés.
  • Signature des enregistrements : l'enregistrement RRSIG. Métadonnées des signatures.
  • Délégation sécurisée : l'enregistrement DS
  • Preuve de non-existence : les enregistrements NSEC et NSEC3
 
DNSSEC en pratique
  • Objectifs, ce que DNSSEC ne fait pas, les problèmes apportés par DNSSEC
  • Protocole : bit DO et couche de transport (EDNS), problèmes liés aux pare-feu
  • Créer une zone signée à la main : "dnssec-keygen, signzone", named- checkzone/conf
  • Configurer le résolver Unbound pour valider
  • Vérifier avec dig et delv
  • Débogage
  • Délégation d'une zone. Tests avec dnsviz
  • Renouvellement de clés
  • Créer une zone signée avec DNSSEC
 
Retour d'expérience
  • Zone racine
  • Domaines de premier niveau (.fr, .se,.org...)
  • Zones ordinaires signées
  • Stockage des clés. Les HSM.
  • Problèmes opérationnels (re- signature, supervision)
 
Conclusion