DNSSEC

FOR_1705-0003

DNSSEC

Objectifs:

  • Les connaissances techniques du protocole DNS et de l’extension DNSSEC
  • Configurer en pratique une installation d’un resolver (Unbound) validant les réponses avec DNSSEC
  • Configurer une installation DNSSEC avec OpenDNSSEC pour gérer les clefs et BIND pour servir les zones signées
  • Eviter les pièges du DNS
  • Déterminer l’intérêt réel d’un déploiement de DNSSEC dans votre environnement

Public:

  • Administrateurs systèmes et réseaux
  • Responsable d’exploitation
  • Architecte

Durée:

14 heures

Programme:

DNS : Spécifications et principes

  • Vocabulaire

  • arbres, zones...

  • resolver, cache, authoritative, fowarder...

  • Organisation

  • TLD, autres domaines, délégations...

  • Protocole

  • RRSet, entêtes, couche de transport et EDNS

  • Problèmes liés aux pare-feux

  • Les enregistrements (RR)

  • A, AAAA, PTR, SOA, NS, MX ...

  • Fonctionnement interne

  • récursion et itération, fonctionnement de la résolution, ...

Logiciels

  • Les couches logicielles

  • "stub resolver", résolveur, rôle de l'application ...

  • Alternatives à BIND

  • outils sur le DNS

  • zonecheck, dig, delv...

Sécurité du DNS

  • Les risques : modification non autorisée des données, piratage des serveurs, attaque via le routage ou autre "IP spoofing", empoisonnement de cache ... Ce qu'a apporté l'attaque Kaminsky.

Cryptographie

  • Petit rappel cryptographie asymétrique, longueur des clés, sécurité de la clé privée ...

DNSSEC

  • Clés : l'enregistrement DNSKEY. Méta-données des clés. Algorithmes et longueurs des clés.

  • Signature des enregistrements : l'enregistrement RRSIG. Méta-données des signatures.

  • Délégation sécurisée : l'enregistrement DS

  • Preuve de non-existence : les enregistrements NSEC et NSEC3

DNSSEC en pratique

  • Objectifs, ce que DNSSEC ne fait pas, les problèmes apportés par DNSSEC.

  • Protocole

  • bit DO et couche de transport (EDNS)

  • Problèmes liés aux pare-feux

  • Créer une zone signée à la main

  • dnssec-keygen, -signzone, named-checkzone/conf

  • Configurer le résolveur Unbound pour valider

  • Vérifier avec dig et delv

  • Déboguage

  • Délégation d'une zone. Tests avec dnsviz

  • Renouvellement de clés

  • Créer une zone signée avec DNSSEC

Retour d'expérience

  • Zone racine

  • Domaines de premier niveau (.fr, .se, .org, ...)

  • Zones ordinaires signées

  • Stockage des clés. Les HSM.

  • Problèmes opérationnels (re-signature, supervision)

Conclusion

En partenariat avec l'afnic

Plan de formation validé en collaboration avec l'ANSSI


Parcours de formation disponibles sur demande

Sensibilisation pour tous par l'Agence Nationale de Sécurité des Systèmes d'Information

SecNumAcademie - Formation à la Cybersécurité...

par ANSSI_FR

A découvrir sur le site de L’agence nationale de la sécurité des systèmes d'information (ANSSI)

Le MOOC (Massive Open Online Course) SecNumAcademie – La nouvelle formation en ligne met la cybersécurité à la portée de tous

By G-echo

Pour aller plus loin

Ressources