Professional Documents
Culture Documents
SN
DNSSEC
Pourquoi DNSSEC
p Une
p Infrastructure
DNS
Le Problme
o
o
Le Problme(suite)
o
http://www.kb.cert.org/vuls/id/800113
La Solution ????
DNSSEC
Architecture
Registrars/
Registrants
DNS
As friend
secondary
As ISP
Cache server
Registry DB
primary
As DNS provider
Provisioning
client
secondary
DNS Protocol
DNS
Mouvement des donnes
Fichier de
zone
Mise jour
dynamiques
matre
Cache/forwarder
Esclaves
Resolver
Rsolution DNS
Question: www.ripe.net A
www.ripe.net A ?
www.ripe.net A ?
Resolver
192.168.5.10
Serveurs racine
Cache
forwarder
(rcursif)
www.ripe.net A ?
Serveurs-gtld
www.ripe.net A ?
192.168.5.10
Serveurs-ripe
Registrars
Registrants
Cache Poisoning
Registry DB
Provisioning
DNS Protocol
Cache-Stub resolver
communication
Exemple:
Scan de mail non autoris
Subject: tenure
Astrophysics
Mail Server
Where?
There!
DNS
Central Admin
Mail Server
Exemple:
Scan de mail non autoris
Subject: tenure
Astrophysics
Mail Server
Central Admin
Mail Server
Elsewhere
Where?
DNS
Bad Guy
Attaques de Kaminsky
O intervient DNSSEC?
o
Proprits de DNSSEC
o
o
o
Registrars
Registrants
Protection de DNSSEC
Server compromise
Inter-server
communication
Cache Poisoning
Registry DB
Provisioning
DNS Protocol
Cache-Stub resolver
communication
Registrars
Registrants
Protection de DNSSEC
enveloppe scelle
vrification du scell
Registry DB
Provisioning
DNS Protocol
vrification du scell
(suite)
Registrars
Registrants
Protection de TSIG/SIG0
Server compromise
Inter-server
communication
Cache Poisoning
Registry DB
Provisioning
DNS Protocol
Cache-Stub resolver
communication
Authenticit et Intgrit
o
o
o
o
Cryptographie cl publique
o
o
Confidentialit
Cryptographie cl
publique (suite)
o
o
o
o
Enregistrement de ressource:
labelclass
www.ripe.net
o
IN 7200 A 192.168.10.3
Tout les ERs d un label donn, class , type
forment un jeu de ER:
www.ripe.net
IN 7200 A 192.168.10.3
A 10.0.0.3
Dans DNSSEC, ce sont les jeux de ER qui sont signs
et non les ERs individuels
RDATA de DNSKEY
o
o
o
o
16 bits FLAGS
(0,256,257)
8 bits protocole
(3: DNSSEC)
8 bits algorithme
(1: RSA/MD5, 2: DH, 3: DSA, 4:
Elliptic curve, 5: RSA/SHA1, etc...)
Cl publique N*32 bits
Exemples:
ripe.net. 3600 IN DNSKEY 256 3 5 (
AQOvhvXXU61Pr8sCwELcqqq1g4JJ
CALG4C9EtraBKVd+vGIF/unwigfLOA
O3nHp/cgGrG6gJYe8OWKYNgq3kDChN)
RDATA de RRSIG
32 bit expiration de
signature
32 bit dbut de validit de
signature
16 bit ID de cl
Nom du signataire
RDATA de NSEC
Nom suivant dans la zone
o Liste galement les types de ER existants pour
un nom
o L'enregistrement NSEC du dernier nom pointe
vers le premier nom dans la zone
o Exemple:
o
Enregistrement NSEC
ripe.net.
mailbox
www
SOA
..
NS NS.ripe.net.
DNSKEY ............
NSEC
mailbox DNSKEY NS NSEC RRSIG SOA
A
192.168.10.2
NSEC
www A NSEC RRSIG
192.168.10.3
NSEC
RCODE=NXDOMAIN
Delegation Signer: DS
o
o
o
o
o
RDATA du DS
16 bits ID de la cl de l'enfant
Ce champ indique la cl
8 bits algorithme
suivante dans la chane de
8 bits type de digest
confiance
XX octets de digest
o
o
$ORIGIN ripe.net.
disi.ripe.net
3600 IN
disi.ripe.net.
3600 IN
NS
ns.disi.ripe.net
DS 3112 5 1 (
239af98b923c023371b521g23b92da12f42162b1a9
)
Signature de zone
o
Trier la zone
jeu
Cl de signature de cl
$ORIGIN net.
$ORIGIN kids.net.
@ NS
ns1.kids
RRSIG NS () kids.net.
DNSKEY () (1234)
DNSKEY () (3456)
RRSIG DNSKEY 1234 kids.net
RRSIG DNSKEY 3456 kids.net
kids NS
ns1.kids
DS () 1234
RRSIG DS ()net.
money NS
ns1.money
DS
()
Cl de signature de zone
RRSIG DS ()
net.
beth
ns1
A 127.0.10.1
RRSIG A () 3456 kids.net.
A 127.0.10.3
RRSIG A () 3456 kids.net.
KSK/ZSK
o
o
o
o
o
o
KSK/ZSK
draft-ietf-dnsop-rfc4641bis-01.txt suggre
Chane de confiance
o
Les donnes dans les zones peuvent tre valides si elles sont
signes par une ZSK
La ZSK ne peut tre valide que si elle est signe par une KSK
La KSK ne peut digne de confiance que si elle rfrence par
un enregistrement DS de confiance
o
o
Une KSK peut tre valide si elle est change hors bande
(Trusted key)
Chane de confiance
Configuration locale
Trusted key: . 8907
$ORIGIN .
Cl de signature de zone
Cl de signature de cl
$ORIGIN net.
$ORIGIN ripe.net.
ripe.net. DNSKEY () sovP242 (1234)
DNSKEY () rwx002 (4252)
RRSIG KEY () 4252 ripe.net. 5tUcwU...
www.ripe.net. A 193.0.0.202
RRSIG A () 1234 ripe.net. a3Ud...
com.
net.
money.net. kids.net.
corp
dev
dop
market dilbert
marnick
os.net.
mac
unix
nt
Bit AD
o
Bit CD
o
1= validation dsactive
Le resolver accepte des rponses non vrifies
0= validation active
Le resolver veut des rponses vrifies pour les donnes
signes,mais accepte les rponses non vrifies pour les
donnes non signes
Bit D0
o
Outils:
ERs: DSNKEY, RRSSIG, DS, NSEC
Configuration manuelle des cls de la racine
http://www.ohmo.to/dnssec/maps/
03/10/2014
o
o
o
Modification de l Architecture
DNSSEC
o RENOUVELLEMENT
DE CLES
CLES PRIVEES
o
o
Dfaillance du matriel de cl
Attaques brutales
RENOUVELLEMENT DE CLES
o
o
o
Minimiser l'impact
Assurer la transition
CHANGEMENT DE CLES
NON PROGRAMME
o
o
o
o
o
o
RFC5358
RFC5011 ??
o
o
Faire mettre le bit AD dans les requtes pour signaler l'tat des
resolvers ?
Lectures
o
o
o
http://www.bind9.net/manuals
http://www.dnssec.net
RFC (http://www.rfc-editor.org)
Questions?