Petite présentation (très) simplifiée de DNSSEC

1. Domain Name System Security Extensions (aka. DNSSEC pour les intimes) RFC 4033, RFC 4034 et RFC 4035… ~ Félix AIME – LP CDAISI – 0x7da

2. DNS

3. tread DNS(SEC)

4. OK, what’s the :(){:|:&};: ?

6. Un principe pas bête : la récursivité

8. DNS Cache poisoning

10. Tunneling DNS (TEXT - DNScat, Meterpreter etc.)

11. DNS rebinding etc.(* Certains « trucs » non liés au protocole lui-même)

13. DNS Cache poisoning

15. Tunneling DNS (TEXT - DNScat, Meterpreter etc.)

16. DNS rebinding etc.(* Certains « trucs » non liés au protocole lui-même)

17. DNS Cache poisoning, uh ? 3. Quelle est l’IP de www.ndd.tld ? 2. J’lai pas dans mon cache, attends, j’demande… ? 1. Quelle est l’IP de www.ndd.tld ? 5. www.ndd.tld = 1.1.1.1 SERVEUR FAISANT AUTORITÉ SUR WWW.NDD.TLD RESOLVER 6. www.ndd.tld = 6.6.6.6 DORA L’EXPLORATRICE 4. Bob répond avant le serveur www.ndd.tld = 6.6.6.6 BOB LE BRICOLEUR (Il existe plusieurs types d’attaques permettant le DNS Cache Poisoning j’ai donc simplifié)

18. DNS Cache poisoning, uh ? 3. Quelle est l’IP de www.ndd.tld ? 2. J’lai pas dans mon cache, attends, j’demande… ? PWNED 1. Quelle est l’IP de www.ndd.tld ? 5. www.ndd.tld = 1.1.1.1 SERVEUR FAISANT AUTORITÉ SUR WWW.NDD.TLD RESOLVER 6. www.ndd.tld = 6.6.6.6 PWNED DORA L’EXPLORATRICE 4. Bob répond avant le serveur www.ndd.tld = 6.6.6.6 BOB LE BRICOLEUR (Il existe plusieurs types d’attaques permettant le DNS Cache Poisoning j’ai donc simplifié)

20. Protection cryptographique des enregistrements

21. Authenticité & intégrité

22. Chaine de confiance par récursivité

24. Signature électronique des enregistrements;; Réponse DNSSEC (avec dig) ;; ANSWER SECTION: icann.org. 600 IN A 192.0.32.7 icann.org. 600 IN RRSIG A 7 2 600 20101003060346 ( 2010092517251217997 icann.org. j6cO8Nxk3gqQM2ycu550M/8cZXiD0Z4ivtjMn2zcuN1M adY2/cZwuhZaAwkAxy8o+Fs18K+5W5YzDQZ4yxZKNtA8 sE8hBwOUcBv8mWAdlVqacpzWbwuELdv9Z2FEvJZ2TQuvJIxS8LRc6YlGV4J8ryYF6gOH4K1B8TM1V2+51mo= ) ;; Réponse DNS « standard » (avec dig) ;; ANSWER SECTION: icann.org. 600 IN A 192.0.32.7 (*sous réserve d’implémentation totale et correcte)

25. SERVER, le serveur DNS faisant autorité RESOLVER, le Résolver Signature de l’enregistre-ment avec une clé privée Envoi d’une question de type « A » Query « A » : what’s the IP for www.exemple.com ? Réception de la demande envoi de l’enregistrement Réception d’une réponse de type « A » avec DNSSEC Answer A : www.exemple.com = 192.0.32.7 Sign : AwEAAbJ41(…)qqdVirOiibKey : 6myTz9(…)GWONmNY Analyse de la signature grâce à la clé publique réceptionnée Signe Signe Signe Authenticité par récursivité des signatures xx.ndd.fr ndd.fr .fr . DS DS DS (* Le graphique a été (très/trop) simplifié)

26. Cool ! Cependant…

28. L’implémentation sera (très, très) longue

29. Certains équipements sont encore “unaware”

30. Les FAI fr n’ont toujours pas intégré DNSSEC

31. Il ne corrige que certaines vulnérabilités

32. La transaction n’est PAS chiffrée & authentifiée

34. Sources & Merci Merci à StéphaneBortzmeyerpour ses articles AFNIC, NOMINET, IETF, DIG Images : EnglishRussia & XKCD <3 DNSSEC Adds Value ?- Ron Aitchison, 2008 DNSSEC-bis for complete beginners (like me) - Bert Hubert RFC 4033: DNS Security Introduction and Requirements - StéphaneBortzmeyer, 2010 Delegation Signer (DS) Resource Record (RR) - O. Gudmundsson , 2003 DNSSEC Training Workshop - Alain Patrick, 2008 Deploying DNSSEC Without a Signed Root - Samuel Weiler, 2004

35. 1. #!/usr/bin/python 2. 3. def merci(): 4. print ‘Merci !’ 5. exit() 6. 7. try: 8. merci() 9. except: 10. print ‘Questions ?’ 11. exit() Félix AIME – LP CDAISI – 0x7da