Présenté par : walid SIDHOM DNSSEC Présenté par : walid SIDHOM

Plan Introduction au serveur de noms de domaine (DNS) Pourquoi DNSSEC ?? Mécanismes du DNSSEC État des lieux 17-19 Juin 2003 DNSSEC

DNS Toutes les machines communiquent entre elles avec des @IP. L’Homme ne peut pas retenir toutes les @IP utiles. Besoin d’un annuaire (DNS) 17-19 Juin 2003 DNSSEC

DNS : exemple de résolution Question: www.ati.tn A 2 1 www.ati.tn A ? root-server 3 “go ask tn server @ ns.ati.tn” (+ glue) www.ati.tn A ? Caching forwarder (recursive) Resolver 193.95.68.161 4 www.ati.tn A ? 8 cctld-server 5 “go ask ati.tn server @ ns.ati.tn” (+ glue) Add to cache 9 6 www.ati.tn A ? 10 TTL 7 “193.95.68.161” Ati-server (ns.ati.tn) 17-19 Juin 2003 DNSSEC

DNS: Flux des données Zone file master Dynamic updates slaves resolver Zone administrator Zone file 1 4 master Caching forwarder 2 slaves 3 5 Dynamic updates resolver 17-19 Juin 2003 DNSSEC

DNS : Vulnérabilités Zone file master Dynamic updates slaves resolver Corrupting data Impersonating master Cache impersonation Zone administrator Zone file 1 4 master Caching forwarder 2 slaves 3 5 Dynamic updates resolver Cache pollution by Data spoofing Unauthorized updates Server protection Data protection 17-19 Juin 2003 DNSSEC

DNS : Vulnérabilités (2) Les données peuvent être corrompues entre le resolver et le caching forwarder Le protocole ne permet pas de vérifier la validité des données reçues L’ID de le transaction est prédictible Pollution du cache +TTL élevé. Absence d’authentification entre Master et Slave. 17-19 Juin 2003 DNSSEC

Pourquoi DNSSEC ??? DNSSEC permet d’authentifier les serveurs qui dialoguent et échangent des données DNSSEC protège contre la corruption des données « spoofing » DNSSEC utilise TSIG pour l’authentification des serveurs. DNSSEC utilise (KEY/SIG/NXT) pour vérifier l’intégrité et l’authenticité des données. 17-19 Juin 2003 DNSSEC

TSIGs: problèmes résolus Impersonating master Zone administrator Zone file master Caching forwarder Dynamic updates slaves Unauthorized updates resolver 17-19 Juin 2003 DNSSEC

TSIG : Transaction Signature TSIG : RFC 2845 Autorise les « dynamic updates » et les transferts de zone. Authentification des « caching forwarder » Transactions signées avec une clé partagée Les TSIGs sont utilisées dans la configuration des serveurs et non dans les fichiers de zone 17-19 Juin 2003 DNSSEC

TSIG : Exemple Query: AXFR AXFR AXFR Sig ... verification Sig ... Master Slave KEY: %sgs!f23fv Slave KEY: %sgs!f23fv KEY: %sgs!f23fv verification Sig ... SOA … Sig ... SOA … Response: Zone 17-19 Juin 2003 DNSSEC

KEY/SIG/NXT (2) Authenticité et intégrité des données par SIGnature des RRs avec des « private KEYs ». Les « Public KEYs » sont utilisés pour vérifier les SIGnatures. Les NXT servent à dire quel est le prochain RR dans le fichier de zone 17-19 Juin 2003 DNSSEC

KEY/SIG/NXT Zone file master Dynamic updates slaves resolver Cache impersonation Zone administrator Zone file master Caching forwarder Cache pollution by Data spoofing Dynamic updates slaves resolver 17-19 Juin 2003 DNSSEC

Etat des Lieux le DNSSEC est en phase de tests à l’échelle mondiale ( avec quelques implémentations locales). Pas de standards Objectif : faire communiquer tous les serveurs DNS en utilisant les techniques de sécurité offertes par le DNSSEC. L’implémentation du DNSSEC est en phase de test au sein de l’ATI , responsable de la gestion du domaine .tn 17-19 Juin 2003 DNSSEC

Agence Tunisienne d’Internet 13 rue Jugurtha Mutuelleville Merci …! Walid Sidhom E-mail : sidhom@ati.tn Agence Tunisienne d’Internet 13 rue Jugurtha Mutuelleville www.ati.tn 17-19 Juin 2003 DNSSEC