Serveur Uniquement Autoritaire & TSIG Atelier ccTLD Dakar, 7-10 décembre 2005 Document de Alain Patrick AINA Traduit par Alain Patrick AINA.

Slides:



Advertisements
Présentations similaires
Vue d’ensemble sur l’atelier & Modèle de Registre
Advertisements

Module 5 : Implémentation de l'impression
Access Frédéric Gava (MCF)
Installation d’un serveur DNS et DHCP
DNS INVERSE ET GESTION DE LA DELEGATION INVERSE Alain Patrick AINA
RCS Atelier ccTLD ISOC Dakar, Sénégal, 2005 Document de joe Abley Traduit par Alain Patrick AINA.
Atelier ccTLD Dakar NIC.SN Université Cheikh Anta DIOP.
Bienvenue à l’atelier ccTLD Présentation de Mirjam Kühne traduite par Alain Patrick AINA 7-10 Décembre 2005 Dakar,Sénégal.
DNS Module 1: Les Fondamentaux Basé sur un document de Brian Candler Traduit par Alain Patrick AINA Atelier CCTLD ISOC.
CcTLD WORKDHP DAKAR décembre PRESENTATION NIC.CI Historique Organisation Processus d'enregistrement Infratrtucture technique.
Les fonctions dun registre Les composantes essentielles dun registre ccTLD Présentation de Daniel Karrenberg Traduit par Alain Patrick AINA.
1 Atelier ccTLD Dakar, 7-11/12/2005 : Communication du NIC.GA 05/12/2005E.MOUYEYE, R.L.ODOUNGA / GABON TELECOM Agenda GABON TELECOM, gestionnaire du.ga.
Module Architectures et Administration des réseaux
ACCES AUX RESSOURCES RESEAU INTERNET
Services DNS.
DUDIN Aymeric MARINO Andrès
Module 10 : Gestion et analyse de l'accès réseau
Vue d'ensemble Implémentation de la sécurité IPSec
Module 6 : Gestion et analyse du système DNS
Module 5 : Résolution de noms d'hôtes à l'aide du système DNS
TRANSFER Alger – Domain Name System Nicolas Larrousse Septembre Introduction ulysse Pourquoi nommer les machines ? Tables de machines.
DNS (Domain Name System)
Domain Name Service (DNS)
APACHE HTTP SERVER Formation TRANSFER ALGER Mai 2002.
TCP/IP – Résolution des Noms
Configuration de Windows Server 2008 Active Directory
La configuration Apache 2.2 Lhébergement virtuel.
Configuration et dépannage du système DNS
SECURITE DU SYSTEME D’INFORMATION (SSI)
1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.
OLAP : Un pas vers la navigation
Présenté par : Albéric Martel Fabien Dezempte 1.
Publispostage Menu Outils / Lettres et publipostage
GESTION DE PARCS D’ORDINATEURS
Lédition de contenu, en bref Catherine Ducharme, CERIC.
Module 3 : Création d'un domaine Windows 2000
Module 7 : Accès aux ressources disque
Vue d'ensemble Présentation du rôle du système DNS dans Active Directory Système DNS et Active Directory Résolution de noms DNS dans Active Directory.
1 Domain Name System. 2 Plan F INTRODUCTION F Principes F Lespace nom de domaine F Les noms de domaine F Le domaine F Domaines racines F Délégation F.
Technologies des serveurs réseaux : DNS
Novembre – Décembre 2005 Version Conclusion État de lart de la sécurité informatique Auteurs : Stéphan GUIDARINI – Consultant Senior Sébastien DESSE.
Support des services et des serveurs
Domain Name System DNS. Le principe basé sur le modèle client / serveur le logiciel client interroge un serveur de nom; typiquement : –l’utilisateur associe.
La sécurité dans les réseaux mobiles Ad hoc
L’attaque DNS Spoofing
DNS POISONING Année académique Université de Liège Dumont R. 2LINF Lepropre J. 2LINF Pauwels M. 2LINF.
Exposé: Présentation et Configuration Du DNS sous LINUX Présenté par: Abdou Rahim Ba Ousmane Wagué Encadrer.
Configuration d’un serveur DNS sous GNU/Linux : BIND
Supports Physiques - Ethernet
Master 1 SIGLIS Java Lecteur Stéphane Tallard Les erreurs communes en Java.
Module 4 : Résolution de noms
Présenté par : walid SIDHOM
http 1.1.  connexion persistante Browser Mozilla Firefox Adresse ip.
Yonel GRUSSON.
Module 3 : Création d'un domaine Windows 2000
PHP 6° PARTIE : LES SESSIONS 1.Introduction 2.Identificateur de session 3.Variables de session 4.Client / Serveur 5.Principe 6.Ouverture de session 7.Enregistrement.
Couche transport du modèle OSI
Configuration d'un serveur DNS
 Formulaires HTML : traiter les entrées utilisateur
© Bénin Télécoms 2012 Atelier de Gestion des Régistres de premier niveau AfTLD-OIF-NSRCDot Khartoum 2012 Khartoum Presente par Gregoire EHOUMI Chef.
1 Windows 2003 Server Stratégie des comptes. 2 Windows 2003 Server Il faut tenir compte de ces 3 paramètres.
Le DNS B.T.S. S.I.O – SISR3 –
AFNOG DNSSEC Pourquoi et détails du protocole
DNS Session 2: Fonctionnement du cache DNS et corrections du DNS Grégoire EHOUMI AFNOG 2014, Djibouti, Djibouti 1.
LE SERVEUR PROXY Un serveur proxy (traduction française de «proxy server», appelé aussi «serveur mandataire») est à l'origine une machine faisant fonction.
DNS Session 1 : Principes de base Arnaud Abdoul Aziz AMELINA AFNOG 2015, Tunis, Tunisie.
DNS Session 3: Configuration du serveur autoritaire Arnaud A. A. AMELINA Alain Patrick AINA AFNOG 2014, Tunis, TUNISIE 1.
TCP - IP AFPA CRETEIL 5-1 Résolution de noms DNS Chapitre 5.
Yonel GRUSSON1. 2 Installation et configuration d'un serveur DNS Plan  Rappel des notions Domaine Serveur de noms Zone d'autorité  Stratégie d'implantation.
V.1a E. Berera1 IPv6 Nommage Serveur de noms DNS Objectif: Comprendre les modifications de DNS pour supporter IPv6.
Transcription de la présentation:

Serveur Uniquement Autoritaire & TSIG Atelier ccTLD Dakar, 7-10 décembre 2005 Document de Alain Patrick AINA Traduit par Alain Patrick AINA

Différents types de serveurs Plusieurs types de serveurs de noms Serveurs autoritaires Maître ( primaire) Esclave (secondaire) Les serveurs cache Aussi cache forward Mixage de fonctionnalités

Pourquoi séparer les fonctionnalités(1)? Les données autoritaires et non autoritaires sont destinées à différents groupes de clients Afin de servir des données autoritaires à lInternet, les NS doivent être en dehors du pare-feu Les caches doivent généralement être placés derrière un pare-feu pour les protéger comme les abus externes. Servir les données autoritaires est plus important que servir les données du cache; surtout pour vous les opérateurs de noms de domaine nationaux.

Pourquoi séparer les fonctionnalités(2)? Les serveurs cache peuvent être empoisonnés Si un pirate arrive à faire accepter des ER falsifiés avec un grand TTL à votre serveur cache, des données invalides peuvent être utilisées pour servir des données autoritaires. Certaines attaques de déni de service et de buffer overrun réussissent mieux sur les serveurs cache.

Pourquoi séparer les fonctionnalités(3)? Les serveurs autoritaires peuvent servir les données autoritaires(constantes en taille) plus efficacement si les données du cache ne monopolisent pas les ressources systèmes. Les clients récursifs utilisent de la mémoire (jusquà 20kb/s) Les serveurs cache utilisent de la mémoire pour garder les données Répondre aux requêtes récursives demande du temps et des ressources système

Comment configuré un serveur uniquement autoritaire Arrêter la récursion Avec bind9 options { recursion no ; }; puis, redémarré named Vérifier le flag ra dans len-tête des réponses de votre serveur # xxxx.cctld.sn soa Vérifier que votre serveur a la récursion arrêtée # noc.cctld.sn A Vous devez avoir une référence vers les serveurs racine

TSIG

Quest-ce que TSIG? Un mécanisme pour protéger un message dun resolver au serveur et vice versa Un hash avec clé est appliqué( comme une signature digitale). Ainsi le destinataire peut vérifier le message Basé sur une valeur secrète partagée – expéditeur et destinataire sont configurés avec la valeur RFC2845

TSIG et format des messages En-tête DNS Question Réponse Autorité Additionnel & donnéeTSIG Format dun message DNS

TSIG et format de message ; > DiG a -k /var/named/keys/Khost1-host key ;; QUESTION SECTION: ; IN A ;; ANSWER SECTION: IN A ;; AUTHORITY SECTION: rfi.fr IN NS ns1.mgn.net. rfi.fr IN NS ns2.mgn.net. rfi.fr IN NS ns3.mgn.net. ;; ADDITIONAL SECTION: ns1.mgn.net IN A ns2.mgn.net IN A ns3.mgn.net IN A ;; TSIG PSEUDOSECTION: host1-host2. 0 ANY TSIG hmac-md5.sig-alg.reg.int jfqapw+5tnpqKceNaf5RnQ== NOERROR 0

; > DiG ripe.net a -k /var/named/keys/Khost1-host key +dnssec ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 2 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;ripe.net. IN A ;; ANSWER SECTION: ripe.net. 592 IN A ripe.net. 592 IN RRSIG A ripe.net. GFWL87C+fcxPkFQ93ifF3SS0eq523Ktv92p0QPGcRs2q4t9pMVy8qjHN oTXEmthamwGdIy90wW5lcUtcfZMTarhx+0Q7zJwO76sXcjjNqMB4nbEb i2D/596k23DghZ/+Wg/zy/u0yRoYm0LfmbKIZE4WHnb7AeSadKjEz+Ts iuS5wdk5F7SkxginC2JfYRmgxQOQ9NaY ;; ADDITIONAL SECTION: ripe.net IN DNSKEY AQOTT7bx7N38sPgDWniKnHnSnTxYxdMpEq7dyrDHDaRQgq7DULPWX6ZY 0U1XKKMuNloHRP7H8r17IBhgXcPZjZhtSGYagtPe22mhAMjZ4e8KGgP9 kJTTcpgzoYulvSiETBxjQ42EZWJG+6bxK+vyrwTbqEScmdZfqQz3ltVw k6Sos0UuSmTeb2C6RSkgHaTpKCu5yIrncVer1gvyvXGv3HOel8jiDGuj 8peNByiaSRD4OIJUxu1jUqLvfDH6Anq6ZeNohxsYVUVajiRl1T+3x5+8 acgwat3V55Z1Nm4O4Z1BKECdPO65EXIEC7/pqs5XvpsiJbafdj03uqLS a3aScpy3 ripe.net IN DNSKEY AQPGmhQPgNllavUXhVoDZZploCWbHr7lqcIGEiR/ct0KCTx4Skp+tBfX qnq8fz8/UpK4B+s6xIk5FPdjNnFXltdSx81bcM+BadLHL5iuBdQdkH8e yJq2Fk1LAUiP2AB8RAFBd4WQMAklw5z/91jw6aMXSfAo6sSxUFSS1WY8 ChesKvwefNcqglSswlFwxjWHo9XNkFsx0u8= ;; TSIG PSEUDOSECTION: host1-host2. 0 ANY TSIG hmac-md5.sig-alg.reg.int eaDNJtJXavAjVqDZSANllA== 39 NOERROR 0

Nom et valeur secrète Nom TSIG – Un nom est donné à la clé, le nom est ce qui est transmis dans le message (ainsi le destinataire sait quelle clé lexpéditeur a utilisé) Valeur secrète TSIG – Une valeur déterminée pendant la production de la clé – Généralement codée en Base64 Ressemble à la clé rndc – BIND utilise la même interface pour les clés TSIG et RNDC

Utilisation de TSIG pour protéger AXFR Détermination de la valeur secrète – dnssec-keygen -a... -b... -n... name Configuration de la clé – dans named.conf, même syntaxe que rndc – key { algorithm...; secret...;} Utilisation de la clé – Dans named.conf – server x { keys...; } – Où 'x' est ladresse IP des autres serveurs

Exemple de configuration Serveur primairer key ns1-ns2.zone. { algorithm hmac-md5; secret "APlaceToBe"; }; server { keys {ns1-ns2.zone.;}; }; zone "my.zone.test." { type master; file...; allow-transfer { key ns1-ns2.zone.; key ns1-ns3.zone.;}; }; Serveur secondaire key ns1-ns2.zone. { algorithm hmac-md5; secret "APlaceToBe"; }; server { keys {ns1-ns2.zone.;}; }; zone "my.zone.test." { type slave; file...; masters { ;}; allow-transfer { key ns1-ns2.zone.;}; }; Une fois encore, la valeur secrète semble ok, mais est invalide

Le temps!!! TSIG est sensible au temps – pour arrêter les « attaques de retransmission » – La protection des messages expire en 5 minutes – Sassurer que les horloges sont synchronisées – Pour les tests, régler les horloges – En production, un NTP sécurisé est nécessaire

Autres utilisations de TSIG TSIG était conçu pour dautres objectifs – Protection des stub resolvers sensibles Difficile à réaliser – Les mises à jour dynamiques Leur sécurisation dépend du TSIG