La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Présenté par : walid SIDHOM

Publié parBénédicte Magne Modifié depuis plus de 9 années

Présentations similaires

Présentation au sujet: "Présenté par : walid SIDHOM"— Transcription de la présentation:

1 Présenté par : walid SIDHOM
DNSSEC Présenté par : walid SIDHOM

2 Plan Introduction au serveur de noms de domaine (DNS)
Pourquoi DNSSEC ?? Mécanismes du DNSSEC État des lieux 17-19 Juin 2003 DNSSEC

3 DNS Toutes les machines communiquent entre elles avec des @IP.
L’Homme ne peut pas retenir toutes utiles. Besoin d’un annuaire (DNS) 17-19 Juin 2003 DNSSEC

4 DNS : exemple de résolution
Question: A 2 1 A ? root-server 3 “go ask tn ns.ati.tn” (+ glue) A ? Caching forwarder (recursive) Resolver 4 A ? 8 cctld-server 5 “go ask ati.tn ns.ati.tn” (+ glue) Add to cache 9 6 A ? 10 TTL 7 “ ” Ati-server (ns.ati.tn) 17-19 Juin 2003 DNSSEC

5 DNS: Flux des données Zone file master Dynamic updates slaves resolver
Zone administrator Zone file 1 4 master Caching forwarder 2 slaves 3 5 Dynamic updates resolver 17-19 Juin 2003 DNSSEC

6 DNS : Vulnérabilités Zone file master Dynamic updates slaves resolver
Corrupting data Impersonating master Cache impersonation Zone administrator Zone file 1 4 master Caching forwarder 2 slaves 3 5 Dynamic updates resolver Cache pollution by Data spoofing Unauthorized updates Server protection Data protection 17-19 Juin 2003 DNSSEC

7 DNS : Vulnérabilités (2)
Les données peuvent être corrompues entre le resolver et le caching forwarder Le protocole ne permet pas de vérifier la validité des données reçues L’ID de le transaction est prédictible Pollution du cache +TTL élevé. Absence d’authentification entre Master et Slave. 17-19 Juin 2003 DNSSEC

8 Pourquoi DNSSEC ??? DNSSEC permet d’authentifier les serveurs qui dialoguent et échangent des données DNSSEC protège contre la corruption des données « spoofing » DNSSEC utilise TSIG pour l’authentification des serveurs. DNSSEC utilise (KEY/SIG/NXT) pour vérifier l’intégrité et l’authenticité des données. 17-19 Juin 2003 DNSSEC

9 TSIGs: problèmes résolus
Impersonating master Zone administrator Zone file master Caching forwarder Dynamic updates slaves Unauthorized updates resolver 17-19 Juin 2003 DNSSEC

10 TSIG : Transaction Signature
TSIG : RFC 2845 Autorise les « dynamic updates » et les transferts de zone. Authentification des « caching forwarder » Transactions signées avec une clé partagée Les TSIGs sont utilisées dans la configuration des serveurs et non dans les fichiers de zone 17-19 Juin 2003 DNSSEC

11 TSIG : Exemple Query: AXFR AXFR AXFR Sig ... verification Sig ...
Master Slave KEY: %sgs!f23fv Slave KEY: %sgs!f23fv KEY: %sgs!f23fv verification Sig ... SOA Sig ... SOA Response: Zone 17-19 Juin 2003 DNSSEC

12 KEY/SIG/NXT (2) Authenticité et intégrité des données par SIGnature des RRs avec des « private KEYs ». Les « Public KEYs » sont utilisés pour vérifier les SIGnatures. Les NXT servent à dire quel est le prochain RR dans le fichier de zone 17-19 Juin 2003 DNSSEC

13 KEY/SIG/NXT Zone file master Dynamic updates slaves resolver
Cache impersonation Zone administrator Zone file master Caching forwarder Cache pollution by Data spoofing Dynamic updates slaves resolver 17-19 Juin 2003 DNSSEC

14 Etat des Lieux le DNSSEC est en phase de tests à l’échelle mondiale ( avec quelques implémentations locales). Pas de standards Objectif : faire communiquer tous les serveurs DNS en utilisant les techniques de sécurité offertes par le DNSSEC. L’implémentation du DNSSEC est en phase de test au sein de l’ATI , responsable de la gestion du domaine .tn 17-19 Juin 2003 DNSSEC

15 Agence Tunisienne d’Internet 13 rue Jugurtha Mutuelleville
Merci …! Walid Sidhom Agence Tunisienne d’Internet 13 rue Jugurtha Mutuelleville 17-19 Juin 2003 DNSSEC

Télécharger ppt "Présenté par : walid SIDHOM"

Présentations similaires

Sécurité informatique

Sécurité informatique
Active Directory Windows 2003 Server

Active Directory Windows 2003 Server
Exposé de système présenté le 2 décembre 2004, Par Rémy Lataix

Exposé de système présenté le 2 décembre 2004, Par Rémy Lataix
Installation d’un serveur DNS et DHCP

Installation d’un serveur DNS et DHCP
Client Mac dans un réseau Wifi d’entreprise sécurisé

Client Mac dans un réseau Wifi d’entreprise sécurisé
Serveur Uniquement Autoritaire & TSIG Atelier ccTLD Dakar, 7-10 décembre 2005 Document de Alain Patrick AINA Traduit par Alain Patrick AINA.

Serveur Uniquement Autoritaire & TSIG Atelier ccTLD Dakar, 7-10 décembre 2005 Document de Alain Patrick AINA Traduit par Alain Patrick AINA.
« Le commerce électronique en Tunisie :

« Le commerce électronique en Tunisie :
Implémentation et Configuration Du Serveur RADIUS

Implémentation et Configuration Du Serveur RADIUS
Services DNS.

Services DNS.
- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.

- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.
– Karima YAHIAOUI & Benjamin HOELLINGER - Les protocoles de sécurité

– Karima YAHIAOUI & Benjamin HOELLINGER - Les protocoles de sécurité
Conception de la sécurité pour un réseau Microsoft

Conception de la sécurité pour un réseau Microsoft
Guillaume CACHO Pierre-Louis BROUCHUD

Guillaume CACHO Pierre-Louis BROUCHUD
Vue d'ensemble Implémentation de la sécurité IPSec

Vue d'ensemble Implémentation de la sécurité IPSec
Module 6 : Gestion et analyse du système DNS

Module 6 : Gestion et analyse du système DNS
Le File Transfer Protocol

Le File Transfer Protocol
Configuration de Windows Server 2008 Active Directory

Configuration de Windows Server 2008 Active Directory
La configuration Apache 2.2 Lhébergement virtuel.

La configuration Apache 2.2 Lhébergement virtuel.
Active Directory Windows 2003 Server

Active Directory Windows 2003 Server
Configuration et dépannage du système DNS

Configuration et dépannage du système DNS

Présentations similaires

Annonces Google