La Filière bovine Enjeux et faiblesses Conclusion du Haut Conseil de la Coopération Agricole
Domain Name System : Attaques et sécurisation · 1 DNS Présentation Miseenoeuvre Faiblesses 2...
Transcript of Domain Name System : Attaques et sécurisation · 1 DNS Présentation Miseenoeuvre Faiblesses 2...
Domain Name System : Attaques et sécurisation
Hamza HMAMAGuillaume LUCAS
Faculté des Sciences et TechniquesLimoges
30 mai 2012
Hamza HMAMA - Guillaume LUCAS (L3) DNS : Attaques et sécurisation 30 mai 2012 1 / 19
Introduction
DNS comme projetToute transaction en réseau commence par DNSDNS = Internet
Hamza HMAMA - Guillaume LUCAS (L3) DNS : Attaques et sécurisation 30 mai 2012 2 / 19
1 DNSPrésentationMise en oeuvreFaiblesses
2 DNSSECPrésentationPrésentation détailléeFaiblesses
3 Conclusion
Hamza HMAMA - Guillaume LUCAS (L3) DNS : Attaques et sécurisation 30 mai 2012 3 / 19
Présentation DNS
Nom de domaine : Identifiant unique pour un ensemble de machinesConception : dès 1982
ServicesEnregistrementRésolution
CaractéristiquesHiérarchique (pas centralisé !)RedondantDistribué
Hamza HMAMA - Guillaume LUCAS (L3) DNS : Attaques et sécurisation 30 mai 2012 4 / 19
hiérarchie
Hamza HMAMA - Guillaume LUCAS (L3) DNS : Attaques et sécurisation 30 mai 2012 5 / 19
Résolution
Figure: D’après : https ://fr.wikipedia.org/wiki/Fichier :DNS_iterations.svg.
Hamza HMAMA - Guillaume LUCAS (L3) DNS : Attaques et sécurisation 30 mai 2012 6 / 19
Mise en oeuvre
Hamza HMAMA - Guillaume LUCAS (L3) DNS : Attaques et sécurisation 30 mai 2012 7 / 19
Faiblesses
Figure: Source : présentation de Stéphane Bortzmeyer à SARSSI 2009.
Hamza HMAMA - Guillaume LUCAS (L3) DNS : Attaques et sécurisation 30 mai 2012 8 / 19
Faiblesses
Mauvaise configurationTransfert de zoneServeur ouvertServeur faisant autorité récursif
Ghost(busters)But : Maintien d’un nom domaine inexistantIntérêts : C&C, censure, ....
AmplificationBut : Provoquer un déni de service (DoS)Intérêts : Furtivité et efficacité
Hamza HMAMA - Guillaume LUCAS (L3) DNS : Attaques et sécurisation 30 mai 2012 9 / 19
Faiblesses (Suite)
Empoisonnement de cacheBut : Introduire une réponse falsifiéeIntérêt : Tromper les utilisateursImpact limité
KaminskyOptimisation de l’empoisonnement de cacheFort impact
Hamza HMAMA - Guillaume LUCAS (L3) DNS : Attaques et sécurisation 30 mai 2012 10 / 19
DNSSEC
ApparitionMi-1990 : Réflexion sur les faiblesses de DNS1999 : Émergence d’une première version2001-2005 : Refonte
ExtensionPréserve le fonctionnement DNSCompatibilité
ObjectifAuthentifie les données uniquementCryptographie asymétriqueÉvolutif
Hamza HMAMA - Guillaume LUCAS (L3) DNS : Attaques et sécurisation 30 mai 2012 11 / 19
Présentation détaillée
CryptographieModèle à deux clés : KSK, ZSKSignature des donnéesRoulement des clés
Nouveaux enregistrementsRRSIG : stocke la signatureNSEC : Non-existenceNSEC3
Problématique : Valider les signatures
Hamza HMAMA - Guillaume LUCAS (L3) DNS : Attaques et sécurisation 30 mai 2012 12 / 19
Où trouver les clés ?
Solutions envisageablesHistorique : Distribuer les clésRegroupement des clésDiffuser les clés dans DNS
Chaîne de confianceDéléguer la confiance depuis un pointNouvel enregistrement : DS
Hamza HMAMA - Guillaume LUCAS (L3) DNS : Attaques et sécurisation 30 mai 2012 13 / 19
Chaîne de confiance
Hamza HMAMA - Guillaume LUCAS (L3) DNS : Attaques et sécurisation 30 mai 2012 14 / 19
Bilan des faiblesses
Figure: Source : présentation de Stéphane Bortzmeyer à SARSSI 2009.
Hamza HMAMA - Guillaume LUCAS (L3) DNS : Attaques et sécurisation 30 mai 2012 15 / 19
Faiblesses DNSSEC
Mauvaise configuration toujours possible
Zone walkingBut : Obtenir tous les enregistrements d’une zoneIntérêts :
I Récupérer des informations sensiblesI Compromettre un business-model
Hamza HMAMA - Guillaume LUCAS (L3) DNS : Attaques et sécurisation 30 mai 2012 16 / 19
Zone walking (Demo)
Hamza HMAMA - Guillaume LUCAS (L3) DNS : Attaques et sécurisation 30 mai 2012 17 / 19
Conclusion
Bilan DNS/DNSSECDNS toujours utilisableDNSSEC solution efficace d’avenir ...... mais à long terme
Bilan projet S62 maquettes réaliséesApprofondir nos connaissances DNSCapables de mettre en place une technologie récenteGagner 2 (3 ?) kudos
Hamza HMAMA - Guillaume LUCAS (L3) DNS : Attaques et sécurisation 30 mai 2012 18 / 19
Any Questions ? ?
Figure: Source :https ://somkritya.files.wordpress.com/2012/01/burning-question.jpg.
Hamza HMAMA - Guillaume LUCAS (L3) DNS : Attaques et sécurisation 30 mai 2012 19 / 19