Conférence #195 - Échec aux empoisonneurs : sécuriser le DNS avec DNSSEC

Securité 40 mn en_US Professionnel Confirmé

Introduction de la conférence

Les attaques DNS (Domain Name System) par empoisonnement sont une des principales menaces sur la sécurité du DNS. Une solution technique existe depuis de nombreuses années, DNSSEC, déployé dans la racine et dans tous les TLD importants. Environ 10 % des utilisateurs du DNS dans le monde passent par un résolveur DNSSEC validant. Mais c’est encore insuffisant compte tenu du risque.

Cet exposé (en français) reviendra sur les menaces d’empoisonnement, expliquera DNSSEC et détaillera comment l’utiliser en pratique, évidemment avec du logiciel libre.

À propos du conférencier

Biographie

Stéphane Bortzmeyer est ingénieur R&D, spécialiste des infrastructures de l'Internet, notamment le DNS. Il a travaillé sur des questions comme la résilience, la sécurité, les attaques DoS, DNSSEC, et bien d'autres choses.

Description de la conférence

La vulnérabilité du DNS aux empoisonnements (réponse envoyée par un autre serveur que celui interrogé) est connue depuis de nombreuses années mais cette vulnérabilité est surtout célèbre depuis les découvertes de Dan Kaminsky en 2008. L'actualité récente (avec le détournement des résolveurs de Google en Turquie) a rappelé que bien des gens sont intéressés à modifier les réponses DNS légitimes.

La solution standard DNSSEC est normalisée et est largement mise en œuvre dans les logiciels libres DNS : BIND, NSD, Unbound, sans compter les logiciels spécifiques à DNSSEC comme OpenDNSSEC. Le principe est de signer cryptographiquement les enregistrements DNS. Un résolveur validant doit avoir la clé publique de la racine et, de là, il pourra valider de manière arborescente n'importe quel enregistrement, quel que soit le nombre d'intermédiaires sur le trajet.

Mais DNSSEC, ce n'est pas uniquement signer et valider : l'expérience de la cryptographie sur l'Internet montre que des problèmes peuvent survenir. Il est donc crucial de superviser son DNS.

Enfin, DNSSEC ne sert pas qu'à valider le type de données qu'on met actuellement dans le DNS, il permet aussi d'imaginer de nouveaux usages pour le DNS, comme DANE qui permet de publier ses certificats dans le DNS, de manière authentifiée, au lieu de les faire signer par une autorité tierce.

Programme

  • mardi 8/7 à 09:30 | 31 SC002 - 43.632778;3.862760

Documents liés


amarok apache archlinux arduino bitcoin blender creativecommons cernohl debian chamilo drupal elphel eZ Publish fedoraproject firefox gentoo gimp gnome gnu freebsd freeguppy gnuhealth haiku imagemagick inkscape jabber jenkins joomla kde knoppix lea-linux libreoffice linux mageia mandriva moodle mozilla openarena openbsd Open Street Map opensuse perl php pidgin plone postgresql python ruby rudder scribus spip thunderbird tomcat tryton typo3 ubuntu vlc wikipedia wordpress xfce xonotic