SSTIC 2011 - Architecture DNS Sécurisée


Architecture DNS Sécurisée

Après avoir essayé de faire tomber internet, on va s’atteler à sécuriser DNS :p

On à le droit à un bon rappel sur les attaques possible contre les infrastructures DNS (vous vous souvenez de l’attaque de Kaminsky?) pour introduire DNSSEC.

« Et pour ceux qui ont du mal à digérer le chili, dnssec c’est une architecture DNS avec une hiérarchie de clefs, maintenant vous pouvez vous rendormir » (c’est vrai que le chili était lourd, ça va se sentir au social event).

Non content de signer les enregistrements qui existent, avec NSEC on viens signé les zones qui n’existent pas pour éviter les usurpation sur des zones qui n’existent pas… mais en tant qu’attaquant, c’est sympa, ça permet d’énumérer le DNS via des requêtes NSEC.
Bon pour répondre à ce problème, il y a NSEC3 pour bloquer les requêtes sur ces éléments pour éviter l’énumération via NSEC. l’énumération reste possible, mais il faut pré-calculer des empreintes…

Bon après vient le problème des réseaux non-sécurisés (comme le wifi du SSTIC par exemple…) et les liens ! pour ça on à TSIG, mais il n’y a pas protection des données, et donc l’empoisonnement du cache reste possible (hum, ya ça aussi).

En alternative à DNSSEC il est possible de faire de la résolution de nom via LDAP pour éviter ces problèmes de cache poisonning (je vous invite à regarder les actes, comme vous pouvez le constater, j’écoute plus que je ne bloggue en ce moment :p ).