FORMATION DNSSEC - Sécuriser votre DNS
Objectifs de la formation DNSSEC
Le DNS est indispensable au bon fonctionnement d'internet et de tout réseau privé. S'il s'agit d'un des plus anciens protocoles, c'est aussi l'un des plus sensibles et des plus méconnus, dont la sécurité n'a été étudiée que tardivement. DNSSEC tente de remédier à certaines faiblesses de DNS, mais les contraintes et les nouveaux risques liés à DNSSEC sont réels et ne participent pas à son déploiement rapide.
Afin de maîtriser les risques et difficultés techniques du protocole DNS, afin d'évaluer l'utilité réelle de DNSSEC pour la sécurité, il convient de maîtriser le fonctionnement de DNS et DNSSEC, par la théorie comme la pratique.
Cette formation DNSSEC vous permettra d'acquérir les connaissances du protocole DNS et de l'extension DNSSEC. Les participants auront configuré en pratique une installation de ISC BIND durcie ainsi qu'une infrastructure DNSSEC. Ils seront en mesure d'éviter les pièges du DNS et de déterminer l'intérêt réel d'un déploiement éventuel de DNSSEC dans leur environnement
Pré-requis :
Les connaissances préalables de l'administration des systèmes Unix, des réseaux et des protocoles TCP/IP sont nécessaires.
Remarques :
Cette formation DNSSEC, pratique et technique, s'adresse aux exploitants et administrateurs systèmes et réseaux, ainsi qu'à leurs responsables et aux architectes amenés à prendre des décisions de nature technique.
Contenu de la formation DNSSEC
DNS : spécifications et principes
Vocabulaire
arbres, zones ...
resolver, cache, authoritative, forwarder ...
Organisation
Whois, délégations ...
Protocole
RRSet, entêtes, couche de transport et EDNS
Problèmes liés aux pare-feux
Les RR
A, PTR, SOA, NS, MX, SPF, CNAME, AXFR, IXFR ...
Fonctionnement interne
bootstrap, TLD, reverse, récursion/itération, glue records
Logiciels
Les couches logicielles
libresolv, nsswitch, cache ...
Alternatives à BIND
BIND : présentation
Outils sur le DNS
zonecheck, dig, revhosts, named-checkzone/conf ...
BIND en pratique
Ressources
Bv9ARM (html)
Configuration
Options globales, déclaration de zones
Fichiers de zone
Fichier de zone, réplications, reverse
Sécurité
Corruption de zone, dynamic updates
Problème des caches (spoofing, usurpation)
Canaux cachés
Fuite d'information DNS public/privé
Durcissement de BIND
Niveau process
Niveau configuration (contrôle d'accès, journalisation)
Vues
Introduction DNSSEC
DNSSEC en pratique
Objectifs et limites
Objectifs, ce que DNSSEC ne fait pas, les problèmes apportés par DNSSEC
Rappels sur la cryptographie symétrique / asymétrique
Protocole
"DO" flag et couche de transport (EDNS)
Problèmes liés aux pare-feux
TSIF/SIG0
RFC 4033-35
DNSKEY,
RRSIG,
NSEC
Créer une zone
dnssec-keygen,
-signzone,
named-checkzone/conf
Configurer le resolver
Vérifier avec dig
Debug
Délégation
DS
Renouvellement de clés
Retour d'expérience
Root zone
Domaines de premier niveau (.se, ...)
Infrastructure privée
formation Sécurité DNS
-formation Sécurité BIND
