Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

DNS attaqués, configurer DNSSEC

grandtoubab

Salut

voir le communiqué

https://www.icann.org/news/announcement-2019-02-25-fr

Vérifier au moins que les DNS que vous utilisez font du DNSSEC

un outil dnsbench qui fonctionne très bien par wine

https://www.grc.com/dns/benchmark.htm

~/Téléchargements/dnsbench$ wine DNSBench.exe

Onglet Nameserver

clic droit → cocher dnssec

onglet status

run benchmark

Une doc de l'ANSSI
https://www.ssi.gouv.fr/uploads/2014/05/guide_dns_fr_anssi_1.3.pdf

Une conférence

Stéphane Bortzmeyer – DNS (2018)
https://peertube.parleur.net/videos/watch/f2730b35-bcbc-4d60-b5d9-227edf3b0f71

nam1962

Le souci quand on a un domaine, c'est :
- le registrar propose t'il DNSSEC ? (pas tous)
- comment paramétrer DNSSEC ? (c'est coton et on peut vautrer le domaine)

Suis preneur de tout tuto sur le sujet !

[Edit], pour vérifier un domaine :

dig +dnssec SOA ubuntu-fr.org

Il doit y avoir "ad" dans les réponses de flag --> https://serverfault.com/questions/154016/querying-and-verifying-dnssec

grandtoubab

Sur mon PC Debian j'utilise dnsmasq
je l'ai démasqué dans /etc/dnsmasq.conf

conf-file=/usr/share/dnsmasq-base/trust-anchors.conf
dnssec
dnssec-check-unsigned

je l'ai testé ici http://en.conn.internet.nl/connection/
DNSSEC
Well done! Domain signatures (DNSSEC) are validated for you. Therefore you are protected against false translation from signed domain names into rogue IP addresses.

par dig https://wiki.archlinux.org/index.php/DNSSEC#Testing

la première requete est sécurisé, la réponse vient du dns

dig sigok.verteiltesysteme.net

; <<>> DiG 9.11.5-P1-2-Debian <<>> sigok.verteiltesysteme.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25020
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;sigok.verteiltesysteme.net.	IN	A

;; ANSWER SECTION:
sigok.verteiltesysteme.net. 60	IN	A	134.91.78.139

;; Query time: 51 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: lun. févr. 25 17:06:56 CET 2019
;; MSG SIZE  rcvd: 71

la deuxieme est vue non sécurisée, elle vient du cache

dig sigok.verteiltesysteme.net

; <<>> DiG 9.11.5-P1-2-Debian <<>> sigok.verteiltesysteme.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 35826
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;sigok.verteiltesysteme.net.	IN	A

;; ANSWER SECTION:
sigok.verteiltesysteme.net. 56	IN	A	134.91.78.139

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: lun. févr. 25 17:07:00 CET 2019
;; MSG SIZE  rcvd: 71

nam1962

Ca c'est intéressant côté client, cela dit, c'est côté domaine que ça se corse et il n'y en a pas beaucoup de certifiés (je te pique la config, merci)

grandtoubab

ce test est drôle
http://www.dnssec-or-not.com/

bruno

À noter que DNSSEC ou pas cela ne change pas grand chose à l'attaque citée.
https://www.bortzmeyer.org/attaques-noms-domaine-explications.html

maxire

Oui, effectivement si la procédure d'enregistrement des noms de domaines est elle-même faiblement sécurisée dnssec ne sert strictement à rien ou presque.

grandtoubab

vous êtes surement très expert mais je préfère m'en tenir aux recommandations de l'autorité competente

https://www.icann.org/news/announcement-2019-02-25-fr a écrit Nous sommes certains que les acteurs de l'industrie du DNS ont déjà mis en place de fortes précautions de sécurité dans leurs secteurs respectifs. Néanmoins, il est toujours utile de considérer la liste de contrôle ci-après ......

- vérifier que les enregistrements de zone DNS soient signés DNSSEC et que les résolveurs DNS mettent en place la validation DNSSEC ;

maxire

Ce n'est pas une question d'expertise, je n'y connais rien, je commente juste cet extrait du texte référencé par bruno :

bortzmeyer.org a écritMais supposons qu'Aisne Web ne soit pas une entreprise très attentive en matière de sécurité. Pour s'authentifier auprès du bureau d'enregistrement de noms de domaine, ils ont choisi le mot de passe « toto12345 ». Un tel mot de passe est facile à deviner, surtout pour un logiciel qui peut faire de nombreux essais sans s'en fatiguer. Même avec un mot de passe plus difficile, peut-être qu'un employé d'Aisne Web est crédule et que, quand quelqu'un prétendant être « un technicien de Microsoft » (ou d'Apple, ou d'Orange…) appelera, l'employé acceptera de communiquer le mot de passe. (C'est ce qu'on nomme l'ingénierie sociale et c'est beaucoup plus efficace qu'on ne le croit.)

Une fois le mot de passe connu, le pirate peut alors se connecter à l'interface Web du bureau d'enregistrement, en se faisant ainsi passer pour l'utilisateur légitime. Il va alors modifier les informations techniques, par exemple l'adresse IP du site Web. Et voilà, en croyant se connecter à la pizzeria, les visiteurs iront sur le site du pirate. Bien sûr, pour une pizzeria, ce n'est pas forcément très grave. Mais des noms de domaine bien plus sensibles peuvent être détournés ainsi. Et ces attaques forment un véritable bruit de fond sur l'Internet. Les attaques comme celles perpétrées dans l'affaire qui fait du bruit en ce moment ne sont ni les premières, ni les seules.

C'est parfaitement crédible, si les organismes d'enregistrement de noms de domaines font n'importe quoi dans la gestion des enregistrements DNS, dnssec ou pas cela ne change pas grand chose.

bruno

Je pense que tu peux avoir toute confiance dans les compétences d'un ingénieur de l'AFNIC dont c'est une des spécialités.
Un article plus détaillé : https://www.bortzmeyer.org/dnspionage.html

Mais DNSSEC aurait-il aidé dans ces cas précis ? DNSSEC, on l'a vu, permet de s'assurer que les données n'ont pas été modifiées entre l'origine (l'endroit où sont gérées les données) et le résolveur validant. Mais si les données sont fausses dès l'origine ? Le bon sens nous dit qu'il ne sert à rien de signer des données fausses. Si l'attaquant a le contrôle de l'origine (par exemple le serveur DNS maître), il peut modifier les données et signer des données mensongères. Ou bien il peut simplement retirer l'enregistrement DS dans la zone parente, indiquant ainsi que la zone n'est pas signée. Pour citer Paul Ebersman, « DNSSEC isn't useless but it solves one specific problem ».

grandtoubab

bruno a écritJe pense que tu peux avoir toute confiance dans les compétences d'un ingénieur de l'AFNIC dont c'est une des spécialités.
Un article plus détaillé : https://www.bortzmeyer.org/dnspionage.html

Chacun extrait ce qu'il veut d'un article, moi j'y vois ces phrases

D'abord, les attaquants ne sont pas parfaits. Il y a des amateurs, des professionnels, et des professionnels compétents. Et même ces derniers font des erreurs. Lors de détournements de noms signés avec DNSSEC, il a déjà été observé que les attaquants, bien qu'ils ont acquis le pouvoir de changer également les informations DNSSEC n'y pensent pas toujours. Et même s'ils y pensent, le temps n'est pas sous leur contrôle, ce qui peut rendre DNSSEC efficace, même en cas de piratage d'un registre.
Bref, attaques du moment ou pas, ce serait une bonne chose que pousser le déploiement de DNSSEC

nam1962

Cela dit :
- malgré le #3 je n'ai pas réussi à le déployer côté client
- quand j'ai regardé un tuto pour le faire chez mon registrar... j'ai préféré à ce stade garder mon site en ligne 😛

Donc si quasi personne n'a DNSSEC côté client, que c'est fastidieux à installer côté domaine (et qu'il faut le renouveler scrupuleusement et à la main tous les ans, sinon, idem : on tombe), que c'est désactivable par un pirate en amont, quel en est l'intérêt réel ?

Brunod

https://www.zdnet.fr/actualites/attaque-sur-le-dns-la-panique-est-mauvaise-conseillere-39881177.htm?utm_term=Autofeed&utm_medium=Social&utm_source=Facebook&fbclid=IwAR2G1H_ElM-zPguZcK8u724i6Gb2Kjztq-QDqNc_524HkWXiWYKGF80EBlk#Echobox=1551184681

[supprimé]

Brunod a écrithttps://www.zdnet.fr/actualites/attaque-sur-le-dns-la-panique-est-mauvaise-conseillere-39881177.htm?utm_term=Autofeed&utm_medium=Social&utm_source=Facebook&fbclid=IwAR2G1H_ElM-zPguZcK8u724i6Gb2Kjztq-QDqNc_524HkWXiWYKGF80EBlk#Echobox=1551184681

Merci Brunod. Cet article résume ma pensée face à cette nouvelle psychose collective entretenue jusqu'au ministère.

grandtoubab

nam1962 a écritCela dit :
- malgré le #3 je n'ai pas réussi à le déployer côté client
- quand j'ai regardé un tuto pour le faire chez mon registrar... j'ai préféré à ce stade garder mon site en ligne 😛

Donc si quasi personne n'a DNSSEC côté client, que c'est fastidieux à installer côté domaine (et qu'il faut le renouveler scrupuleusement et à la main tous les ans, sinon, idem : on tombe), que c'est désactivable par un pirate en amont, quel en est l'intérêt réel ?

Pour ce qui me concerne je n'évoque que la configuration de l'utilisateur final sur son PC familial
Je configure dnnssec et j' utilise des fournisseur DNS sérieux qui ont déployé dnssec dans leur infrastructure, par exemple Verisign, Gitoyen

Et comme dit la blague "Si t'es pas paranoïaque, c'est que t'es mal informé" :lol:

nam1962

Un bon exemple de Pebcak : https://www.20minutes.fr/monde/2461427-20190227-agence-onu-dissimule-grave-piratage-informatique

Brunod

rogn... a écrit
Brunod a écrithttps://www.zdnet.fr/actualites/attaque-sur-le-dns-la-panique-est-mauvaise-conseillere-39881177.htm?utm_term=Autofeed&utm_medium=Social&utm_source=Facebook&fbclid=IwAR2G1H_ElM-zPguZcK8u724i6Gb2Kjztq-QDqNc_524HkWXiWYKGF80EBlk#Echobox=1551184681
Merci Brunod. Cet article résume ma pensée face à cette nouvelle psychose collective entretenue jusqu'au ministère.

Je me demande surtout ce qu'on veut nous fourguer en douce sous couvert de passage à ces "nouvelles mesures" de sécurité.
Les DNS libres et indépendants semblent rares. J'avais fait des recherches à ce sujet il y a qq années, je n'en retrouve plus aucune trace. Or celui qui contrôle le bottin contrôle le téléphone et les abonnés.
On présente souvent dans les articles les DNS de Google notamment comme libres, mais quand on sait que Google est chargé de gérer la censure du web en Europe, on peut s'interroger.

bruno

Pour avoir des résolveurs libres et indépendants on peut installer son propre résolveur pour son réseau local: unbound ou bind en mode résolveur cache, ou utiliser ceux de FDN ~~ou QUAD9 : 9.9.9.9.~~

Ceux de Google ou OpenDNS sont effectivement à fuir.

Brunod

Oui, mais comment fonctionnent-ils ?
Pour Quad9 par ex. je cite :
Quad9 routes your DNS queries through a secure network of servers around the globe. The system uses threat intelligence from more than a dozen of the industry’s leading cyber security companies to give a real-time perspective on what websites are safe and what sites are known to include malware or other threats. If the system detects that the site you want to reach is known to be infected, you’ll automatically be blocked from entry – keeping your data and computer safe.

Si ça ce n'est pas de la censure sous couvert de protection...
Je ne demande pas à un bottin de me dire si l'adresse que je demande est sûre (ou autorisée) ou pas, et encore moins qu'il m'empêche d'y accéder.

bruno

Ah, je n'avais pas vu cela concernant Quad9. Merci. 🙂
Je cesserai désormais de le citer car cela contrevient au principe de neutralité.

Page suivante »