Professional Documents
Culture Documents
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Historique
A lorigine, les noms des machines pr esentes sur le r eseau etaient list es dans un simple chier texte (HOSTS.TXT), mis ` a jour par le NIC (Network Information Center). Ce chier etait quotidiennement t el echarg e en FTP par lensemble des machines du r eseau
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Principales fonctionnalit es
Les sp ecications du DNS incluent : Un protocole r eseau (UDP/53) permettant aux clients et aux serveurs de communiquer Le DNS fournit egalement des informations de routage pour les mails
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Sp ecications ocielles
Les premi` eres sp ecications ont et e pos ees dans les RFCs 882 et 883 (Paul Mockapetris, 1983) Le fonctionnement actuel est d ecrit en grande partie par les sp ecications suivantes : RFC-1034 Concept and Facilities RFC-1035 Implementation and Specication De nombreuses extensions ont et e sp eci ees dans des RFCs suppl ementaires, par exemple : RFC-2535 DNS Security Extensions (DNSSEC) RFC-2136 Dynamic Updates in the DNS ...
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Microsoft DNS Server djbdns NSD (NLNet Labs) PowerDNS, MaraDNS, etc.
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
com . fr
amazon
cea
www
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
La notion de resolver
Au niveau applicatif, lacc` es au service DNS seectue ` a travers un resolver. Le plus souvent, il sagit dune librairie dynamique fournie par le syst` eme dexploitation : Le resolver ne fait pas partie de la pile TCP/IP Fonctions gethostbyname() et gethostbyaddr()
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Exemple
chani.dif.dam.intra.cea.fr. Si le nom de domaine ne se termine pas par un point, il a besoin d etre compl et e : ce m ecanisme d epend du resolver utilis e
Exemple
Les directives domain et search dans le chier /etc/resolv.conf sous Unix
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Remarque
Nouveaux domaines : .museum, .info, .biz, etc.
Pascal Malterre S ecurit e des protocoles internet
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Le principe de d el egation
Aucune entit e ne g` ere tous les labels de larbre Les TLDs sont g er es par le NIC qui d el` egue ` a divers organismes Les extensions de pays sont g er es par les NICs r egionaux (AFNIC)
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Zone DNS Portion de larbre DNS administr ee de mani` ere autonome Une fois que lautorit e est d el egu ee pour une zone, cest ` a la personne qui en est responsable de fournir des serveurs de noms pour cette zone Plusieurs serveurs sont en g en eral requis pour une question de redondance
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Beaucoup dentreprises proposent des services de type DNS secondaire Dapr` es certaines etudes, 25% des zones DNS ont leurs serveurs situ es sur le m eme r eseau Dicult e de propagation pour les changements urgents (eets de cache, etc.) S ecurit e
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Aspects administratifs
Pour un nom de domaine, le propri etaire doit payer un abonnement aupr` es des entit es g erant les serveurs ayant autorit e sur les TLDs Notion de registrars Modalit e de d epot pour un nom de domaine : premier arriv e premier servi
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Les serveurs DNS racines connaissent (i.e. publient) la liste des serveurs ayant autorit e sur les TLDs Il existe 13 serveurs racines sur internet associ es aux noms de la forme {A..M}.root-servers.net
Remarques
La plupart des adresses IP sont distribu ees par anycast Des etudes montrent que 98% des requ etes trait ees par les serveurs racines sont inutiles (bruit, erreurs de conguration, etc.)
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
On peut utiliser un espace de nommage DNS alternatif en changeant les root nameservers. OpenNIC, Public-Root, etc. Les raisons peuvent etre id eologiques ou commerciales. RFC-2826 (Internet Architecture Board - Technical Comment on the Unique DNS Root) To remain a global network, the Internet requires the existence of a globally unique public name space
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
A chaque etape, le resolver eectue une requ ete pour conna tre le serveur autoritaire de la zone DNS d enie par l el ement inf erieur
Au d ebut de la recherche, le resolver demande aux serveurs racines quels sont les serveurs autoritaires pour le TLD
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Exemple
R esolution du nom www.rstack.org ?
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Le DNS est bas e sur un ensemble de serveurs organis es de fa con hi erarchique et que lon peut grouper en trois cat egories : Serveurs primaires (ou ma tres) Serveurs secondaires (ou esclaves) Serveurs caches (ou forwarders)
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
prendre en charge les requ etes des clients eectuer tout le m ecanisme de r esolution ` a leur place (i.e. les it erations successives en partant des serveurs racines) stocker les r esultats dans une m emoire cache
Remarques
Utilisation de cha nes de forwarders Serveur priv e
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Les messages DNS (requ etes et r eponses) sont constitu es : dun ent ete compos e de di erents champs de taille xe dune zone de donn ees divis ee quatre sections :
Requ ete (Question) R eponse (Answer) Authorit e (Authority) Donn ees additionnelles (Additional)
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Ces types denregistrements sont utilis es pour la conversion des adresses IP en nom et inversement A, AAAA Le champ RDATA contient une adresse IPv4 (32 bits) ou IPv6 (128 bits) PTR Le champ RDATA est un pointeur vers une autre branche de lespace de nommage DNS
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Remarques
Les enregistrements de type CNAME sont souvent source derreurs et de confusion. Les sp ecications pr econisent di erentes choses : Si un noeud de larbre DNS contient un RR de type CNAME, alors il ne doit pas contenir dautres donn ees Les CNAME ne doivent pas etre cha n es
Pascal Malterre S ecurit e des protocoles internet
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
SOA (Start Of Authority) ce type de ressource fournit diverses informations sur la zone DNS ` a laquelle appartient lenregistrement courant Un enregistrement SOA contient : Le serveur DNS ayant autorit e sur cette zone (MNAME) Ladresse mail du responsable de la zone (RNAME) Un num ero de s erie cod e sur 32 bits (SERIAL) Diverses valeurs temporelles cod ees sur 32 bits utilis ees par les m ecanismes de cache
REFRESH, RETRY, EXPIRE, MINIMUM
Pascal Malterre S ecurit e des protocoles internet
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Le type de ressource NS
NS d enition du serveur de nom autoritaire pour (i.e. ` a partir de) cet enregistrement Le donn ees pour les ressources de ce type repr esentent un nom DNS, par exemple :
bash$ host -t ns -v orange.fr ;; ANSWER SECTION: orange.fr. orange.fr.
2639 2639
IN IN
NS NS
ns.wanadoo.fr. ns2.wanadoo.fr.
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
D el egation et enregistrements NS
Pour d el eguer une sous-zone ` a une autre entit e, on doit avoir un enregistrement de type NS indiquant les serveurs DNS qui ont autorit e sur cette sous-zone. Le serveur DNS peut etre r ef erenc e: par un nom appartenant ` a la sous-zone pour laquelle il est autoritaire (m ethode conseill ee) utilisation de glue records par un nom quelconque attention aux boucles et aux performances
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
MX fournit le nom de la machine responsable du routage des mails pour ce domaine (Mail eXchanger) TXT d enition dun champ arbitraire de type texte
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Exemple
Pour conna tre le nom de la machine ayant ladresse IP 193.252.19.3, le resolver demande lenregistrement PTR pour le nom de domaine 3.19.252.193.in-addr.arpa
Remarque
Plusieurs enregistrements peuvent etre retourn es mais seul le premier est utilis e
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
R esolution inverse des adresses priv ees (RFC-1918) Qualication des noms de domaines (directives domain et search pour le resolver) Auto-compl etion des browsers web Enregistrement SOA inexistants Interceptions des NXDOMAIN
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Principe
Une feuille de larbre DNS peut contenir plusieurs enregistrements du m eme type (par exemple trois RR de type A avec des adresses IP di erentes) La r eponse du serveur int` egre tous les enregistrements dans un ordre al eatoire ou judicieusement choisi (par exemple en fonction de la g eolocalisation du client) Les clients utilisent g en eralement la premi` ere valeur Les valeurs de TTL doivent etre faibles pour diminuer la dur ee de vie dans les caches interm ediaires
Pascal Malterre S ecurit e des protocoles internet
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Utilisation de TCP
Si la r eponse du serveur est trop grande, alors le message est tronqu e et le bit TC est positionn e dans lent ete. Le client doit alors r e-emettre sa requ ete en TCP Blocage des ux TCP li es au DNS
Pascal Malterre S ecurit e des protocoles internet
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Principe
Le transfert est initi e en TCP par le serveur esclave en se connectant sur le port 53/domain du serveur ma tre Le serveur esclave v erie si une nouvelle version de la zone est disponible ` a lexpiration de la dur ee de validit e (SOA)
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
La s ecurit e du DNS
Pour une entreprise (ainsi que pour Internet), linfrastructure DNS est un composant critique. Importance du cloisonnement r eseau Choix des impl ementations
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Une solution consiste ` a mettre en place un serveur secondaire en frontal (orant le service ` a lext erieur), et ` a cacher lexistence du serveur primaire (pouvant etre situ e plus ` a lint erieur du r eseau)
Mise en oeuvre
1 2 3
Param etrer (et s ecuriser) un serveur secondaire en frontal D eclarer un seul champ NS dans la zone DNS publi ee Mettre en place le transfert de zone entre les deux machines
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Parall` element, forger les milliers de r eponses correspondantes en faisant varier le TXID et contenant une section additional data contenant les donn ees ` a alt erer Une correspondance se produit rapidement (apr` es quelques milliers de requ etes)
Pascal Malterre S ecurit e des protocoles internet
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
M ethodes
Interroger le cache du serveur DNS en for cant le mode non-r ecursif Etudier les valeurs obtenues pour le TTL de lenregistrement ou bien les temps de r eponse du serveur
Pascal Malterre
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
DNS
Introduction Noms de domaine D el egation Format de donn ees du DNS La s ecurit e du DNS
Pascal Malterre