DNSSEC Roadshow,

Dakar, Senegal
20 March 2014

aalain@trstech.net
 www.majorbank.sn = 1.2.3.4
www.majorbank.sn=? DNS DNS
1.2.3.4 Resolver Server
Get page
Login page webserver
Username / Password www @
Account Data 1.2.3.4
ISP Majorbank (Registrant)

DNS Hierarchy root

sn com

majorbank.sn

www.majorbank.sn
2
 www.majorbank.sn = 1.2.3.4
www.majorbank.sn=? DNS DNS
1.2.3.4 Resolver Server
Get page
Login page webserver
Username / Password www @
Account Data 1.2.3.4

3
 www.majorbank.sn = 1.2.3.4
www.majorbank.sn=? DNS DNS
5.6.7.8 Resolver Server
Attacker
www.majorbank.sn = 5.6.7.8
Get page Attacker
Login page webserver
Username / Password www @
Error 5.6.7.8

Password database

4
 www.majorbank.sn = 1.2.3.4
www.majorbank.sn=? DNS DNS
5.6.7.8 Resolver Server

Get page Attacker

Login page webserver
Username / Password www @
Error 5.6.7.8

Password database

5
 Echec de validation de
lenregistrement pirate Rejet
www.majorbank.sn = 1.2.3.4
www.majorbank.sn=? DNS DNS
1.2.3.4 Resolver Server avec
avec Attacker DNSSEC
DNSSEC www.majorbank.sn = 5.6.7.8
Get page
Login page webserver
Username / Password www @
Account Data 1.2.3.4

6
 www.majorbank.sn = 1.2.3.4
www.majorbank.sn=? DNS DNS
1.2.3.4 Resolver Server avec
avec DNSSEC
DNSSEC
Get page
Login page webserver
Username / Password www @
Account Data 1.2.3.4

7
dnssec-signzone mydomain.zone
mydomain.zone.signed

www.abc.com. IN A 192.101.186.125!

www.abc.com. IN A 192.101.186.125!
IN RRSIG A 8 3 3600
20130926030000 20130909030000 32799
www.abc.com.
N7upFHNplnIiXAEMOTefeuJrwymNxF 8D6/
poAoRVDThHVOnXniaIj2WuGVbCGvUMjayDhVNk9vAQ
tVHUIAnxZXsIlP4ZbtIgtZ/
hbTKByySx1Y0u9aRD1ik=!
} DNS: 1983.
} Vulnrabilits decouvertes:1995
} 15+ dannes de travail lIETF
} 2007, certains ccTLDs ont dploy DNSSEC.
} La communaut a press ICANN de dployer DNSSEC la racine
} 08/2008 Dan Kaminsky rvle des raccourcis aux vulnrabilits
DNS
} La racine a t signe en juin 2010 avec une participation directe
de la communaut
} Nov 2011: DNSChanger/Ghost Click: 4M de PCs dans 100 pays
ont souffert de redirection. Attaque dempoisonnement de cache
dun ISP au Brsil
} Le reconnaissance de ce ICP a provoqu le dveloppement de
solutions de scurit innovantes au del du DNS.
9
} Le registrant est responsable de la signature de sa
zone et publication des cls
} Le registrar gre le DS (driv de la cl du registrant)
au niveau du registre au nom du registrant
} Le registry gnre, signe les DS des registrants et
publie ses propres cls
} La racine gnre, signe les DS du registry et publie
ses propres cls.
} ISP/utilisateurs finaux utilisent copie de la cl publique
de la racine pour valider de faon rcursive les
rponses DNS

RegistrantRegistrarRegistryRootISPutilisateurs
} Expiration des signatures: monitoring,
automatisation
} Complexit: exprience, automatisation, formation
} Cot lev des quipements: $20K$5
} Scurit et confiance: Accs multi-personnes
transparence
} Manque du support des Registrars et ISP:
sensibilisation des registrants et utilisateurs finaux
} Nombres alatoires: meilleure considration dans
les standards

11
} IETF RFCs
RFC 4033DNS Security Introduction and
Requirements
RFC 4034Resource Records for the DNS Security
Extensions
RFC 4035Protocol Modifications for the DNS
Security Extensions
} ISOC Deploy360 Program

http://www.internetsociety.org/deploy360/dnssec/
} DNSSEC Deployment Initiative

http://dnssec-deployment.org/

12
} DANE
Amliorer le TLS Web pour tous
Mail S/MIME pour tous
} Autres
SSH, IPSEC, VoIP
Identit digitale
Autres contenus(i.e. configurations)
ICP Globale
} DNSSEC est la plus importante amlioration a
linfrastructure du coeur de lInternet de ces
20 dernires annes
} Dployer DNSSEC na pas besoin d'tre
compliqu et coteux.
} DNSSEC ne rgle pas tous les problmes de
lInternet, mais peut constituer un important
outil pour amliorer la scurit.
} DNSSEC est une plateforme inter-organisation
et transnationale pour linnovation dans la
cyber scurit et la collaboration
internationale.
} Pour bien bnficier du DNSSEC, une plus
grande campagne des registrants et
utilisateurs finaux est ncessaire
15