OpenDNSSEC v 1.0.0 (stable)

Posté par (page perso) . Modéré par baud123.
Tags :
28
12
fév.
2010
Internet
OpenDNSSEC après plusieurs mois d'essais vient de sortir tout récemment sa version stable. Pour mémoire, DNSSEC une est évolution du protocole DNS permettant notamment la signature des enregistrements DNS.

Ce sujet mérite quelques explications :
  • Les projets DNSSEC ne manquent pas, même Bind supporte ce protocole, mais la procédure est manuelle, et franchement pas simple. Ce projet sécurise un DNS en DNSSEC/NSEC3 automatiquement ;
  • OpenDNSSEC est géré et même créé par des pros DNSSEC. La zone ".se" a été sécurisée grâce à eux en 2007, une dizaine de domaines ont depuis suivis. ;
  • Outre ce projet le service "classique" DNS doit impérativement se transformer en DNSSEC.
    À ce sujet le blog de S. Bortzmeyer comprend de nombreux articles sur DNSSEC, puis un domaine hautement d'actualité et non sans problème : la sécurisation des racines (DNSSEC) ;
  • La zone ".fr" doit être DNSSEC dans le 1er semestre...etc .
C'est l'avenir, voilà pourquoi j'ai voulu réaliser une documentation en français sur OpenDNSSEC.

On notera qu'un premier serveur DNS racine (L.root-servers.net) a commencé à diffuser des informations signées avec DNSSEC ce 27 janvier. Les douze autres devraient suivre d'ici juillet.
Cette migration pourrait être accompagnée d'effet de bord fâcheux. Jusqu'en 1999, la taille des paquets DNS était limitée à 512 octets, limitation levée par la RFC 2671. Jusque là, tout va bien. Sauf que depuis, tous les équipements réseaux n'ont pas forcément évolués, et certains bloquent les paquets d'une taille supérieure à 512 octets. cela avait peu de conséquences jusqu'à aujourd'hui. Le hic, c'est que tous les paquets contenant une signature auront une taille supérieur aux 512 octets fatidiques...
Plus de détails sur ce mail : http://www.mail-archive.com/frnog@frnog.org/msg08914.html

Le projet OpenDNSSEC vient de sortir en version stable (v1.0.0), c'est un sujet d'actualité et d'avenir pour le service DNS. Je ne peux que conseiller le déploiement de ce projet par sa facilité d'utilisation, pas forcément d'installation...
  • # 512 octets

    Posté par (page perso) . Évalué à 10.

    Trop gros, passera pas.
  • # ah oui en effet ça a l'air simple

    Posté par . Évalué à 2.

    La procédure pour bind est pas simple, que dire alors de celle d'opendnssec??? j'ai saigné des yeux en voyant les fichiers de conf en xml, et en plus ya des morceaux de ruby dedans on dirait? Quelqu'un peut il mieux expliquer l'avantage par rapport à bind? Car on est vendredi j'ai pas compris...
    • [^] # Re: ah oui en effet ça a l'air simple

      Posté par . Évalué à -1.

      Si on regarde le deuxième lien :
      La mise en œuvre de DNSSEC est discutée depuis longtemps, mais elle n’est envisagée sérieusement que depuis la découverte d’une grave faille dans le DNS en 2008 qui, justement, faisait apparaître la possibilité d’usurper un serveur DNS et de dévier un trafic Web vers des sites pirates.
      Ca devrait suffire a essayer de mettre quelque chose de plus sécurisé en place.

      Pour faire court il me semble que le problème est de vérifier l'authenticité des informations transmises. La corruction du cache DNS (cache poisoning) est une attaque classique et très facile à exécuter.
      Regarde ici pour un peut plus d'info
      http://fr.wikipedia.org/wiki/Empoisonnement_du_cache_DNS
      • [^] # Re: ah oui en effet ça a l'air simple

        Posté par . Évalué à 1.

        je parlais d'opendnssec pas de dnssec ;)
      • [^] # Re: ah oui en effet ça a l'air simple

        Posté par . Évalué à 4.

        Tu pourrai nous expliquer le rapport avec la question du monsieur ?

        Je sais que c'est vendredi mais c'est dur pour tout le monde...

        Car pour en revenir au sujet : en effet pour un truc qui se veut simple ca à l'air pour le moins compliqué... j'ai recherché des tutos pour mettre en place DNSSEC sur BIND et c'était plutôt concis.

        Maintenant comme je n'ai pas plus de temps pour continuer mes recherches et que je suis a peu prêt certain qu'ils ne se sont pas amusé à pondre se truc pour le plaisir d'avoir trente fichiers de conf supplémentaires... quelqu'un ici pourrait il nous expliquer ce qu'apporte OpenDNSSEC par rapport à l'implémentation BIND de base ?
        • [^] # Re: ah oui en effet ça a l'air simple

          Posté par (page perso) . Évalué à 8.

          quelqu'un ici pourrait il nous expliquer ce qu'apporte OpenDNSSEC par rapport à l'implémentation BIND de base ?

          BIND peut signer une zone, signer des mises à jour dynamiques et
          resigner automatiquement (depuis la 9.7, si ne me trompe).

          Mais, en matière de gestions des clés, c'est à peu près rien : il peut
          génerer des clés, c'est tout.

          Or, les clés DNSSEC, pour divers raisons, doivent être remplacées
          régulièrement (non, en fait, ce n'est pas réellement obligatoire mais
          c'est conseillé). Ce remplacement doit se faire avec précaution, pour
          ne pas laisser la zone dans un état non-validable. Il faut notamment
          tenir compte du TTL (durée de vie des enregistrements). Un exemple
          typique : si on commence à signer avec une nouvelle clé, il ne faut
          pas arrêter de distribuer l'ancienne clé car elle reste
          indispensable pour valider les anciennes signatures, qui peuvent être
          toujours dans les caches.

          OpenDNSSEC gère donc cela : il crée automatiquement des clés lorsque
          c'est nécessaire (selon la politique qu'on a définie, il passe
          automatiquement les clés dans un état dans un autre en tenant compte
          des TTL, etc. [http://www.bortzmeyer.org/opendnssec-states.html].

          Il intervient donc en complément du serveur de noms (nsd ou BIND).
          • [^] # Re: ah oui en effet ça a l'air simple

            Posté par (page perso) . Évalué à 4.

            Ça devient vraiment compliqué. Il n'existe pas un projet qui consiste à rendre la configuration simple et efficace ?

            Envoyé depuis mon lapin.

            • [^] # Re: ah oui en effet ça a l'air simple

              Posté par (page perso) . Évalué à 1.

              Ça devient vraiment compliqué.

              C'est conçu pour les grosses zones sérieuses, gérées par une équipe de professionnels, ce n'est pas pour mondomainamoi.fr.

              Il n'existe pas un projet qui consiste à rendre la configuration simple et efficace ?

              Il existe plusieurs logiciels non-libres qui ont cette prétention.
              • [^] # Re: ah oui en effet ça a l'air simple

                Posté par (page perso) . Évalué à 5.

                Et pourquoi ce ne serais pas pour mondomainamoi.fr ?

                Monter un serveur web, c'est assez facile, pourquoi monter un serveur dns, ce serait tout de suite du domaine professionnel ?

                Il y en a pleins qui parlent d'un web minitel, mais si les outils de basent sont destinés à être utilisés par des équipes de professionnels (alors que franchement, pas besoin d'être pro pour un serveur de nom), la situation ne risque pas d'évoluer.

                Envoyé depuis mon lapin.

                • [^] # Re: ah oui en effet ça a l'air simple

                  Posté par (page perso) . Évalué à 0.

                  Mais justement, c'est bien la l'interet de ne pas TOUT rendre ultra accessible.
                  Dans le cas present, DNSSEC n'est pas vraiment utile pour un domaine perso. Il ajoute en lourdeur et en complexite, et pour proteger quoi ? une adresse de blog ?

                  Personnellement, je trouve ca pas plus mal que ces outils soient complexes. Ca oblige a reflechir a ce que l'on fait. Apres, libre a chacun de se plonger dedans.

                  Les outils simple, on les implement en deux minutes et on se retrouve avec une configuration pourrie, mais c'est pas grave puisque ca marche.
                  Hors, dans le cas present, ca peut conduire a isoler toute la zone DNS, pas vraiment une bonne idee quand on aime bien recevoir ses emails a l'heure :)

                  Mieux vaut ne pas faire et assumer le *risque* de ne pas securiser son DNS (bon la c'est peanuts hein) que de mal faire et de ne pas s'en rendre compte.
                  • [^] # Re: ah oui en effet ça a l'air simple

                    Posté par . Évalué à 3.

                    Personnellement, je trouve ca pas plus mal que ces outils soient complexes. Ca oblige a reflechir a ce que l'on fait.
                    ou alors tu crois avoir compris mais tu n'as pas forcément tout compris et tu fait une grosse erreur, mais comme c'est compliqué tu n'as pas vu.
                • [^] # Re: ah oui en effet ça a l'air simple

                  Posté par (page perso) . Évalué à 3.

                  Il y en a pleins qui parlent d'un web minitel, mais si les outils de basent sont destinés à être utilisés par des équipes de professionnels (alors que franchement, pas besoin d'être pro pour un serveur de nom), la situation ne risque pas d'évoluer.

                  Aucun problème si quelqu'un veut développer un outil ultra-simple à utiliser. Allez-y. C'est le Yakafokon que je n'aime pas.

                  Le problème est compliqué. Crier « Je veux un outil utilisable même par mon chef » ne va pas le simplifier miraculeusement.

                  Autrement, je suis d'accord avec la réponse de Julien.
          • [^] # Re: ah oui en effet ça a l'air simple

            Posté par . Évalué à 1.

            +1
            Merci pour ces explications. On devait presque les inclure dans la dépêche ;).
  • # C'est quoi ?

    Posté par (page perso) . Évalué à 4.

    Cet article décrit DNSSEC. Très bien.

    Seulement, il s'appelle OpenDNSSEC, et ne fait qu'évoquer ce projet, donc le nom laisse entendre qu'il est lié à DNSSEC.

    De quoi s'agit-il donc ? Un résolveur DNSSEC ? Un serveur DNSSEC ? Un logiciel de signature de zones ? Un projet d'organisation ?
    • [^] # Re: C'est quoi ?

      Posté par (page perso) . Évalué à 1.

      hmmm tu n'es pas le seul à m'avoir mis le doute, à première vue cela me paraissait évident que c'était un serveur DNS implémentant DNSSEC, j'ai donc vérifié :
      http://www.ohloh.net/p/OpenDNSSEC indique :
      - Mostly written in C
      - licence : BSD

      http://www.opendnssec.org/documentation/using-opendnssec/ le § design indique
      You can specify the listening interface and port with NotifyListen. By default, the zone fetcher will listen on any interface, port 53.

      j'en déduis qu'il y a un serveur DNS outre tout ce qui permet de "signer" son domaine (bon ça manque de copies d'écran, ça doit être en ligne de commandes et fichiers de conf' :D).

      j'ai bon ?
      • [^] # Re: C'est quoi ?

        Posté par (page perso) . Évalué à 3.

        j'en déduis qu'il y a un serveur DNS

        Non

        ça doit être en ligne de commandes et fichiers de conf'

        Oui (ce qui est une bonne idée pour un outil automatique).
    • [^] # Re: C'est quoi ?

      Posté par (page perso) . Évalué à 1.

      De ce que je vois c'est un système qui permet de gérer la signature de zones DNS afin d'en faire des zones DNSSEC, et ce avant de publier ces zones dans un serveur DNS autoritaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.