Ce sujet mérite quelques explications :
- Les projets DNSSEC ne manquent pas, même Bind supporte ce protocole, mais la procédure est manuelle, et franchement pas simple. Ce projet sécurise un DNS en DNSSEC/NSEC3 automatiquement ;
- OpenDNSSEC est géré et même créé par des pros DNSSEC. La zone ".se" a été sécurisée grâce à eux en 2007, une dizaine de domaines ont depuis suivis. ;
- Outre ce projet le service "classique" DNS doit impérativement se transformer en DNSSEC.
À ce sujet le blog de S. Bortzmeyer comprend de nombreux articles sur DNSSEC, puis un domaine hautement d'actualité et non sans problème : la sécurisation des racines (DNSSEC) ;
- La zone ".fr" doit être DNSSEC dans le 1er semestre...etc .
On notera qu'un premier serveur DNS racine (L.root-servers.net) a commencé à diffuser des informations signées avec DNSSEC ce 27 janvier. Les douze autres devraient suivre d'ici juillet.
Cette migration pourrait être accompagnée d'effet de bord fâcheux. Jusqu'en 1999, la taille des paquets DNS était limitée à 512 octets, limitation levée par la RFC 2671. Jusque là, tout va bien. Sauf que depuis, tous les équipements réseaux n'ont pas forcément évolués, et certains bloquent les paquets d'une taille supérieure à 512 octets. cela avait peu de conséquences jusqu'à aujourd'hui. Le hic, c'est que tous les paquets contenant une signature auront une taille supérieur aux 512 octets fatidiques...
Plus de détails sur ce mail : http://www.mail-archive.com/frnog@frnog.org/msg08914.html
Le projet OpenDNSSEC vient de sortir en version stable (v1.0.0), c'est un sujet d'actualité et d'avenir pour le service DNS. Je ne peux que conseiller le déploiement de ce projet par sa facilité d'utilisation, pas forcément d'installation...
Aller plus loin
- Blog de S. Bortzmeyer (18 clics)
- DNSSEC sur les serveurs racine de l (10 clics)
- Utiliser-opendnssec (33 clics)
- Utiliser-opendnssec [PDF, 230 kio] (16 clics)
- OpenDNSSEC (11 clics)
- Annonce des débuts de migration DNSSEC (7 clics)
# 512 octets
Posté par Victor STINNER (site web personnel) . Évalué à 10.
[^] # Re: 512 octets
Posté par lolop (site web personnel) . Évalué à 5.
Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN
# ah oui en effet ça a l'air simple
Posté par madko (site web personnel) . Évalué à 2.
[^] # Re: ah oui en effet ça a l'air simple
Posté par Mimoza . Évalué à -1.
La mise en œuvre de DNSSEC est discutée depuis longtemps, mais elle n’est envisagée sérieusement que depuis la découverte d’une grave faille dans le DNS en 2008 qui, justement, faisait apparaître la possibilité d’usurper un serveur DNS et de dévier un trafic Web vers des sites pirates.
Ca devrait suffire a essayer de mettre quelque chose de plus sécurisé en place.
Pour faire court il me semble que le problème est de vérifier l'authenticité des informations transmises. La corruction du cache DNS (cache poisoning) est une attaque classique et très facile à exécuter.
Regarde ici pour un peut plus d'info
http://fr.wikipedia.org/wiki/Empoisonnement_du_cache_DNS
[^] # Re: ah oui en effet ça a l'air simple
Posté par madko (site web personnel) . Évalué à 1.
[^] # Re: ah oui en effet ça a l'air simple
Posté par Chris K. . Évalué à 4.
Je sais que c'est vendredi mais c'est dur pour tout le monde...
Car pour en revenir au sujet : en effet pour un truc qui se veut simple ca à l'air pour le moins compliqué... j'ai recherché des tutos pour mettre en place DNSSEC sur BIND et c'était plutôt concis.
Maintenant comme je n'ai pas plus de temps pour continuer mes recherches et que je suis a peu prêt certain qu'ils ne se sont pas amusé à pondre se truc pour le plaisir d'avoir trente fichiers de conf supplémentaires... quelqu'un ici pourrait il nous expliquer ce qu'apporte OpenDNSSEC par rapport à l'implémentation BIND de base ?
[^] # Re: ah oui en effet ça a l'air simple
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 8.
BIND peut signer une zone, signer des mises à jour dynamiques et
resigner automatiquement (depuis la 9.7, si ne me trompe).
Mais, en matière de gestions des clés, c'est à peu près rien : il peut
génerer des clés, c'est tout.
Or, les clés DNSSEC, pour divers raisons, doivent être remplacées
régulièrement (non, en fait, ce n'est pas réellement obligatoire mais
c'est conseillé). Ce remplacement doit se faire avec précaution, pour
ne pas laisser la zone dans un état non-validable. Il faut notamment
tenir compte du TTL (durée de vie des enregistrements). Un exemple
typique : si on commence à signer avec une nouvelle clé, il ne faut
pas arrêter de distribuer l'ancienne clé car elle reste
indispensable pour valider les anciennes signatures, qui peuvent être
toujours dans les caches.
OpenDNSSEC gère donc cela : il crée automatiquement des clés lorsque
c'est nécessaire (selon la politique qu'on a définie, il passe
automatiquement les clés dans un état dans un autre en tenant compte
des TTL, etc. [http://www.bortzmeyer.org/opendnssec-states.html].
Il intervient donc en complément du serveur de noms (nsd ou BIND).
[^] # Re: ah oui en effet ça a l'air simple
Posté par yellowiscool . Évalué à 4.
Envoyé depuis mon lapin.
[^] # Re: ah oui en effet ça a l'air simple
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 1.
C'est conçu pour les grosses zones sérieuses, gérées par une équipe de professionnels, ce n'est pas pour mondomainamoi.fr.
Il n'existe pas un projet qui consiste à rendre la configuration simple et efficace ?
Il existe plusieurs logiciels non-libres qui ont cette prétention.
[^] # Re: ah oui en effet ça a l'air simple
Posté par yellowiscool . Évalué à 5.
Monter un serveur web, c'est assez facile, pourquoi monter un serveur dns, ce serait tout de suite du domaine professionnel ?
Il y en a pleins qui parlent d'un web minitel, mais si les outils de basent sont destinés à être utilisés par des équipes de professionnels (alors que franchement, pas besoin d'être pro pour un serveur de nom), la situation ne risque pas d'évoluer.
Envoyé depuis mon lapin.
[^] # Re: ah oui en effet ça a l'air simple
Posté par jve (site web personnel) . Évalué à 0.
Dans le cas present, DNSSEC n'est pas vraiment utile pour un domaine perso. Il ajoute en lourdeur et en complexite, et pour proteger quoi ? une adresse de blog ?
Personnellement, je trouve ca pas plus mal que ces outils soient complexes. Ca oblige a reflechir a ce que l'on fait. Apres, libre a chacun de se plonger dedans.
Les outils simple, on les implement en deux minutes et on se retrouve avec une configuration pourrie, mais c'est pas grave puisque ca marche.
Hors, dans le cas present, ca peut conduire a isoler toute la zone DNS, pas vraiment une bonne idee quand on aime bien recevoir ses emails a l'heure :)
Mieux vaut ne pas faire et assumer le *risque* de ne pas securiser son DNS (bon la c'est peanuts hein) que de mal faire et de ne pas s'en rendre compte.
[^] # Re: ah oui en effet ça a l'air simple
Posté par briaeros007 . Évalué à 3.
ou alors tu crois avoir compris mais tu n'as pas forcément tout compris et tu fait une grosse erreur, mais comme c'est compliqué tu n'as pas vu.
[^] # Re: ah oui en effet ça a l'air simple
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 3.
Aucun problème si quelqu'un veut développer un outil ultra-simple à utiliser. Allez-y. C'est le Yakafokon que je n'aime pas.
Le problème est compliqué. Crier « Je veux un outil utilisable même par mon chef » ne va pas le simplifier miraculeusement.
Autrement, je suis d'accord avec la réponse de Julien.
[^] # Re: ah oui en effet ça a l'air simple
Posté par Chris K. . Évalué à 1.
Merci pour ces explications. On devait presque les inclure dans la dépêche ;).
# C'est quoi ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 4.
Seulement, il s'appelle OpenDNSSEC, et ne fait qu'évoquer ce projet, donc le nom laisse entendre qu'il est lié à DNSSEC.
De quoi s'agit-il donc ? Un résolveur DNSSEC ? Un serveur DNSSEC ? Un logiciel de signature de zones ? Un projet d'organisation ?
[^] # Re: C'est quoi ?
Posté par BAud (site web personnel) . Évalué à 1.
http://www.ohloh.net/p/OpenDNSSEC indique :
- Mostly written in C
- licence : BSD
http://www.opendnssec.org/documentation/using-opendnssec/ le § design indique
You can specify the listening interface and port with NotifyListen. By default, the zone fetcher will listen on any interface, port 53.
j'en déduis qu'il y a un serveur DNS outre tout ce qui permet de "signer" son domaine (bon ça manque de copies d'écran, ça doit être en ligne de commandes et fichiers de conf' :D).
j'ai bon ?
[^] # Re: C'est quoi ?
Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) . Évalué à 3.
Non
ça doit être en ligne de commandes et fichiers de conf'
Oui (ce qui est une bonne idée pour un outil automatique).
[^] # Re: C'est quoi ?
Posté par -=[ silmaril ]=- (site web personnel) . Évalué à 1.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.