Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 25/02/2019, à 15:53

grandtoubab

DNS attaqués, configurer DNSSEC

Salut

voir le communiqué

https://www.icann.org/news/announcement-2019-02-25-fr

Vérifier au moins que les DNS que vous utilisez font du DNSSEC

un outil dnsbench qui fonctionne très bien par wine

https://www.grc.com/dns/benchmark.htm

~/Téléchargements/dnsbench$ wine DNSBench.exe

Onglet Nameserver

clic droit → cocher dnssec

onglet status

1551106358-capture-d-ecran-du-2019-02-25-15-24-50.png

run benchmark

1551106388-avec-freedns-capture-du-2017-10-11-09-45-05.png


Une doc de l'ANSSI
https://www.ssi.gouv.fr/uploads/2014/05 … si_1.3.pdf

Une conférence

Stéphane Bortzmeyer – DNS (2018)
https://peertube.parleur.net/videos/wat … 7edf3b0f71

Dernière modification par grandtoubab (Le 05/04/2019, à 11:26)


Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....

Hors ligne

#2 Le 25/02/2019, à 15:56

nam1962

Re : DNS attaqués, configurer DNSSEC

Le souci quand on a un domaine, c'est :
- le registrar propose t'il DNSSEC ? (pas tous)
- comment paramétrer DNSSEC ? (c'est coton et on peut vautrer le domaine)

Suis preneur de tout tuto sur le sujet !

[Edit], pour vérifier un domaine :

dig +dnssec SOA ubuntu-fr.org

Il doit y avoir "ad" dans les réponses de flag --> https://serverfault.com/questions/15401 … ing-dnssec

Dernière modification par nam1962 (Le 25/02/2019, à 16:07)


[ Modéré ]

Hors ligne

#3 Le 25/02/2019, à 17:05

grandtoubab

Re : DNS attaqués, configurer DNSSEC

Sur mon PC Debian j'utilise dnsmasq
je l'ai démasqué dans /etc/dnsmasq.conf

conf-file=/usr/share/dnsmasq-base/trust-anchors.conf
dnssec
dnssec-check-unsigned

je l'ai testé ici http://en.conn.internet.nl/connection/
DNSSEC
Well done! Domain signatures (DNSSEC) are validated for you. Therefore you are protected against false translation from signed domain names into rogue IP addres
ses.

par dig https://wiki.archlinux.org/index.php/DNSSEC#Testing

la première requete est sécurisé, la réponse vient du dns

dig sigok.verteiltesysteme.net

; <<>> DiG 9.11.5-P1-2-Debian <<>> sigok.verteiltesysteme.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25020
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;sigok.verteiltesysteme.net.	IN	A

;; ANSWER SECTION:
sigok.verteiltesysteme.net. 60	IN	A	134.91.78.139

;; Query time: 51 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: lun. févr. 25 17:06:56 CET 2019
;; MSG SIZE  rcvd: 71


la deuxieme est vue non sécurisée, elle vient du cache

dig sigok.verteiltesysteme.net

; <<>> DiG 9.11.5-P1-2-Debian <<>> sigok.verteiltesysteme.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 35826
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;sigok.verteiltesysteme.net.	IN	A

;; ANSWER SECTION:
sigok.verteiltesysteme.net. 56	IN	A	134.91.78.139

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: lun. févr. 25 17:07:00 CET 2019
;; MSG SIZE  rcvd: 71

Dernière modification par grandtoubab (Le 25/02/2019, à 17:10)


Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....

Hors ligne

#4 Le 25/02/2019, à 17:09

nam1962

Re : DNS attaqués, configurer DNSSEC

Ca c'est intéressant côté client, cela dit, c'est côté domaine que ça se corse et il n'y en a pas beaucoup de certifiés (je te pique la config, merci)


[ Modéré ]

Hors ligne

#5 Le 25/02/2019, à 17:15

grandtoubab

Re : DNS attaqués, configurer DNSSEC

ce test est drôle
http://www.dnssec-or-not.com/


Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....

Hors ligne

#6 Le 27/02/2019, à 09:15

bruno

Re : DNS attaqués, configurer DNSSEC

À noter que DNSSEC ou pas cela ne change pas grand chose à l'attaque citée.
https://www.bortzmeyer.org/attaques-nom … tions.html

Hors ligne

#7 Le 27/02/2019, à 11:02

maxire

Re : DNS attaqués, configurer DNSSEC

Oui, effectivement si la procédure d'enregistrement des noms de domaines est elle-même faiblement sécurisée dnssec ne sert strictement à rien ou presque.


Maxire
Archlinux/Mate + Ubuntu 22.04 + Archlinux/Gnome sur poste de travail

Hors ligne

#8 Le 27/02/2019, à 11:08

grandtoubab

Re : DNS attaqués, configurer DNSSEC

vous êtes surement très expert mais je préfère m'en tenir aux recommandations de l'autorité competente

https://www.icann.org/news/announcement-2019-02-25-fr a écrit :

Nous sommes certains que les acteurs de l'industrie du DNS ont déjà mis en place de fortes précautions de sécurité dans leurs secteurs respectifs. Néanmoins, il est toujours utile de considérer la liste de contrôle ci-après ......

- vérifier que les enregistrements de zone DNS soient signés DNSSEC et que les résolveurs DNS mettent en place la validation DNSSEC ;


Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....

Hors ligne

#9 Le 27/02/2019, à 11:12

maxire

Re : DNS attaqués, configurer DNSSEC

Ce n'est pas une question d'expertise, je n'y connais rien, je commente juste cet extrait du texte référencé par bruno :

bortzmeyer.org a écrit :

Mais supposons qu'Aisne Web ne soit pas une entreprise très attentive en matière de sécurité. Pour s'authentifier auprès du bureau d'enregistrement de noms de domaine, ils ont choisi le mot de passe « toto12345 ». Un tel mot de passe est facile à deviner, surtout pour un logiciel qui peut faire de nombreux essais sans s'en fatiguer. Même avec un mot de passe plus difficile, peut-être qu'un employé d'Aisne Web est crédule et que, quand quelqu'un prétendant être « un technicien de Microsoft » (ou d'Apple, ou d'Orange…) appelera, l'employé acceptera de communiquer le mot de passe. (C'est ce qu'on nomme l'ingénierie sociale et c'est beaucoup plus efficace qu'on ne le croit.)

Une fois le mot de passe connu, le pirate peut alors se connecter à l'interface Web du bureau d'enregistrement, en se faisant ainsi passer pour l'utilisateur légitime. Il va alors modifier les informations techniques, par exemple l'adresse IP du site Web. Et voilà, en croyant se connecter à la pizzeria, les visiteurs iront sur le site du pirate. Bien sûr, pour une pizzeria, ce n'est pas forcément très grave. Mais des noms de domaine bien plus sensibles peuvent être détournés ainsi. Et ces attaques forment un véritable bruit de fond sur l'Internet. Les attaques comme celles perpétrées dans l'affaire qui fait du bruit en ce moment ne sont ni les premières, ni les seules.

C'est parfaitement crédible, si les organismes d'enregistrement de noms de domaines font n'importe quoi dans la gestion des enregistrements DNS, dnssec ou pas cela ne change pas grand chose.

Dernière modification par maxire (Le 27/02/2019, à 11:14)


Maxire
Archlinux/Mate + Ubuntu 22.04 + Archlinux/Gnome sur poste de travail

Hors ligne

#10 Le 27/02/2019, à 15:31

bruno

Re : DNS attaqués, configurer DNSSEC

Je pense que tu peux avoir toute confiance dans les compétences d'un ingénieur de l'AFNIC dont c'est une des spécialités.
Un article plus détaillé : https://www.bortzmeyer.org/dnspionage.html

Mais DNSSEC aurait-il aidé dans ces cas précis ? DNSSEC, on l'a vu, permet de s'assurer que les données n'ont pas été modifiées entre l'origine (l'endroit où sont gérées les données) et le résolveur validant. Mais si les données sont fausses dès l'origine ? Le bon sens nous dit qu'il ne sert à rien de signer des données fausses. Si l'attaquant a le contrôle de l'origine (par exemple le serveur DNS maître), il peut modifier les données et signer des données mensongères. Ou bien il peut simplement retirer l'enregistrement DS dans la zone parente, indiquant ainsi que la zone n'est pas signée. Pour citer Paul Ebersman, « DNSSEC isn't useless but it solves one specific problem ».

Hors ligne

#11 Le 28/02/2019, à 09:32

grandtoubab

Re : DNS attaqués, configurer DNSSEC

bruno a écrit :

Je pense que tu peux avoir toute confiance dans les compétences d'un ingénieur de l'AFNIC dont c'est une des spécialités.
Un article plus détaillé : https://www.bortzmeyer.org/dnspionage.html

Chacun extrait ce qu'il veut d'un article, moi j'y vois ces phrases

D'abord, les attaquants ne sont pas parfaits. Il y a des amateurs, des professionnels, et des professionnels compétents. Et même ces derniers font des erreurs. Lors de détournements de noms signés avec DNSSEC, il a déjà été observé que les attaquants, bien qu'ils ont acquis le pouvoir de changer également les informations DNSSEC n'y pensent pas toujours. Et même s'ils y pensent, le temps n'est pas sous leur contrôle, ce qui peut rendre DNSSEC efficace, même en cas de piratage d'un registre.
Bref, attaques du moment ou pas, ce serait une bonne chose que pousser le déploiement de DNSSEC

Dernière modification par grandtoubab (Le 28/02/2019, à 09:33)


Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....

Hors ligne

#12 Le 28/02/2019, à 09:41

nam1962

Re : DNS attaqués, configurer DNSSEC

Cela dit :
- malgré le #3 je n'ai pas réussi à le déployer côté client
- quand j'ai regardé un tuto pour le faire chez mon registrar... j'ai préféré à ce stade garder mon site en ligne tongue

Donc si quasi personne n'a DNSSEC côté client, que c'est fastidieux à installer côté domaine (et qu'il faut le renouveler scrupuleusement et à la main tous les ans, sinon, idem : on tombe), que c'est désactivable par un pirate en amont, quel en est l'intérêt réel ?

Dernière modification par nam1962 (Le 28/02/2019, à 09:42)


[ Modéré ]

Hors ligne

#13 Le 28/02/2019, à 10:54

Brunod

Re : DNS attaqués, configurer DNSSEC


Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Hors ligne

#14 Le 28/02/2019, à 11:03

rogn...

Re : DNS attaqués, configurer DNSSEC

Merci Brunod. Cet article résume ma pensée face à cette nouvelle psychose collective entretenue jusqu'au ministère.

Dernière modification par rogn... (Le 28/02/2019, à 11:03)

#15 Le 28/02/2019, à 11:04

grandtoubab

Re : DNS attaqués, configurer DNSSEC

nam1962 a écrit :

Cela dit :
- malgré le #3 je n'ai pas réussi à le déployer côté client
- quand j'ai regardé un tuto pour le faire chez mon registrar... j'ai préféré à ce stade garder mon site en ligne tongue

Donc si quasi personne n'a DNSSEC côté client, que c'est fastidieux à installer côté domaine (et qu'il faut le renouveler scrupuleusement et à la main tous les ans, sinon, idem : on tombe), que c'est désactivable par un pirate en amont, quel en est l'intérêt réel ?

Pour ce qui me concerne je n'évoque que la configuration de l'utilisateur final sur son PC familial
Je configure dnnssec et j' utilise des fournisseur DNS sérieux qui ont déployé dnssec dans leur infrastructure, par exemple Verisign, Gitoyen

Et comme dit la blague "Si t'es pas paranoïaque, c'est que t'es mal informé" lol

Dernière modification par grandtoubab (Le 28/02/2019, à 11:07)


Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....

Hors ligne

#16 Le 28/02/2019, à 11:04

nam1962

Re : DNS attaqués, configurer DNSSEC


[ Modéré ]

Hors ligne

#17 Le 28/02/2019, à 12:27

Brunod

Re : DNS attaqués, configurer DNSSEC

rogn... a écrit :

Merci Brunod. Cet article résume ma pensée face à cette nouvelle psychose collective entretenue jusqu'au ministère.

Je me demande surtout ce qu'on veut nous fourguer en douce sous couvert de passage à ces "nouvelles mesures" de sécurité.
Les DNS libres et indépendants semblent rares. J'avais fait des recherches à ce sujet il y a qq années, je n'en retrouve plus aucune trace. Or celui qui contrôle le bottin contrôle le téléphone et les abonnés.
On présente souvent dans les articles les DNS de Google notamment comme libres, mais quand on sait que Google est chargé de gérer la censure du web en Europe, on peut s'interroger.

Dernière modification par Brunod (Le 28/02/2019, à 12:28)


Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Hors ligne

#18 Le 28/02/2019, à 12:42

bruno

Re : DNS attaqués, configurer DNSSEC

Pour avoir des résolveurs libres et indépendants on peut installer son propre résolveur pour son réseau local: unbound ou bind en mode résolveur cache, ou utiliser ceux de FDN ou QUAD9 : 9.9.9.9.

Ceux de Google ou OpenDNS sont effectivement à fuir.

Dernière modification par bruno (Le 28/02/2019, à 13:11)

Hors ligne

#19 Le 28/02/2019, à 13:07

Brunod

Re : DNS attaqués, configurer DNSSEC

Oui, mais comment fonctionnent-ils ?
Pour Quad9 par ex. je cite :
Quad9 routes your DNS queries through a secure network of servers around the globe. The system uses threat intelligence from more than a dozen of the industry’s leading cyber security companies to give a real-time perspective on what websites are safe and what sites are known to include malware or other threats. If the system detects that the site you want to reach is known to be infected, you’ll automatically be blocked from entry – keeping your data and computer safe.

Si ça ce n'est pas de la censure sous couvert de protection...
Je ne demande pas à un bottin de me dire si l'adresse que je demande est sûre (ou autorisée) ou pas, et encore moins qu'il m'empêche d'y accéder.

Dernière modification par Brunod (Le 28/02/2019, à 13:10)


Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Hors ligne

#20 Le 28/02/2019, à 13:11

bruno

Re : DNS attaqués, configurer DNSSEC

Ah, je n'avais pas vu cela concernant Quad9. Merci. smile
Je cesserai désormais de le citer car cela contrevient au principe de neutralité.

Hors ligne

#21 Le 28/02/2019, à 13:14

Brunod

Re : DNS attaqués, configurer DNSSEC

Je ne veux pas te décevoir, mais je pense que l'autre, FDN, ne fait que la même chose sans l'expliciter hmm
Qui fait quoi ? : https://www.bortzmeyer.org/qui-controle … acine.html

Une altrenative serait OPENnic :
https://wiki.opennic.org/start

Dernière modification par Brunod (Le 28/02/2019, à 13:31)


Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Hors ligne

#22 Le 28/02/2019, à 13:18

rogn...

Re : DNS attaqués, configurer DNSSEC

Brunod a écrit :

Je me demande surtout ce qu'on veut nous fourguer en douce sous couvert de passage à ces "nouvelles mesures" de sécurité.

Des mises à jour pour Windows, Mac, Android, iOS, et pour les bases de données anti-truc.

#23 Le 28/02/2019, à 13:32

bruno

Re : DNS attaqués, configurer DNSSEC

Brunod a écrit :

Je ne veux pas te décevoir, mais je pense que l'autre, FDN, ne fait que la même chose sans l'expliciter hmm

Non. FDN est un réseau de FAI associatifs qui ont pour volonté de fournir un accès Internet neutre et non filtré. Ils sont connus pour cela depuis très longtemps.
http://blog.fdn.fr/?post/2014/12/07/Fil … -Internets

Hors ligne

#24 Le 28/02/2019, à 13:33

Brunod

Re : DNS attaqués, configurer DNSSEC

rogn... a écrit :
Brunod a écrit :

Je me demande surtout ce qu'on veut nous fourguer en douce sous couvert de passage à ces "nouvelles mesures" de sécurité.

Des mises à jour pour Windows, Mac, Android, iOS, et pour les bases de données anti-truc.

Non, je ne pense pas, une màj n'apporte rien en soi.


Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Hors ligne

#25 Le 28/02/2019, à 13:37

Brunod

Re : DNS attaqués, configurer DNSSEC

bruno a écrit :
Brunod a écrit :

Je ne veux pas te décevoir, mais je pense que l'autre, FDN, ne fait que la même chose sans l'expliciter hmm

Non. FDN est un réseau de FAI associatifs qui ont pour volonté de fournir un accès Internet neutre et non filtré. Ils sont connus pour cela depuis très longtemps.
http://blog.fdn.fr/?post/2014/12/07/Fil … -Internets

Merci pour cette très bonne nouvelle smile  (Faut me comprendre, je deviens méfiant wink )
Je vais épingler son adresse !
Si vous en avez d'autres, je prends !

Dernière modification par Brunod (Le 28/02/2019, à 13:40)


Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Hors ligne