#1 Le 25/02/2019, à 15:53
- grandtoubab
DNS attaqués, configurer DNSSEC
Salut
voir le communiqué
https://www.icann.org/news/announcement-2019-02-25-fr
Vérifier au moins que les DNS que vous utilisez font du DNSSEC
un outil dnsbench qui fonctionne très bien par wine
https://www.grc.com/dns/benchmark.htm
~/Téléchargements/dnsbench$ wine DNSBench.exe
Onglet Nameserver
clic droit → cocher dnssec
onglet status
run benchmark
Une doc de l'ANSSI
https://www.ssi.gouv.fr/uploads/2014/05 … si_1.3.pdf
Une conférence
Stéphane Bortzmeyer – DNS (2018)
https://peertube.parleur.net/videos/wat … 7edf3b0f71
Dernière modification par grandtoubab (Le 05/04/2019, à 11:26)
Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....
Hors ligne
#2 Le 25/02/2019, à 15:56
- nam1962
Re : DNS attaqués, configurer DNSSEC
Le souci quand on a un domaine, c'est :
- le registrar propose t'il DNSSEC ? (pas tous)
- comment paramétrer DNSSEC ? (c'est coton et on peut vautrer le domaine)
Suis preneur de tout tuto sur le sujet !
[Edit], pour vérifier un domaine :
dig +dnssec SOA ubuntu-fr.org
Il doit y avoir "ad" dans les réponses de flag --> https://serverfault.com/questions/15401 … ing-dnssec
Dernière modification par nam1962 (Le 25/02/2019, à 16:07)
[ Modéré ]
Hors ligne
#3 Le 25/02/2019, à 17:05
- grandtoubab
Re : DNS attaqués, configurer DNSSEC
Sur mon PC Debian j'utilise dnsmasq
je l'ai démasqué dans /etc/dnsmasq.conf
conf-file=/usr/share/dnsmasq-base/trust-anchors.conf
dnssec
dnssec-check-unsigned
je l'ai testé ici http://en.conn.internet.nl/connection/
DNSSEC
Well done! Domain signatures (DNSSEC) are validated for you. Therefore you are protected against false translation from signed domain names into rogue IP addresses.
par dig https://wiki.archlinux.org/index.php/DNSSEC#Testing
la première requete est sécurisé, la réponse vient du dns
dig sigok.verteiltesysteme.net
; <<>> DiG 9.11.5-P1-2-Debian <<>> sigok.verteiltesysteme.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25020
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;sigok.verteiltesysteme.net. IN A
;; ANSWER SECTION:
sigok.verteiltesysteme.net. 60 IN A 134.91.78.139
;; Query time: 51 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: lun. févr. 25 17:06:56 CET 2019
;; MSG SIZE rcvd: 71
la deuxieme est vue non sécurisée, elle vient du cache
dig sigok.verteiltesysteme.net
; <<>> DiG 9.11.5-P1-2-Debian <<>> sigok.verteiltesysteme.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 35826
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;sigok.verteiltesysteme.net. IN A
;; ANSWER SECTION:
sigok.verteiltesysteme.net. 56 IN A 134.91.78.139
;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: lun. févr. 25 17:07:00 CET 2019
;; MSG SIZE rcvd: 71
Dernière modification par grandtoubab (Le 25/02/2019, à 17:10)
Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....
Hors ligne
#4 Le 25/02/2019, à 17:09
- nam1962
Re : DNS attaqués, configurer DNSSEC
Ca c'est intéressant côté client, cela dit, c'est côté domaine que ça se corse et il n'y en a pas beaucoup de certifiés (je te pique la config, merci)
[ Modéré ]
Hors ligne
#5 Le 25/02/2019, à 17:15
- grandtoubab
Re : DNS attaqués, configurer DNSSEC
ce test est drôle
http://www.dnssec-or-not.com/
Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....
Hors ligne
#6 Le 27/02/2019, à 09:15
- bruno
Re : DNS attaqués, configurer DNSSEC
À noter que DNSSEC ou pas cela ne change pas grand chose à l'attaque citée.
https://www.bortzmeyer.org/attaques-nom … tions.html
#7 Le 27/02/2019, à 11:02
- maxire
Re : DNS attaqués, configurer DNSSEC
Oui, effectivement si la procédure d'enregistrement des noms de domaines est elle-même faiblement sécurisée dnssec ne sert strictement à rien ou presque.
Maxire
Archlinux/Mate + Ubuntu 22.04 + Archlinux/Gnome sur poste de travail
Hors ligne
#8 Le 27/02/2019, à 11:08
- grandtoubab
Re : DNS attaqués, configurer DNSSEC
vous êtes surement très expert mais je préfère m'en tenir aux recommandations de l'autorité competente
Nous sommes certains que les acteurs de l'industrie du DNS ont déjà mis en place de fortes précautions de sécurité dans leurs secteurs respectifs. Néanmoins, il est toujours utile de considérer la liste de contrôle ci-après ......
- vérifier que les enregistrements de zone DNS soient signés DNSSEC et que les résolveurs DNS mettent en place la validation DNSSEC ;
Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....
Hors ligne
#9 Le 27/02/2019, à 11:12
- maxire
Re : DNS attaqués, configurer DNSSEC
Ce n'est pas une question d'expertise, je n'y connais rien, je commente juste cet extrait du texte référencé par bruno :
Mais supposons qu'Aisne Web ne soit pas une entreprise très attentive en matière de sécurité. Pour s'authentifier auprès du bureau d'enregistrement de noms de domaine, ils ont choisi le mot de passe « toto12345 ». Un tel mot de passe est facile à deviner, surtout pour un logiciel qui peut faire de nombreux essais sans s'en fatiguer. Même avec un mot de passe plus difficile, peut-être qu'un employé d'Aisne Web est crédule et que, quand quelqu'un prétendant être « un technicien de Microsoft » (ou d'Apple, ou d'Orange…) appelera, l'employé acceptera de communiquer le mot de passe. (C'est ce qu'on nomme l'ingénierie sociale et c'est beaucoup plus efficace qu'on ne le croit.)
Une fois le mot de passe connu, le pirate peut alors se connecter à l'interface Web du bureau d'enregistrement, en se faisant ainsi passer pour l'utilisateur légitime. Il va alors modifier les informations techniques, par exemple l'adresse IP du site Web. Et voilà, en croyant se connecter à la pizzeria, les visiteurs iront sur le site du pirate. Bien sûr, pour une pizzeria, ce n'est pas forcément très grave. Mais des noms de domaine bien plus sensibles peuvent être détournés ainsi. Et ces attaques forment un véritable bruit de fond sur l'Internet. Les attaques comme celles perpétrées dans l'affaire qui fait du bruit en ce moment ne sont ni les premières, ni les seules.
C'est parfaitement crédible, si les organismes d'enregistrement de noms de domaines font n'importe quoi dans la gestion des enregistrements DNS, dnssec ou pas cela ne change pas grand chose.
Dernière modification par maxire (Le 27/02/2019, à 11:14)
Maxire
Archlinux/Mate + Ubuntu 22.04 + Archlinux/Gnome sur poste de travail
Hors ligne
#10 Le 27/02/2019, à 15:31
- bruno
Re : DNS attaqués, configurer DNSSEC
Je pense que tu peux avoir toute confiance dans les compétences d'un ingénieur de l'AFNIC dont c'est une des spécialités.
Un article plus détaillé : https://www.bortzmeyer.org/dnspionage.html
Mais DNSSEC aurait-il aidé dans ces cas précis ? DNSSEC, on l'a vu, permet de s'assurer que les données n'ont pas été modifiées entre l'origine (l'endroit où sont gérées les données) et le résolveur validant. Mais si les données sont fausses dès l'origine ? Le bon sens nous dit qu'il ne sert à rien de signer des données fausses. Si l'attaquant a le contrôle de l'origine (par exemple le serveur DNS maître), il peut modifier les données et signer des données mensongères. Ou bien il peut simplement retirer l'enregistrement DS dans la zone parente, indiquant ainsi que la zone n'est pas signée. Pour citer Paul Ebersman, « DNSSEC isn't useless but it solves one specific problem ».
#11 Le 28/02/2019, à 09:32
- grandtoubab
Re : DNS attaqués, configurer DNSSEC
Je pense que tu peux avoir toute confiance dans les compétences d'un ingénieur de l'AFNIC dont c'est une des spécialités.
Un article plus détaillé : https://www.bortzmeyer.org/dnspionage.html
Chacun extrait ce qu'il veut d'un article, moi j'y vois ces phrases
D'abord, les attaquants ne sont pas parfaits. Il y a des amateurs, des professionnels, et des professionnels compétents. Et même ces derniers font des erreurs. Lors de détournements de noms signés avec DNSSEC, il a déjà été observé que les attaquants, bien qu'ils ont acquis le pouvoir de changer également les informations DNSSEC n'y pensent pas toujours. Et même s'ils y pensent, le temps n'est pas sous leur contrôle, ce qui peut rendre DNSSEC efficace, même en cas de piratage d'un registre.
Bref, attaques du moment ou pas, ce serait une bonne chose que pousser le déploiement de DNSSEC
Dernière modification par grandtoubab (Le 28/02/2019, à 09:33)
Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....
Hors ligne
#12 Le 28/02/2019, à 09:41
- nam1962
Re : DNS attaqués, configurer DNSSEC
Cela dit :
- malgré le #3 je n'ai pas réussi à le déployer côté client
- quand j'ai regardé un tuto pour le faire chez mon registrar... j'ai préféré à ce stade garder mon site en ligne
Donc si quasi personne n'a DNSSEC côté client, que c'est fastidieux à installer côté domaine (et qu'il faut le renouveler scrupuleusement et à la main tous les ans, sinon, idem : on tombe), que c'est désactivable par un pirate en amont, quel en est l'intérêt réel ?
Dernière modification par nam1962 (Le 28/02/2019, à 09:42)
[ Modéré ]
Hors ligne
#13 Le 28/02/2019, à 10:54
- Brunod
Re : DNS attaqués, configurer DNSSEC
Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis
Hors ligne
#14 Le 28/02/2019, à 11:03
- rogn...
Re : DNS attaqués, configurer DNSSEC
Merci Brunod. Cet article résume ma pensée face à cette nouvelle psychose collective entretenue jusqu'au ministère.
Dernière modification par rogn... (Le 28/02/2019, à 11:03)
#15 Le 28/02/2019, à 11:04
- grandtoubab
Re : DNS attaqués, configurer DNSSEC
Cela dit :
- malgré le #3 je n'ai pas réussi à le déployer côté client
- quand j'ai regardé un tuto pour le faire chez mon registrar... j'ai préféré à ce stade garder mon site en ligneDonc si quasi personne n'a DNSSEC côté client, que c'est fastidieux à installer côté domaine (et qu'il faut le renouveler scrupuleusement et à la main tous les ans, sinon, idem : on tombe), que c'est désactivable par un pirate en amont, quel en est l'intérêt réel ?
Pour ce qui me concerne je n'évoque que la configuration de l'utilisateur final sur son PC familial
Je configure dnnssec et j' utilise des fournisseur DNS sérieux qui ont déployé dnssec dans leur infrastructure, par exemple Verisign, Gitoyen
Et comme dit la blague "Si t'es pas paranoïaque, c'est que t'es mal informé"
Dernière modification par grandtoubab (Le 28/02/2019, à 11:07)
Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....
Hors ligne
#16 Le 28/02/2019, à 11:04
- nam1962
Re : DNS attaqués, configurer DNSSEC
Un bon exemple de Pebcak : https://www.20minutes.fr/monde/2461427- … formatique
[ Modéré ]
Hors ligne
#17 Le 28/02/2019, à 12:27
- Brunod
Re : DNS attaqués, configurer DNSSEC
Brunod a écrit :Merci Brunod. Cet article résume ma pensée face à cette nouvelle psychose collective entretenue jusqu'au ministère.
Je me demande surtout ce qu'on veut nous fourguer en douce sous couvert de passage à ces "nouvelles mesures" de sécurité.
Les DNS libres et indépendants semblent rares. J'avais fait des recherches à ce sujet il y a qq années, je n'en retrouve plus aucune trace. Or celui qui contrôle le bottin contrôle le téléphone et les abonnés.
On présente souvent dans les articles les DNS de Google notamment comme libres, mais quand on sait que Google est chargé de gérer la censure du web en Europe, on peut s'interroger.
Dernière modification par Brunod (Le 28/02/2019, à 12:28)
Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis
Hors ligne
#18 Le 28/02/2019, à 12:42
- bruno
Re : DNS attaqués, configurer DNSSEC
Pour avoir des résolveurs libres et indépendants on peut installer son propre résolveur pour son réseau local: unbound ou bind en mode résolveur cache, ou utiliser ceux de FDN ou QUAD9 : 9.9.9.9.
Ceux de Google ou OpenDNS sont effectivement à fuir.
Dernière modification par bruno (Le 28/02/2019, à 13:11)
#19 Le 28/02/2019, à 13:07
- Brunod
Re : DNS attaqués, configurer DNSSEC
Oui, mais comment fonctionnent-ils ?
Pour Quad9 par ex. je cite :
Quad9 routes your DNS queries through a secure network of servers around the globe. The system uses threat intelligence from more than a dozen of the industry’s leading cyber security companies to give a real-time perspective on what websites are safe and what sites are known to include malware or other threats. If the system detects that the site you want to reach is known to be infected, you’ll automatically be blocked from entry – keeping your data and computer safe.
Si ça ce n'est pas de la censure sous couvert de protection...
Je ne demande pas à un bottin de me dire si l'adresse que je demande est sûre (ou autorisée) ou pas, et encore moins qu'il m'empêche d'y accéder.
Dernière modification par Brunod (Le 28/02/2019, à 13:10)
Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis
Hors ligne
#20 Le 28/02/2019, à 13:11
- bruno
Re : DNS attaqués, configurer DNSSEC
Ah, je n'avais pas vu cela concernant Quad9. Merci.
Je cesserai désormais de le citer car cela contrevient au principe de neutralité.
#21 Le 28/02/2019, à 13:14
- Brunod
Re : DNS attaqués, configurer DNSSEC
Je ne veux pas te décevoir, mais je pense que l'autre, FDN, ne fait que la même chose sans l'expliciter
Qui fait quoi ? : https://www.bortzmeyer.org/qui-controle … acine.html
Une altrenative serait OPENnic :
https://wiki.opennic.org/start
Dernière modification par Brunod (Le 28/02/2019, à 13:31)
Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis
Hors ligne
#22 Le 28/02/2019, à 13:18
- rogn...
Re : DNS attaqués, configurer DNSSEC
Je me demande surtout ce qu'on veut nous fourguer en douce sous couvert de passage à ces "nouvelles mesures" de sécurité.
Des mises à jour pour Windows, Mac, Android, iOS, et pour les bases de données anti-truc.
#23 Le 28/02/2019, à 13:32
- bruno
Re : DNS attaqués, configurer DNSSEC
Je ne veux pas te décevoir, mais je pense que l'autre, FDN, ne fait que la même chose sans l'expliciter
Non. FDN est un réseau de FAI associatifs qui ont pour volonté de fournir un accès Internet neutre et non filtré. Ils sont connus pour cela depuis très longtemps.
http://blog.fdn.fr/?post/2014/12/07/Fil … -Internets
#24 Le 28/02/2019, à 13:33
- Brunod
Re : DNS attaqués, configurer DNSSEC
Brunod a écrit :Je me demande surtout ce qu'on veut nous fourguer en douce sous couvert de passage à ces "nouvelles mesures" de sécurité.
Des mises à jour pour Windows, Mac, Android, iOS, et pour les bases de données anti-truc.
Non, je ne pense pas, une màj n'apporte rien en soi.
Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis
Hors ligne
#25 Le 28/02/2019, à 13:37
- Brunod
Re : DNS attaqués, configurer DNSSEC
Brunod a écrit :Je ne veux pas te décevoir, mais je pense que l'autre, FDN, ne fait que la même chose sans l'expliciter
Non. FDN est un réseau de FAI associatifs qui ont pour volonté de fournir un accès Internet neutre et non filtré. Ils sont connus pour cela depuis très longtemps.
http://blog.fdn.fr/?post/2014/12/07/Fil … -Internets
Merci pour cette très bonne nouvelle (Faut me comprendre, je deviens méfiant )
Je vais épingler son adresse !
Si vous en avez d'autres, je prends !
Dernière modification par Brunod (Le 28/02/2019, à 13:40)
Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis
Hors ligne