Serveurs DNS – Mise en œuvre et sécurisation
Le Domain Name System (ou DNS, système de noms de domaine) est un service permettant de traduire un nom de domaine en informations de plusieurs types qui y sont associées, notamment en adresses IP. Il s’agit d’un composant d’infrastructure vital pour les réseaux modernes. Il est donc une cible de choix pour un attaquant, d’autant que sa conception ancienne l’expose à de nombreux risques.
L’objectif de cette formation est de fournir aux participants les connaissances nécessaires à la compréhension du fonctionnement des services DNS, à leur mise en œuvre au sein d’une infrastructure interne ou sur Internet et à leur sécurisation.
Durée
2 jours (14 heures)
Public visé
Administrateurs systèmes et réseaux, architectes réseaux.
Mode de formation
Présentiel, intra.
Objectif(s) visé(s)
Comprendre le fonctionnement des services de résolution de noms, mettre en œuvre des serveurs de noms sous Linux et les sécuriser.
Prérequis
Disposer d'une expérience en administration des systèmes Linux et des notions relatives aux protocoles réseaux standards (IP, TCP et UDP).
Pédagogie
MPGC* *Cours Magistral / Travaux Dirigés / Travaux Pratiques / Jeu de rôles / Travail en Groupe / Echanges / Etude de Cas
Matériel
Support de cours en français.
Certification
Cette formation n'est pas certifiante.
Programme
Principes généraux
- Résoudre les noms de domaine
- Hiérarchie DNS
- Délégation et zones
- Registres de noms de domaine
- Serveurs racine
- L’enregistrement de noms
- Processus de résolution et DNS récursif/itératif
Fonctions d’un serveur DNS
- Serveur cache
- Serveur autoritaire
- FQDN
- Résolution inverse
Les enregistrements
- Resource Records (RR)
- Structure d’un RR
- Types d’enregistrements
Le protocole DNS
- Format d’un datagramme
- Extension mechanisms for DNS (EDNS)
Mise en œuvre d’un serveur BIND
- Présentation
- Déploiement d’un serveur autoritaire
- Fichiers de zone
- Déploiement d’un serveur secondaire
- Transferts de zone
- Messages de type NOTIFY
Panorama des attaques sur DNS
- Interception des paquets
- Fabrication d’une réponse
- Corruption des données
- Empoisonnement du cache DNS
- Déni de service
Renforcement de la sécurité
- Droits du processus
- Fonctions
- Limitation des requêtes récursives
- Accès au service de requêtage
- Requêtes erronées ou non légitimes
- Affichage de la version
- chroot
- Response Rate Limiting (RRL)
- Glue records
- Transaction signature (TSIG)
- Mise en œuvre d’une délégation croisée
Rappels sur la cryptographie
- Cryptographie symétrique
- Cryptographie asymétrique
- Fonction de hashage
- Signature numérique
Présentation de DNSSEC
- Pré-requis
- Les enregistrements de DNSSEC
- L’enregistrement DNSKEY
- Zone Signing Key (ZSK)
- Key Signing Key (KSK)
- Les enregistrements RRSIG, NSEC, DS
- La chaîne de confiance
- L’ancre de confiance (trust anchor)
- Les enregistrements NSEC3 et NSEC3PARAM
- L’enregistrement SIG(0)
- Mise en œuvre de DNSSEC
- Renouvellement des clés