Serveurs DNS – Mise en œuvre et sécurisation

Le Domain Name System (ou DNS, système de noms de domaine) est un service permettant de traduire un nom de domaine en informations de plusieurs types qui y sont associées, notamment en adresses IP. Il s’agit d’un composant d’infrastructure vital pour les réseaux modernes. Il est donc une cible de choix pour un attaquant, d’autant que sa conception ancienne l’expose à de nombreux risques.

L’objectif de cette formation est de fournir aux participants les connaissances nécessaires à la compréhension du fonctionnement des services DNS, à leur mise en œuvre au sein d’une infrastructure interne ou sur Internet et à leur sécurisation.

Durée

Durée

2 jours (14 heures)

Public visé

Public visé

Administrateurs systèmes et réseaux, architectes réseaux.

Mode de formation

Mode de formation

Présentiel, intra.

Objectif(s) visé(s)

Comprendre le fonctionnement des services de résolution de noms, mettre en œuvre des serveurs de noms sous Linux et les sécuriser.

Prérequis

Disposer d'une expérience en administration des systèmes Linux et des notions relatives aux protocoles réseaux standards (IP, TCP et UDP).

Pédagogie

MPGC* *Cours Magistral / Travaux Dirigés / Travaux Pratiques / Jeu de rôles / Travail en Groupe / Echanges / Etude de Cas

Matériel

Support de cours en français.

Certification

Cette formation n'est pas certifiante.

Programme

Principes généraux

  • Résoudre les noms de domaine
  • Hiérarchie DNS
  • Délégation et zones
  • Registres de noms de domaine
  • Serveurs racine
  • L’enregistrement de noms
  • Processus de résolution et DNS récursif/itératif

Fonctions d’un serveur DNS

  • Serveur cache
  • Serveur autoritaire
  • FQDN
  • Résolution inverse

Les enregistrements

  • Resource Records (RR)
  • Structure d’un RR
  • Types d’enregistrements

Le protocole DNS

  • Format d’un datagramme
  • Extension mechanisms for DNS (EDNS)

Mise en œuvre d’un serveur BIND

  • Présentation
  • Déploiement d’un serveur autoritaire
  • Fichiers de zone
  • Déploiement d’un serveur secondaire
  • Transferts de zone
  • Messages de type NOTIFY

 

 

 

 

 

 

Panorama des attaques sur DNS

  • Interception des paquets
  • Fabrication d’une réponse
  • Corruption des données
  • Empoisonnement du cache DNS
  • Déni de service

Renforcement de la sécurité

  • Droits du processus
  • Fonctions
  • Limitation des requêtes récursives
  • Accès au service de requêtage
  • Requêtes erronées ou non légitimes
  • Affichage de la version
  • chroot
  • Response Rate Limiting (RRL)
  • Glue records
  • Transaction signature (TSIG)
  • Mise en œuvre d’une délégation croisée

Rappels sur la cryptographie

  • Cryptographie symétrique
  • Cryptographie asymétrique
  • Fonction de hashage
  • Signature numérique

Présentation de DNSSEC

  • Pré-requis
  • Les enregistrements de DNSSEC
  • L’enregistrement DNSKEY
  • Zone Signing Key (ZSK)
  • Key Signing Key (KSK)
  • Les enregistrements RRSIG, NSEC, DS
  • La chaîne de confiance
  • L’ancre de confiance (trust anchor)
  • Les enregistrements NSEC3 et NSEC3PARAM
  • L’enregistrement SIG(0)
  • Mise en œuvre de DNSSEC
  • Renouvellement des clés

Besoin d’être accompagné en cybersécurité ?