FOR_1705-0003
DNSSEC
Objectifs:
- Acquérir la connaissance technique du protocole DNS et de l'extension DNSSEC
- Configurer une installation d'un résolveur (Unbound) validant les réponses avec DNSSEC
- Construire une infrastructure DNSSEC comprenant OpenDNSSEC pour gérer les clés et BIND pour servir les zones signées
- Éviter les pièges du DNS
- Déterminer l'intérêt réel d'un déploiement éventuel de DNSSEC dans leur environnement
Public:
- Exploitants et administrateurs systèmes et réseaux,
- Responsables opérationnels,
- Architectes amenés à prendre des décisions de nature technique.
Durée:
14 heuresMéthode pédagogique:
- Cours magistral avec travaux pratiques et échanges interactifs
Programme:
DNS : Spécifications et principes
-
Vocabulaire
-
arbres, zones...
-
resolver, cache, authoritative, fowarder...
-
Organisation
-
TLD, autres domaines, délégations...
-
Protocole
-
RRSet, entêtes, couche de transport et EDNS
-
Problèmes liés aux pare-feux
-
Les enregistrements (RR)
-
A, AAAA, PTR, SOA, NS, MX ...
-
Fonctionnement interne
- Récursion et itération, fonctionnement de la résolution, ...Logiciels
- Couches logicielles
- "stub resolver", résolveur, rôle de l'application...
- Alternatives à BIND
- Outils sur le DNS
- Zonemaster, dig, delv...
Sécurité du DNS
-
Risques : modification non autorisée des données, piratage des serveurs, attaque via le routage ou autre "IP spoofing", empoisonnement de cache ... Ce qu'a apporté l'attaque Kaminsky.
Cryptographie
-
Petit rappel cryptographie asymétrique, longueur des clés, sécurité de la clé privée ...
DNSSEC
-
Clés : l'enregistrement DNSKEY. Méta-données des clés. Algorithmes et longueurs des clés.
-
Signature des enregistrements : l'enregistrement RRSIG. Méta-données des signatures.
-
Délégation sécurisée : l'enregistrement DS
-
Preuve de non-existence : les enregistrements NSEC et NSEC3
DNSSEC en pratique
-
Objectifs, ce que DNSSEC ne fait pas, les problèmes apportés par DNSSEC.
-
Protocole
-
bit DO et couche de transport (EDNS)
-
Problèmes liés aux pare-feux
-
Créer une zone signée à la main
-
dnssec-keygen, -signzone, named-checkzone/conf
-
Configurer le résolveur Unbound pour valider
-
Vérifier avec dig et delv
-
Déboguage
-
Délégation d'une zone. Tests avec dnsviz
-
Renouvellement de clés
-
Créer une zone signée avec DNSSEC
Retour d'expérience
-
Zone racine
-
Domaines de premier niveau (.fr, .se, .org, ...)
-
Zones ordinaires signées
-
Stockage des clés. Les HSM.
-
Problèmes opérationnels (re-signature, supervision)
Conclusion
Sanction:
- Formation non certifiante.
- Formation délivrée en partenariat avec HS2
Parcours de formation disponibles sur demande
Formation RGPD en ligne ouverte pour tous
Une nouvelle formation en ligne ouverte à tous (MOOC) intitulée « L’atelier RGPD » propose aux professionnels de découvrir ou mieux appréhender le RGPD. Il permet ainsi d’initier une mise en conformité de leur organisme et d’aider à la sensibilisation des opérationnels.
Sensibilisation pour tous par l'Agence Nationale de Sécurité des Systèmes d'Information
Le MOOC (Massive Open Online Course) SecNumAcademie – La nouvelle formation en ligne met la cybersécurité à la portée de tous
A découvrir sur le site de L’agence nationale de la sécurité des systèmes d'information (ANSSI)
Formons les formateurs!
La formation des formateurs ! A découvrir de toute urgence l'interview de Gérard PELIKS le président de cyberedu.
Cyberedu met à votre disposition la mallette de formation des formateurs à télécharger immédiatement.
Programme G-echo en pdf
OF 73310795531