DNSSEC

[![Le programme en pdf](/theme/images/picto-pdf-download.svg)]({attach}FOR_1705-0003.pdf){. class="mypdf"} ![Datadocké](/images/datadock.jpg){: .myTblImg}

OF 73310795531

AU REGARD DE LA SITUATION SANITAIRE NOS FORMATIONS SONT EGALEMENT PROPOSEES EN LIGNE

FOR_1705-0003

DNSSEC

Objectifs:

  • Acquérir la connaissance technique du protocole DNS et de l'extension DNSSEC
  • Configurer une installation d'un résolveur (Unbound) validant les réponses avec DNSSEC
  • Construire une infrastructure DNSSEC comprenant OpenDNSSEC pour gérer les clés et BIND pour servir les zones signées
  • Éviter les pièges du DNS
  • Déterminer l'intérêt réel d'un déploiement éventuel de DNSSEC dans leur environnement

Public:

  • Exploitants et administrateurs systèmes et réseaux,
  • Responsables opérationnels,
  • Architectes amenés à prendre des décisions de nature technique.

Durée:

14 heures

Méthode pédagogique:

  • Cours magistral avec travaux pratiques et échanges interactifs

Programme:

DNS : Spécifications et principes

  • Vocabulaire

  • arbres, zones...

  • resolver, cache, authoritative, fowarder...

  • Organisation

  • TLD, autres domaines, délégations...

  • Protocole

  • RRSet, entêtes, couche de transport et EDNS

  • Problèmes liés aux pare-feux

  • Les enregistrements (RR)

  • A, AAAA, PTR, SOA, NS, MX ...

  • Fonctionnement interne

  • Récursion et itération, fonctionnement de la résolution, ...Logiciels
  • Couches logicielles
  • "stub resolver", résolveur, rôle de l'application...
  • Alternatives à BIND
  • Outils sur le DNS
  • Zonemaster, dig, delv...

Sécurité du DNS

  • Risques : modification non autorisée des données, piratage des serveurs, attaque via le routage ou autre "IP spoofing", empoisonnement de cache ... Ce qu'a apporté l'attaque Kaminsky.

Cryptographie

  • Petit rappel cryptographie asymétrique, longueur des clés, sécurité de la clé privée ...

DNSSEC

  • Clés : l'enregistrement DNSKEY. Méta-données des clés. Algorithmes et longueurs des clés.

  • Signature des enregistrements : l'enregistrement RRSIG. Méta-données des signatures.

  • Délégation sécurisée : l'enregistrement DS

  • Preuve de non-existence : les enregistrements NSEC et NSEC3

DNSSEC en pratique

  • Objectifs, ce que DNSSEC ne fait pas, les problèmes apportés par DNSSEC.

  • Protocole

  • bit DO et couche de transport (EDNS)

  • Problèmes liés aux pare-feux

  • Créer une zone signée à la main

  • dnssec-keygen, -signzone, named-checkzone/conf

  • Configurer le résolveur Unbound pour valider

  • Vérifier avec dig et delv

  • Déboguage

  • Délégation d'une zone. Tests avec dnsviz

  • Renouvellement de clés

  • Créer une zone signée avec DNSSEC

Retour d'expérience

  • Zone racine

  • Domaines de premier niveau (.fr, .se, .org, ...)

  • Zones ordinaires signées

  • Stockage des clés. Les HSM.

  • Problèmes opérationnels (re-signature, supervision)

Conclusion

Sanction:


Parcours de formation disponibles sur demande

## Formation RGPD en ligne ouverte pour tous [![Mooc en ligne](/theme/images/Mooc-CNIL.jpg){: w100} Une nouvelle formation en ligne ouverte à tous (MOOC) intitulée « L’atelier RGPD » propose aux professionnels de découvrir ou mieux appréhender le RGPD.](https://atelier-rgpd.cnil.fr/) Il permet ainsi d’initier une mise en conformité de leur organisme et d’aider à la sensibilisation des opérationnels. [A découvrir sur le site de la CNIL](https://www.cnil.fr/fr/la-cnil-lance-sa-formation-en-ligne-sur-le-rgpd-ouverte-tous).
## Sensibilisation pour tous par l'Agence Nationale de Sécurité des Systèmes d'Information Le MOOC (Massive Open Online Course) [![Mooc en ligne](/theme/images/SecNumAcademie.png){: .w100} SecNumAcademie – La nouvelle formation en ligne met la cybersécurité à la portée de tous](https://www.secnumacademie.gouv.fr/){: target='_blank'} A découvrir [sur le site de L’agence nationale de la sécurité des systèmes d'information (ANSSI)](https://www.ssi.gouv.fr/actualite/secnumacademie-le-nouvelle-formation-en-ligne-met-la-cybersecurite-a-la-portee-de-tous/){: target='_blank'}
## Formons les formateurs! **La formation des formateurs !** A découvrir de toute urgence [l'interview de **Gérard PELIKS le président de cyberedu**](https://archive.g-echo.fr/20170712-InterviewGerardPeliks.html). Cyberedu met à votre disposition [la mallette de formation des formateurs à télécharger immédiatement](https://www.ssi.gouv.fr/administration/formations/cyberedu/contenu-pedagogique-cyberedu/). ## Programme G-echo en pdf
[![Le programme en pdf](/theme/images/picto-pdf-download.svg)]({attach}FOR_1705-0003.pdf){. .mypdf .fl} ![Datadocké](/images/datadock.jpg){: .myTblImg .fr}

OF 73310795531

By G-echo