-
Notifications
You must be signed in to change notification settings - Fork 0
Secu_DNS
le "DNS spoofing" où "usurpation DNS" en français est une attaque qui consiste sur base du numera d'identification d'une requete DNS a répondre a cette requete mais en falsifiant les informations pour rediriger une victime le plus souvent sur un site frauduleux.
Les attaques par denis de services consistent a envoyer un trop grand nombre de requetes sans interruption vers un serveur, cela a pour effet de surcharger le serveur l'empechant donc de repondre correctement aux requetes des utilisateurs et rendant donc le réseau innutilisable.
Il est assez compliqué de se prémunir face aux attaques de typer DOS, ca il n'est pas aisé de differentier les requetes emises par des utilisateurs de celles emises par les attaquants. cependant il est possible de configurer un fireawall qui repere certains paternes dans les requetes pour essayer d'identifier celles venant des attaquants.
Dnssec est un outil permetant d'authentifier des réponses DNS grace à la cryptographie asymetrique.
Pour l'activer, il faut out d'abord s'assurer que ces liges soient présentes dans le fichier named.conf.option,
allow-transfer { none; };
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
Ensuite, dans le dossier /etc/bind/keys, il faut generer les clées pour signer la zone et pour signer les clées :
dnssec-keygen -f KSK -a RSASHA256 -b 2048 -n ZONE m1-8.ephec-ti.be
dnssec-keygen -a RSASHA256 -b 2048 -n ZONE m1-8.ephec-ti.be
Il est ensuite plus pratique de renomer ces clées en .ksk et .zsk de la façon suivante :
mv /etc/bind/keys/Km1-8.ephec-ti.be.+008+XXXXX.key /etc/bind/keys/m1-8.ephec-ti.be.ksk.key
mv /etc/bind/keys/Km1-8.ephec-ti.be.+008+XXXXX.private /etc/bind/keys/m1-8.ephec-ti.be.ksk.private
mv /etc/bind/keys/Km1-8.ephec-ti.be.+008+XXXXX.key /etc/bind/keys/m1-8.ephec-ti.be.zsk.key
mv /etc/bind/keys/Km1-8.ephec-ti.be.+008+XXXXX.private /etc/bind/keys/m1-8.ephec-ti.be.zsk.private
Où XXXXX sont 5 chipres générés aléatoirement lors de la création des clées, il faut donc verifier quelle clées correspond a quoi manuelement.
Enfin il faut signer la zone grace a la commande :
dnssec-signzone -e20221020030000 -t -g -k ./m1-8.ephec-ti.be.ksk.key -o m1-8.ephec-ti.be ../m1-8.ephec-ti.be ./m1-8.ephec-ti.be.zsk.key
Qui devrait nous renvoyer si tout va bin un réponse de ce type :
Zone fully signed:
Algorithm: RSASHA256: KSKs: 1 active, 0 stand-by, 0 revoked
ZSKs: 1 active, 0 stand-by, 0 revoked
../m1-8.ephec-ti.be.signed
Signatures generated: 14
Signatures retained: 0
Signatures dropped: 0
Signatures successfully verified: 0
Signatures unsuccessfully verified: 0
Signing time in seconds: 0.020
Signatures per second: 700.000
Runtime in seconds: 0.024
Pour terminer , il ne nous reste plus qu'a changer le fichier de zone dans named.conf.local pour y préciser le .signed :
zone "m1-8.ephec-ti.be" {
type master;
file "/etc/bind/m1-8.ephec-ti.be.signed";
};
On peut maintenant tester le Dnssec grace a la comande dig où grace a des outils comme supertool :