Sécurisation du service DNS

Identification des risques

• DNS spoofing/cache poisoning : Cette attaque consiste a envoyer plein de fausse information au serveur DNS pour qu'il a sont tour renvoie c'est même fausse information pour, par example, rediriger l'utilisateur vers une fausse version de Facebook.
• DNS tunneling : Cette attaque consiste a se connecter au serveur DNS par d'autre port comme par exemple le port 22 avec SSH pour avoir accès au serveur DNS.
• DNS hijacking : Celui-ci consiste a rediriger l'utilisateur vers un faux serveur DNS. Le but est le même que pour le DNS spoofing c'est a dire de rediriger l'utilisateur vers, par example, rediriger l'utilisateur vers une fausse version de Facebook. Sauf que cette fois si c'est le vrai serveur DNS n'est même plus utilisé.
• NXDOMAIN attack : Cette attaque consiste a envoyer une énorme quantité de requête a la seconde pour créé du dénis de service, c'est a dire que le serveur DNS prend tellement de temps a répondre au fausse requête qu'il ne peut plus répondre au vrai requête assez rapidement.
• Phantome domain attack : Cette attaque est assez similaire a la précédente dans le sens ou le serveur DNS est aussi ralenti mais pas de la même façon. Cette fois si des serveurs fantome sont créé pour des nom de domaine qui n'existe pas vraiment, ces serveur vont être appelé pour le vrai serveur DNS pour résoudre de faux nom de domaine. Ces serveurs fantome vont alors faire exprès de répondre très lentement ou même pas du tout pour ralentir l'utilisation du serveur DNS.

Contre-mesures contrant les risques identifiés

DNSSEC

• DNS Security Extensions (DNSSEC) permet de sécuriser un DNS grace a des certificat échanger a toutes les étapes de la résolution DNS.

Implémentation de DNSSEC

1. Activer DNSSEC Ouvrer le fichier /etc/bind/named.conf.options et ajouter ces deux lignes :

dnssec-enable yes;
dnssec-validation auto;

2. Générer la paire de clé ZSK et KSK

La génération des deux clé se fait par la même commande a la différence que la clé ZSK fait 1024 bits et la clé KSK 2048 en ajoutant -fKSK pour celle-ci.

dnssec-keygen -a <ALGORITHM> -b <BITS> -n ZONE <ZONENAME>

• Le -a sert a choissir l'agorithm, nous allons utiliser RSASHA256.
• Le -b sert a donner le nombre de bits de la clé.
• Notre ZONE est m1-2.ephec-ti.be.

Les deux commandes seront donc :

dnssec-keygen -a RSASHA256 -b 1024 -n ZONE m1-2.ephec-ti.be
dnssec-keygen -a RSASHA256 -b 2048 -fKSK -n ZONE m1-2.ephec-ti.be

3. Signé automatiquement la zone

Pour cela nous allons nous rendre dans le fichier /etc/bind/named.conf.local et y ajouter notre zone.

zone “m1-2.ephec-ti.be.” {
                        type master;
                        file “/etc/bind/db.m1-2.ephec-ti.be”;
                        key-directory “/etc/bind/keys”;
                        auto-dnssec maintain;
                        inline-signing yes;
};

Pour appliquer la configuration, nous allons utiliser Remote Name Daemon Control (RNDC) avec ces commandes :

rndc reload
rndc reconfig
rndc loadkeys m1-2.ephec-ti.be

Et pour finir signé la zone avec cette commande :

rndc signing -list m1-2.ephec-ti.be

4. Signé manuellement la zone (parce que ça a pas marché automatiquement)

Editez le fichier de zone /etc/bind/zones/db.m1-2.ephec-ti.be et ajoutez-y la clé KSK et ZSK comme ci dessous.

$INCLUDE “/etc/bind/keys/Km1-2.ephec-ti.be.+008+25867.key” #myksk
$INCLUDE “/etc/bind/keys/Km1-2.ephec-ti.be.+008+40618.key” #myzsk

Il reste maintenant a signé la zone en y mettant les deux clé et le fichier db.m1-2.ephec-ti.be en argument.

dnssec-signzone -o m1-2.ephec-ti.be -N INCREMENT -t -k /etc/bind/keys/Km1-2.ephec-ti.be.+008+25867.key db.m1-2.ephec-ti.be /etc/bind/keys/Km1-2.ephec-ti.be.+008+40618.key

Pour finir nous allons modifié /etc/bind/named.conf.local pour y modifier le fichier de zone par db.m1-2.ephec-ti.be.signed, la zone devrait donc ressembler a celui-ci :

zone "m1-2.ephec-ti.be." {
                        type master;
                        file  "/etc/bind/zones/db.m1-2.ephec-ti.be.signed";

};

Relancez le service et all done.

Fail2ban

• Pour les soucis d'intrusions nous avons décidés d'utiliser fail2ban qui va bloquer spam de demande d'acès au serveur.

Voici la commande :

sudo apt-get install fail2ban

Après l'installation le service se lancera tout seul.

Souce

• https://www.cloudflare.com/fr-fr/learning/dns/dns-security/
• https://blog.apnic.net/2019/05/23/how-to-deploying-dnssec-with-bind-and-ubuntu-server/
• https://www.plesk.com/blog/various/using-fail2ban-to-secure-your-server/