#dnssec

Internet est en proie à une vague d’attaques inédites du système de noms de domaine, a annoncé l’ICANN
▻https://www.developpez.com/actu/248286/Internet-est-en-proie-a-une-vague-d-attaques-inedites-du-systeme-de-noms

une pierre de plus dans le jardin de DNSSEC... (@stephane )

#dns #dnssec #icann

https://www.afnic.fr/medias/images/blog/BLOG-CLE-KSK.jpg

Remplacement de la clé KSK de la zone racine : Êtes-vous prêts ? Voici quelques tips pour bien vérifier que votre résolveur connait KSK-2017 ▻https://www.afnic.fr/fr/ressources/blog/remplacement-de-la-cle-ksk-de-la-zone-racine-etes-vous-prets.html

Replacement of the KSK of the root zone : Are you ready ? Here are a few tips to help you check your resolver is familiar with KSK-2017 ▻https://www.afnic.fr/en/resources/blog/replacement-of-the-ksk-of-the-root-zone-are-you-ready.html

#Afnic #DNSSEC #ICANN

« Selon la légende, 14 personnes contrôlent Internet, à l’aide de 7 clés secrètes. Dans ce second épisode Goat In The Shell, nous nous pencherons sur ces fameux maîtres d’Internet… »

▻https://www.youtube.com/watch?v=uxCeG-XpLdU

[Bonnes explications dans la seconde partie.]

#humour #darknet #hackers #DNSSEC #DNS #pipeautage_médiatique

RFC 8198 : Aggressive Use of DNSSEC-Validated Cache

Lorqu’un client #DNS interroge un résolveur, celui-ci peut répondre très vite si l’information demandée est dans sa mémoire (son « cache ») mais cela peut être beaucoup plus lent s’il faut aller demander aux serveurs faisant autorité. Il est donc essentiel, pour les performances du DNS, d’utiliser le cache le plus possible. Traditionnellement, le résolveur n’utilisait le cache que si la question posée par le client avait une réponse exacte dans le cache. Mais l’arrivée de #DNSSEC autorise un usage plus énergique et plus efficace du cache : ce nouveau #RFC permet aux résolveurs de synthétiser des réponses à partir des informations DNSSEC.

▻http://www.bortzmeyer.org/8198.html

RFC 8063 : Key Relay Mapping for the Extensible Provisioning Protocol

Un des problèmes pratiques que pose #DNSSEC est le changement d’hébergeur #DNS. Si on sous-traite sa gestion des clés cryptographiques, et ses signatures à un tiers, que faire lors du changement de prestataire, pour ne pas casser la chaîne de confiance DNSSEC ? On ne peut évidemment pas demander à l’ancien hébergeur de transmettre la clé privée au nouveau ! Même pour les données non confidentielles, comme la clé publique, la transmission est difficile car les deux hébergeurs n’ont pas de canal de transmission sécurisé commun. Ce nouveau RFC propose d’utiliser comme canal sécurisé le registre de la zone parente et, plus concrètement, de définir une extension au protocole #EPP, qui permet un mécanisme de « messagerie » électronique sécurisée, afin de l’utiliser entre deux clients du même registre.

▻http://www.bortzmeyer.org/8063.html

#registre_de_noms_de_domaine

RFC 8080 : Edwards-Curve Digital Security Algorithm (EdDSA) for DNSSEC

Ce #RFC spécifie comment utiliser les algorithmes de cryptographie à courbe elliptique #Ed25519 et #Ed448 dans #DNSSEC.

▻http://www.bortzmeyer.org/8080.html

#Curve25519 #cryptographies_sur_courbes_elliptiques

DNS issues? Who Ya Gonna Call? ZoneMaster! A blog article by Sandoche Balakrichenan from Afnic for CENTR

Read now and share ! ▻https://www.centr.org/news/news/who-ya-gonna-call-for-dns-issues.html

#DNS #ZoneMaster #Afnic #DNSSEC

RFC 7958 : DNSSEC Trust Anchor Publication for the Root Zone

Le mécanisme d’authentification des informations DNS nommé #DNSSEC repose sur la même structure arborescente que le #DNS : une zone publie un lien sécurisé vers les clés de ses sous-zones. Un résolveur DNS validant n’a donc besoin, dans la plupart des cas, que d’une seule clé publique, celle de la racine. Elle lui servira à vérifier les clés des TLD, qui serviront à valider les clés des domaines de deuxième niveau et ainsi de suite. Reste donc à configurer la clé de la racine dans le résolveur : c’est évidemment crucial, puisque toute la sécurité du système en dépend. Si un résolveur est configuré avec une clé fausse pour la racine, toute la validation DNSSEC est menacée. Comment est-ce que l’#ICANN, qui gère la clé principale de la racine, publie cette clé cruciale ? Six ans après la signature de la racine du DNS, c’est enfin documenté, dans ce #RFC.

▻http://www.bortzmeyer.org/7958.html

RFC 7929 : DNS-Based Authentication of Named Entities (DANE) Bindings for OpenPGP

Un problème classique du système de cryptographie #OpenPGP est de vérifier les clés publiques des correspondants. Les trouver, c’est relativement facile : le correspondant pense à vous les envoyer ou bien on se sert tout simplement d’un serveur de clés. Mais ceux-ci ne garantissent rien sur la clé. N’importe qui peut créer une clé marquée flotus@whitehouse.gov et la mettre sur les serveurs de clé, même si cette clé n’a rien à voir avec la Maison-Blanche. Avant la solution de ce nouveau #RFC, il n’existait pas de mécanisme sécurisé pour récupérer une clé publique PGP. Que propose ce RFC ? De mettre les clés dans le #DNS (nouveau type d’enregistrement OPENPGPKEY), dans le domaine de la partie droite de l’adresse de courrier, sécurisée par #DNSSEC. En gros, il s’agit de faire pour le courrier et PGP ce que fait déjà #DANE pour le Web/TLS.

▻http://www.bortzmeyer.org/7929.html

#cryptographie #sécurité_informatique #PGP

DNSSEC as DDoS amplification attack vector

Here is a report that explains how DNSSEC can be subverted as an amplifier in DDoS attacks.

• Average DNSSEC amplification factor : 28.9 x
• Average response to a 80 byte “ANY” query : 2313 bytes
• Largest amplification response : 17377 bytes

▻https://ns-cdn.neustar.biz/creative_services/biz/neustar/www/resources/whitepapers/it-security/dns/neustar-dnssec-report.pdf

We ran DNS queries from four separate and independent open recursive servers to look for DNSSEC name servers that responded to queries using the DNS command “ANY,” which is a favorite malicious query used by hackers.

[...]

Of the 1,349 domains that we examined, 1,084 were signed with DNSSEC and responded to the “ANY” query.
Which means: 80% of the domains in this one community could be repurposed as a DDoS amplifier and
used maliciously.

[...]

For organizations that use and rely on DNSSEC, Neustar
recommends ensuring that your DNS provider does not
respond to the “ANY” queries or has some mechanism in
place to identify and stop misuse.

#DDoS #DNSSEC

https://www.afnic.fr/medias/images/actus/rapport-anssi.jpg

L’observatoire de la résilience de l’Internet français publie son rapport 2015 ▻https://www.afnic.fr/fr/l-afnic-en-bref/actualites/actualites-generales/9991/show/l-observatoire-de-la-resilience-de-l-internet-francais-publie-son-rapport-2015

#ANSSI #AFNIC #INTERNET #RESILIENCE #WEB #TLS #BGP #SMTP #DNSSEC #IPv6 #HTTPS #RPKI #DDoS

La newsletter Afnic de janvier est en ligne ! Consultez la ici ▻http://afnic-media.fr/newsletter/20160119.html

Pour vous inscrire ►https://www.afnic.fr/fr/ressources/newsletter-afnic-36.html

Afnic newsletter for January is out! Read it here ▻http://www.afnic-media.fr/newsletter/20160119-english.html

Subscribe directly here ▻https://www.afnic.fr/en/resources/afnic-newsletter-43.html

#Afnic #Ipv6 #DNSSEC #domains #Internet #Web

https://www.afnic.fr/medias/images/blog/IPv6.jpg

[Blog Afnic] IPv6 et DNSSEC ont 20 et 19 ans. Même combat et mêmes défis !? par Mohsen Souissi ▻https://www.afnic.fr/fr/ressources/blog/ipv6-et-dnssec-ont-20-et-19-ans-meme-combat-et-memes-defis.html

[Afnic blog] IPv6 and DNSSEC are respectively 20 and 19 years old. Same fight and challenges? by Mohsen Souissi ▻https://www.afnic.fr/en/resources/blog/ipv6-and-dnssec-are-respectively-20-and-19-years-old-same-fight-and-challenges

#IPv6 #DNSSEC #Afnic

Paul Vixie, about new gTLDs, #whois #privacy, #DNS, #DNSSEC, #X.509 and many other things. Do not forget your asbestos suit, he does not spare the napalm.

▻http://www.zdnet.com/article/new-top-level-domains-a-money-grab-and-a-mistake-paul-vixie

NTP - Network Time Protocol - can be abused for attacks on HTTPS, DNSSEC, and Bitcoin.

Researchers at University of Boston describe how unencrypted NTP traffic can be intercepted and then used to change the time of clients. For example, the clock can be turned back to a point where the host would accept a fraudulent digital certificate that has been revoked.

Or by advancing the time on a DNS resolver the DNSSEC validation can be made to fail.

The researches also give advice on how to protect yourself against these various attacks.

Attacking the Network Time Protocol

►http://www.cs.bu.edu/~goldbe/NTPattack.html

Abstract—We explore the risk that network attackers can
exploit unauthenticated Network Time Protocol (NTP) traffic to
alter the time on client systems. We first discuss how an onpath
attacker, that hijacks traffic to an NTP server, can quickly
shift time on the server’s clients. Then, we present a extremely
low-rate (single packet) denial-of-service attack that an off-path
attacker, located anywhere on the network, can use to disable NTP
clock synchronization on a client. Next, we show how an off-path
attacker can exploit IPv4 packet fragmentation to dramatically
shift time on a client. We discuss the implications on these
attacks on other core Internet protocols, quantify their attack
surface using Internet measurements, and suggest a few simple
countermeasures that can improve the security of NTP.

▻http://www.cs.bu.edu/~goldbe/papers/NTPattack.pdf
backup: ▻http://docdro.id/Cf0QqBD

#back_to_the_future
#NTP #HTTPS #DNSSEC
#DoS
#Timeshift

RFC 7583 : DNSSEC Key Rollover Timing Considerations

Contrairement au #DNS classique, le système de sécurité #DNSSEC est très dynamique : il faut changer les signatures régulièrement et il est souvent recommandé de remplacer (changer) les clés. Compte-tenu du fait que le DNS n’est pas synchrone (les changements n’apparaissent pas instantanément partout dans l’Internet), ce changement, ce remplacement (rollover, dans la langue d’Alan Turing) est une opération délicate et qui nécessite le strict respect d’un certain nombre de durées. Ce #RFC donne des conseils sur la temporalité des opérations DNSSEC.

▻https://www.bortzmeyer.org/7583.html

#temps

La vaste blague Images d’art — Medium
▻https://medium.com/@symac/la-vaste-blague-images-d-art-644e83124136

RFC 7646 : Definition and Use of DNSSEC Negative Trust Anchors

Comme toutes les techniques de sécurité, #DNSSEC, qui vise à assurer l’autenticité des réponses #DNS, a ses inconvénients. De même qu’une serrure fermée à clé peut avoir pour conséquence de vous empêcher de rentrer chez vous, si vous avez oublié la clé, de même DNSSEC peut empêcher d’accéder à un domaine si le gérant de la zone a commis une erreur technique. Autant le DNS d’avant était très tolérant (il fallait vraiment insister pour « planter » une zone), autant DNSSEC est délicat : les erreurs ne pardonnent pas, puisque le but de DNSSEC est justement d’empêcher l’accès aux données si elles sont suspectes. Mais les outils et les compétences pour gérer DNSSEC ne sont pas encore parfaitement au point et ne sont pas utilisés partout. Il y a donc de temps en temps des plantages, qui ont pour conséquence la panne d’une zone DNS entière. Face à ce problème, les gérants des résolveurs DNS validants aimeraient bien temporairent suspendre les vérifications, après avoir vérifié qu’il s’agissait bien d’un problème et pas d’une attaque. Cette suspension temporaire et limitée se nomme #NTA pour Negative Trust Anchor et est décrite dans ce #RFC.

▻http://www.bortzmeyer.org/7646.html

’Against #DNSSEC'
▻http://sockpuppet.org/blog/2015/01/15/against-dnssec

ISOC has some ideas to keep the beginning hackers active on weekends: “Do you have some vacation time during Christmas and New Year’s Day? Are you looking for a weekend project to try out something new? Maybe improve your home network? Or learn a new skill for 2015? If so, why not check out our list of weekend projects [...]”

▻http://www.internetsociety.org/deploy360/blog/category/weekend-projects

#BGP #DNSSEC #IPv6 #DANE #Internet

Faut-il changer la clé #DNSSEC de la racine ?

Voici le genre de question qui ne va pas angoisser le célèbre M. Michu, mais que se posent sérieusement des tas de techniciens de l’Internet. Cette question a suscité la création récente d’une liste de diffusion très animée, et fera l’objet d’une réunion à la rencontre ICANN de Los Angeles en octobre prochain.

▻http://www.bortzmeyer.org/root-key-rollover.html

RFC 7344 : Automating DNSSEC Delegation Trust Maintenance

Un des obstacles à un plus large déploiement de #DNSSEC est la nécessité de faire mettre, par le gestionnaire de la zone parente, un enregistrement faisant le lien avec la clé de signature de la zone fille. Cet enregistrement, nommé DS (pour Delegation Signer) est indispensable pour établir la chaîne de confiance qui va de la racine du DNS à la zone qu’on veut sécuriser. Mais, autant signer sa zone ne nécessite que des actions locales, qu’on peut faire tout seul, mettre cet enregistrement DS dans la zone parente nécessite une interaction avec une autre organisation et d’autres personnes, ce qui est souvent compliqué et réalisé d’une manière non standardisée. Ce nouveau #RFC propose une méthode complètement automatique, où la zone fille publie les enregistrements de clé localement, et où la zone parente va les chercher (via le DNS) et les recopier.

▻http://www.bortzmeyer.org/7344.html

La version 9.10 de #BIND vient avec un nouvel outil de déboguage en ligne de commande, #delv. Qu’apporte-t-il par rapport à dig ? C’est surtout pour ce qui concerne #DNSSEC qu’il est utile.

▻http://www.bortzmeyer.org/delv.html

#DNS

Document simple et concret, en français, pour les administrateurs système qui veulent utiliser #DNSSEC (validation et signature) mais sont un peu perdus.

▻http://blog.blaisot.org/dnssec-intro.html

#BIND #DNS

C’est trop débile pour être ignoré : la presse poubelle se préoccupe de la sécurité d’Internet, ou plutôt du risque qu’« un virus contamine le Web ».

▻http://www.parismatch.com/Actu/Environnement-et-sciences/Ils-detiennent-les-cles-du-reseau-564381

#DNS #DNSSEC