Stéphane Bortzmeyer
AFNIC
Mots clefs
DNS, DNSSEC, Kaminsky, bind, unbound, nsd
Résumé
Le système de nommage de l'Internet, le DNS, présente plusieurs vulnérabilités et il est notamment susceptible d'attaques par empoisonnement (comme la fameuse attaque « Kaminsky »), où un méchant injecte de fausses données dans un serveur résolveur.
DNSSEC est un système de signature cryptographique des données distribuées par le DNS. Ces données pourront donc être validées par le résolveur, quel que soit le chemin qu'elles ont suivi, si le résolveur connaît la clé publique de signature.
DNSSEC est déjà déployé dans plusieurs domaines de tête importants comme .SE, .CZ, .BR, .CH, .GOV ou .ORG et sera très probablement déployé dans la majorité des domaines de tête en 2010.
L'exposé couvrira les vulnérabilités du DNS, les principes de base de DNSSEC, son utilisation pratique avec les logiciels Unbound, nsd et BIND et les risques associés.
Stéphane Bortzmeyer
AFNIC
Mots clefs
DNS, DNSSEC, Kaminsky, bind, unbound, nsd
Résumé
Le système de nommage de l'Internet, le DNS, présente plusieurs vulnérabilités et il est notamment susceptible d'attaques par empoisonnement (comme la fameuse attaque « Kaminsky »), où un méchant injecte de fausses données dans un serveur résolveur.
DNSSEC est un système de signature cryptographique des données distribuées par le DNS. Ces données pourront donc être validées par le résolveur, quel que soit le chemin qu'elles ont suivi, si le résolveur connaît la clé publique de signature.
DNSSEC est déjà déployé dans plusieurs domaines de tête importants comme .SE, .CZ, .BR, .CH, .GOV ou .ORG et sera très probablement déployé dans la majorité des domaines de tête en 2010.
L'exposé couvrira les vulnérabilités du DNS, les principes de base de DNSSEC, son utilisation pratique avec les logiciels Unbound, nsd et BIND et les risques associés.