Archives par mot-clé : DNS

Sécurisation des serveurs DNS : un potentiel problème le 8 mars ?

Le 8 mars 2012 plusieurs millions d’internautes pourraient être privés d’Internet. Afin d’éradiquer le cheval de Troie DNSChanger, le FBI devrait désactiver plusieurs serveurs DNS. Point d’annonce officielle de l’agence. La nouvelle de cette hypothétique coupure du Net se répand pourtant sur la Toile.
L’origine de cette histoire remonte à plusieurs mois. En novembre 2011, l’agence américaine prend le contrôle de plusieurs serveurs DNS corrompus. Un serveur DNS sert à établir une correspondance entre l’adresse IP d’un site, et l’URL (du type www.01net.com) effectivement tapée par un internaute dans son navigateur. En contrôlant ce genre de serveur, des pirates peuvent « rerouter » les internautes vers des sites frauduleux ou encore interférer dans les échanges entre la machine et le serveur. Pour rediriger les internautes vers ces serveurs DNS corrompus, les « criminels ont utilisé un logiciel malveillant appelé DNSChanger (EDIT 2017 : lien rompu). Ils l’ont utilisé pour modifier les paramètres de l’utilisateur et remplacer le bon serveur DNS du fournisseur d’accès à Internet vers un mauvais serveur DNS aux mains des pirates », explique le FBI sur son site internet.
Beaucoup de si…

Afin de ne pas supprimer l’accès à Internet à des millions d’ordinateurs infectés par le cheval de Troie, le FBI a remplacé les serveurs DNS corrompus par d’autres. Reste que cette mesure devait être temporaire. Elle devait laisser le temps aux particuliers et aux entreprises contaminés de changer les paramètres de connexions de leurs ordinateurs. Un tribunal avait fixé la date butoir au-delà de laquelle les serveurs DNS devaient être définitivement déconnectés au 8 mars. L’échéance approche… et de nombreux ordinateurs seraient encore infectés. Si tel est le cas, et si le FBI déconnecte les serveurs DNS en question, alors effectivement des internautes seront privés de connexion réseau.

Pour pallier une telle mésaventure, le FBI publie la liste des adresses IP des serveurs concernés :
85.255.112.0 à 85.255.127.255
67.210.0.0 à 67.210.15.255
93.188.160.0 à 93.188.167.255
77.67.83.0 à 77.67.83.255
213.109.64.0 à 213.109.79.255
64.28.176.0 à 64.28.191.255

Le FBI rappelle que les connexions haut débit utilisent des adresses IP dynamiques. Celles habituellement assignées aux ordinateurs connectés à domicile sont comprises entre 192.168.1.2 et 192.168.1.254, celles de leurs routeurs et de leurs serveurs DNS sont du type 192.168.1.1.

Pour vérifier une possible infection des machines, des formulaires ont été mis en place par l’agence gouvernementale ou d’autres sites Internet. En cas d’infection avérée, la marche à suivre est indiquée.

Modification de Mai 2017 : Joel Stephens m’informe que le lien sur le site du FBI concernant le PDF sur DNS Changer est rompu. Il vous propose de vous reporter à cet article publié récemment par John D Watson de Comparitech sur le malware DNS Changer et comment s’en protéger (en anglais).

Lire l’article sur : 01net

Arrivée du DNSSEC en France


Aujourd’hui, c’est deux articles pour le prix d’un !
En effet et toujours dans le registre de la sécurité, j’apprends que DNSSEC est enfin en cours de déploiement en france et devrait se terminer fin 2010 sur les serveurs racines pour les domaines en .fr et en .re (réunionnais). Cf mon article de novembre 2009.

Pour mémoire, le protocole DNS (Domain Name Service) est celui qui est en charge de résoudre un nom de domaine en une adresse IP. Hors, justement, ce système a été attaqué en 2008 en exploitant une faille du protocole Continuer la lecture de Arrivée du DNSSEC en France

la sécurité des DNS grandement mise en danger

DNS Le président de l’Icann dramatise la situation autour de l’insécurité des DNS. Chris Disspain, président du conseil du ccNSO réfute cette description et défend l’énorme travail réalisé pour protéger les DNS. Il ne veut pas que l’on inquiète inutilement les gouvernements sur ce sujet.

Lors d’un discours, tenu mardi 9 mars à Nairobi (plus grande ville du Kenya) pendant la session du comité consultatif de l’Icann, le président de l’Icann, Rod Beckstrom a déclaré qu’il était nécessaire de concentrer les efforts pour protéger le service de nom de domaine DNS (Domain Name Service), car le système est soumis à des attaques, le rendant fragile et vulnérable, et pourrait « être mis hors de service à tout moment ».
Lors de cette séance, le dirigeant a souligné auprès des membres que plusieurs abus avaient été commis contre le DNS par certains pays, dont le nom n’a pas été dévoilé. Il a promis d’écrire aux membres du Comité consultatif pour s’enquérir de l’état du DNS chez eux.
« Le système de nom de domaine, est, comme jamais auparavant, sous le feu d’attaques préoccupantes. J’ai personnellement consulté au niveau international

Continuer la lecture de la sécurité des DNS grandement mise en danger

DNSSEC sur les serveurs racine de l’Internet

 

DNS C’est parti ! L’Icann, l’organisme qui gère les noms de domaine, et l’opérateur VeriSign ont décidé de mettre les bouchées doubles dans l’implémentation du protocole DNSSEC (DNS Security Extensions) avec, à la clé, une feuille de route précise pour le déploiement sur les serveurs racine. Ensuite, Verisign implémentera ce protocole sur les domaines .com et .net, dont il est responsable.

DNSSEC est un protocole qui, grâce à un système de signature électronique, permet de vérifier l’authenticité de la réponse d’un serveur DNS. Son fonctionnement est hiérarchique. Chaque serveur d’une zone DNS (.fr, .com, inria.fr, etc.) disposera d’une paire de clés de signature à chiffrement asymétrique, appelée Zone Signing Keys (ZSK). L’une des clés est publique, l’autre privée. Cette dernière sert à signer les données DNS que délivre le serveur de zone. Un client DNS qui reçoit une réponse signée d’un de ces serveurs pourra déchiffrer la signature au moyen de la clé publique et vérifier, ainsi, la provenance et l’intégrité des données.

Pour autant, ce système de clés ne permet pas de savoir à 100 % si le serveur lui-même est réellement digne de confiance : un usurpateur pourrait se substituer à lui et diffuser ses propres ZSK. C’est pourquoi les serveurs de zone disposent d’une deuxième paire de clés asymétriques. Appelées Key Signing Keys (KSK), elles servent à signer les ZKS des zones inférieures (01net.com, afnic.fr, etc.), créant ainsi une chaîne de confiance sur l’ensemble des URL. Un navigateur n’obtiendra la confiance d’une zone de niveau n (01net.com), que s’il a obtenu la confiance des zones de niveau supérieur (.com).

Une paire de clés maître pour sécuriser tout l’Internet

Continuer la lecture de DNSSEC sur les serveurs racine de l’Internet

Origine et histoire de Internet

web Une histoire de stratégie

Pour percer les mystères de la Toile, il faut étudier son fonctionnement technique. Parmi la multitude de technologies employées dans Internet, quelles sont celles qui sont réellement fondamentales ? Une fois celles-ci identifiées, il est plus facile de comprendre qui est aux manettes. Internet n’est pas le fruit du hasard, mais bel et bien le résultat du travail de chercheurs, d’informaticiens, dont le but était l’interconnexion de machines. Et pour tout dire, il s’agit de l’évolution d’une réalisation militaire américaine. La volonté de faire communiquer entre eux des ordinateurs distants de chercheurs remonte au début des années 1960, et a été initiée par la Darpa (Defense Advanced Research Projects Agency), le service des recherches avancées du département de la Défense américain. Les axes de recherche étaient d’ailleurs très notablement influencés par des considérations militaires : dans les réflexions initiales, on retrouve les traces de la volonté de mettre au point un système de communication capable de se maintenir, même en cas d’attaque nucléaire. Le projet de la Darpa aboutit à la mise en place d’un réseau décentralisé nommé Arpanet.

Petit à petit, des universités furent incluses dans le projet, participant au développement de ce premier grand réseau informatique. Toujours sous la houlette de la Darpa, cet Internet naissant va petit à petit être géré par la National Science Foundation (NSF), une agence gouvernementale américaine dédiée au soutien de la recherche scientifique fondamentale, à partir de 1977. Mais les liens avec l’administration militaire américaine restent extrêmement forts : si la NSF aide au développement du réseau, sa gestion au quotidien relève de l’Internet Assigned Numbers Authority (IANA), un service de la Darpa.

Internet devenant de plus en plus ouvert, interconnectant de plus en plus de réseaux civils, les militaires américains décident, en 1983, de s’en détacher pour créer Milnet, leur propre réseau. Pour s’occuper du développement de l’Internet civil, c’est alors la National Telecommunications and Information Administration (NTIA) qui prend la main, une agence gouvernementale dépendant du département du Commerce, le ministère du Commerce.

L’importance de plus en plus grande d’Internet, l’apparition de plus en plus d’acteurs, d’organismes chargés de définir des normes, de sociétés commerciales opérant des services commerciaux basés sur Internet, a abouti à une très forte pression sur l’administration Clinton afin qu’Internet ne soit plus sous la houlette du seul gouvernement. En 1998 est créée l’Internet Corporation for Assigned Names and Numbers (Icann). Il s’agit d’une société privée, de droit californien, qui a repris le rôle du NTIA et qui, surtout, exerce ce que l’on appelle aujourd’hui la fonction IANA, absolument fondamentale : par l’exercice de cette fonction, l’Icann décide de tout ce qui touche à l’attribution des noms de domaine dans le monde entier…

Une histoire de noms

Finalement, Internet se résume à un mode de communication entre ordinateurs sur un réseau. Ce qui n’est pas une mince affaire ! Il faut établir un langage précis, s’assurer que tous les ordinateurs le comprennent, éviter les situations cacophoniques où tout le monde se parlerait en même temps, etc. Bien sûr, afin que les ordinateurs puissent communiquer, ils doivent en premier lieu pouvoir s’identifier. C’est la base même d’Internet : tous les ordinateurs doivent disposer d’une adresse IP, un identifiant unique, qui prend la forme d’une série de quatre nombres séparés par un point. Mais voilà, il faut impérativement que les adresses soient véritablement uniques : il serait impossible de se connecter à un site Web avec un navigateur si son adresse IP renvoyait vers des dizaines d’ordinateurs disséminés dans le monde. Il faut donc veiller à ne pas attribuer les adresses IP n’importe comment.

C’est l’Icann qui, en premier ressort, détermine quelles sont les plages d’adresses IP disponibles dans le monde et qui a le droit de les utiliser. Localement, ce sont des organismes que l’on appelle les RIR (registre Internet régional) qui distribuent les adresses IP que l’Icann leur a attribuées. Il existe cinq RIR. Celui qui gère les adresses IP pour l’Europe s’appelle Ripe-NCC.

Mais l’adresse IP numérique, vitale pour permettre aux ordinateurs de se reconnaître, est très peu pratique pour les utilisateurs. On dispose donc également d’adresses textuelles, celles que nous utilisons sous la forme www.microhebdo.com, www.01net.com, www.elysee.fr, par exemple. Il s’agit du système des noms de domaine. Pour le comprendre, il suffit de lire à l’envers l’adresse : www.elysee.fr signifie qu’il s’agit d’un ordinateur enregistré en France (le domaine.fr), couvrant les activités de l’Elysée (.elysee), et s’occupant d’afficher le site Web (www).

C’est très pratique mais, pour que cela fonctionne, il faut, à chaque connexion, traduire aux ordinateurs l’adresse lisible en adresse IP numérique. Interviennent alors les serveurs de noms de domaine (Domain Name System ou DNS) : quand on tape l’adresse www.micro hebdo.com dans un navigateur Web, une première requête est faite à un serveur de nom de domaine qui indique les serveurs qui peuvent fournir une réponse pour le domaine.com. L’un de ces serveurs précisera alors quel autre serveur est apte à aiguiller dans la zone elysee.fr. Et enfin, ce dernier serveur pourra donner l’adresse IP complète du site recherché. Cette séquence d’interrogation est réalisée pour chaque consultation de site. Les serveurs capables d’effectuer la toute première étape, aiguiller vers les serveurs qui gèrent les domaines dits de premier niveau (.com, .org, .fr…), sont appelés les serveurs racines du DNS. Ils ne sont que treize dans le monde.

Les treize serveurs vitaux

Attention toutefois, chacun de ces serveurs a de nombreux miroirs, et parfois, ils ne sont même pas hébergés à un seul endroit. En tout, ces treize serveurs, absolument vitaux pour le fonctionnement d’Internet, sont répartis dans le monde dans près de 170 endroits. Et, bien qu’au quotidien ils soient supervisés par des sociétés privées, des universités ou des administrations, il ne s’agit que de délégations fournies par l’Icann, décisionnaire en dernier lieu. Qu’il s’agisse donc des adresses IP numériques ou des noms de domaine, le maître, c’est l’Icann.

Il existe une kyrielle d’organismes qui participent à la régulation d’Internet et l’établissement des standards : W3C ; Internet Society (Isoc) ; Internet Architecture Board (IAB) ; Internet Engineering Task Force (IETF) ; Forum de la gouvernance Internet (FGI), etc. Mais en dernière instance, le fonctionnement d’Internet dépend principalement de l’Icann qui tire son pouvoir d’un contrat le liant au ministère du Commerce américain, qui en nomme tous les membres.

Les conséquences politiques sont réelles : en 2005, par exemple, le nouveau domaine en .xxx devait être ouvert, permettant d’identifier plus facilement les sites à caractère pornographique. L’Icann avait donné son accord. Mais à deux jours de la signature finale de l’acte fondateur, l’Icann a revu sa position et bloqué la création du nouveau domaine : le ministère du Commerce américain, sous la pression de pétitions d’organisations conservatrices, avait en effet signifié son refus de créer le .xxx.

D’autres faits, comme les conditions d’attribution des délégations pour la gestion des noms de domaine .iq, pour l’Irak, et .af, pour l’Afghanistan, montrent une mainmise politique américaine sur Internet.

Une histoire de politique

De fait, en imaginant un scénario de fiction de conflit armé, les Etats-Unis, de par le contrôle qu’ils exercent sur l’Icann et son partenaire technique, la société VeriSign, sont la seule nation qui pourrait « rayer » d’Internet un pays entier, en décidant de couper soudainement son extension.

La Commission européenne, par le biais d’une communication de Viviane Reding, commissaire chargée de la Société de l’information et des médias, a appelé, en juin dernier, à plus de transparence et de responsabilité multilatérale dans la gouvernance de l’Internet. Mais les faits ne semblent pas lui donner raison : depuis les attentats du 11 septembre, l’attitude des Etats-Unis, qui étaient en passe de se retirer progressivement afin de laisser la gouvernance d’Internet au secteur privé, s’est complètement modifiée. Une échéance très importante approche, car le 30 septembre 2009 se termine le contrat qui lie l’Icann au gouvernement américain.

Une occasion de mettre en place une nouvelle approche plus multilatérale ? Certainement pas. Le gouvernement américain a donné un signal fort, il y a quelques semaines, en choisissant le nouveau président de l’Icann. L’homme, Rod Beckstrom, n’est autre que l’ancien directeur du Centre national de la cybersécurité (NCSC) des Etats-Unis. Le message est on ne peut plus clair : Internet est un domaine stratégique dont, pour des raisons de défense nationale, les Etats-Unis ne sont pas prêts à lâcher le contrôle

Lire l’article sur : 01net…

Un super document sur TCP/IP incluant des informations sur IPv6 – issu de Microsoft

ipv6 En recherchant des informations sur IPv6, je viens de tomber sur une perle : une véritable bible sur TCP/IP incluant bien entendu plein d’informations sur IPv6 et donc forcément très utile en ces temps où se posent plein de questions sur le sujet 😉

TCP/IP Fundamentals for Microsoft Windows
Chapitre 1  : Introduction à TCP/IP
Chapitre 2  : Vue d’ensemble de l’architecture de la suite de protocoles TCP/IP
Chapitre 3  : L’adressage IP
Chapitre 4  : Le sous-adressage, la segmentation
Chapitre 5  : Le routage IP
Chapitre 6  : DHCP
Chapitre 7  : La résolution de noms d’hôtes
Chapitre 8  : Vue d’ensemble du DNS
Chapitre 9  : Le support de DNS dans Windows
Chapitre 10 : TCP/IP de bout en bout
Chapitre 11 : NetBIOS sur TCP/IP
Chapitre 12 : Vue d’ensemble de WINS
Chapitre 13 : IPsec et le filtrage de paquets
Chapitre 14 : Les réseaux privés virtuels (VPN)
Chapitre 15 : Technologies de transition IPv6
Chapitre 16 : Dépannage TCP/IP

Un document qui fait 560 pages… de quoi s’informer pendant les vacances à venir

Par ailleurs, on parcourera aussi avec intérêt l’article sur IPv6 de ce site pour obtenir plus d’information sur la transition IPv4 / IPv6

Télécharger le PDF (Anglais) : TCP/IP Fundamentals for Microsoft Windows…

Lire l’article complet sur : Stanislas Quastana’s Blog…

Plus d’un million de serveurs DNS ne sont toujours pas protégés

Selon un expert en technologie DNS : Cricket Liu (Infoblox)

DNS Est-ce que la mégafaille DNS de cet été est désormais un problème résolu dans le monde d’Internet ?

Cricket Liu : Malheureusement non. Nous venons justement de réaliser, en octobre 2008, une étude sur les serveurs DNS. Sur les 11,9 millions de serveurs existants, 44 % répondent à des requêtes dites « récursives ouvertes », c’est-à-dire que n’importe qui peut les interroger sur des adresses DNS. Ce qui constitue déjà un risque en soi.

Parmi ces serveurs déjà fragilisés, le quart d’entre eux n’appliquent pas le patch de Dan Kaminsky. Ce correctif complique la tâche aux pirates en introduisant un choix aléatoire du numéro de port dans les requêtes DNS. Au final, cela représente donc plus d’un million de serveurs qui ne sont pas protégés vis-à-vis de la faille de cet été. C’est encore beaucoup trop. Il reste encore du pain sur la planche.

Cette faille a-t-elle déjà servi pour des actes de piraterie ?

Elle a servi dès le jour de sa publication. Cela a été relevé dans des rapports de sécurité. Mais il très difficile d’évaluer l’étendu du problème. On ne peut pas ausculter tous les serveurs DNS pour voir s’ils sont corrompus ou non. Ce serait comme chercher une aiguille dans une botte de foin.

Mais le danger est réel. Grâce à cette faille, les hackers malintentionnés peuvent, par exemple, détourner le trafic e-mail ou usurper le nom de sites Internet.

Continuer la lecture de Plus d’un million de serveurs DNS ne sont toujours pas protégés

DNSSEC – le DNS sécurisé

DNSDNSSEC a été créé il y a dix ans pour éviter la corruption des données et l’usurpation d’identité au sein du système DNS. En effet, chaque navigation Internet fait intervenir des requêtes DNS pour traduire les noms des sites Web en adresses IP. Cela se fait de manière récursive et hiérarchique : quand un serveur de nom d’un sous-domaine ne sait pas répondre, il se réfère aux serveurs du domaine supérieur qui fera de même. Pour un hacker, les occasions d’intercepter les données et de les modifier sont donc nombreuses. DNSSEC propose d’assurer l’intégrité des informations fournies par l’ajout, à chaque échange, d’une signature chiffrée qui va authentifier le serveur de nom. Et le tour est joué.

Seulement voilà, l’implémentation de DNSSEC est loin d’être simple. Tout d’abord, l’adjonction d’une signature chiffrée nécessite des paquets DNS de plus grande taille. Il faut donc utiliser le protocole Extended DNS. « Mais seuls 40 % des "resolvers" [logiciels client pour la traduction DNS, NDLR] supportent actuellement EDNS », explique Raphaël Marichez, consultant sécurité chez Hervé Schauer Consultants.

Le ticket d’entrée est élevé

La signature fait également augmenter sensiblement le trafic réseau et ajoute des temps de calcul. Par ailleurs, DNSSEC suppose la mise en place d’une véritable architecture PKI, ce qui est complexe et coûteux. Enfin, pour que la sécurité soit vraiment assurée, il faudrait installer la technologie dans tous les pays et à tous les niveaux, du serveur DNS dans l’entreprise aux serveurs racines.

Ces différents obstacles expliquent pourquoi, en l’espace d’une décennie, les déploiements DNSSEC sont encore peu nombreux. A ce jour, seuls quatre pays ont implanté ce protocole de sécurité : la Suède, la Bulgarie, le Brésil et Porto Rico. « D’un point de vue économique, le déploiement de DNSSEC à grande échelle ne se justifie pas », poursuit Raphaël Marichez.

En savoir plus sur : 01net

Mots clés Technorati : ,,,,

Vulnérabilité du protocole DNS – correctif à appliquer d’urgence

DNS Le Domain Name Service est un protocole qui permet de convertir le nom d’un domaine (www.ABinterNETwork.fr par ex.) en son adresse réelle (adresse IP) permettant aux routeurs de trouver le serveur sur Internet.

Hors une faille de DNS Cache Poisonning (connue depuis longtemps mais non corrigé car elle semblait compliquer à exploiter) vient d’être publiquement dévoilée lors d’une conférence par Dan Kaminsky) (avant qu’il fasse la démonstration début août de son exploitation). Tous les serveurs DNS sont concernés (ceux connectés sur Internet) par cette faille de sécurité et il est urgent d’appliquer un correctif (déjà publiés entre autre par Cisco, Microsoft, Red Hat,… pour leurs produits) car cette faille permet à un pirate de se faire passer pour un serveur « fiable » et autorisé.

Continuer la lecture de Vulnérabilité du protocole DNS – correctif à appliquer d’urgence

Projet Titan : Verisign veut moderniser ses DNS

DNS Les DNS seraient en cours de saturation et Verisign, la société qui gère les serveurs pour (entre autre) les .com et les .net va  augmenter les tarifs de ces derniers pour financer le projet Titan qui permettra de mettre en place les ressources nécessaires pour pouvoir répondre à 4 billions de requêtes DNS par jour, contre 400 milliards aujourd’hui.

Verisign met le paquet et sort le Titan
Selon les informations dont nous disposons déjà grâce à nos confrères du site BetaNews, Verisign devrait consacrer pour trois ans de valeur en ressources humaines ainsi que quelques 100 millions de dollars (76 millions d’euros) afin de moderniser les DNS (Domain Name System) dont elle a la charge. Pour rappel, les serveurs DNS sont chargés de faire la correspondance entre un nom de domaine (adresse virtuelle, www.generation-nt.com ) et son adresse IP (adresse physique, 83.243.23.80).
VeriSign a aussi déterminé que si le système des DNS voulait rester en phase avec la croissance exponentielle à laquelle nous allons assister, ses serveurs roots devront augmenter leur capacité en terme de bande passante, en passant de 20 gigabits par second (Gbps) à 200 Gbps.
Si elle veut réaliser ceci, la compagnie devra commencer à décentraliser la distribution de ses serveurs DNS au niveau mondial, avec de nouvelles constructions en Inde, en Allemagne, au Chili, ainsi qu’en Afrique du Sud, sites qui seront supervisés par des centres qui seront construits en Europe et aux Etats-Unis. 

En savoir plus sur : Generation Nouvelles Technologies…

Mots clés Technorati : ,,