Opportunits

daaires pour
DNSSEC
DNSSEC Roadshow,
Dakar, 21 March 2014
aalain@trstech.net
 Cest quoi le DNS dj ?
Le DNS conver@t les noms (www.nic.sn.) en
des numros (196.1.95.19)
..pour iden@er des services comme le www
and e-mail
..qui iden@e et lie les clients aux fournisseurs
et vice versa
 +1-202-709-5262 US-NSTIC eort
DNS fait par+e de tous les
VoIP

cosystmes IT

OECS ID eort
lamb@xtcn.com

Smart Electrical Grid

mydomainname.com
O est-ce que le DNSSEC rentre en jeu
..mais les CPU et les hauts dbits disponibles
ont rendu le DNS classique vulnrable aux
aRaques to MITM.
DNS Security Extensions (DNSSEC) introduit
les signatures digitales dans le DNS to
cryptographiquement protger les contenus
Avec DNSSEC dploy, un fournisseur pourra
tre sr que les clients ob@ennent des
donnes non modies (et visa versa)
 Piraterie: DNSChanger - Le plus grand
Takedown dans lhistoire 4M
machines, 100 pays, $14M

Nov 2011 hap://krebsonsecurity.com/2011/11/malware-click-fraud-kingpins-arrested-in-estonia/

End-2-end DNSSEC validadon would have avoided the problems
 Piraterie: ISPs vicdmes de srie
daaaque DNS

7 Nov 2011 hap://www.securelist.com/en/blog/208193214/Massive_DNS_poisoning_aaacks_in_Brazil

End-2-end DNSSEC validadon would have avoided the problems
 Piraterie: Autre DNS dtournements DNS*
25 Dec 2010 - E-Payement russe Giant ChronoPay
18 Dec 2009 Twiaer cyber arme iranienne
13 Aug 2010 aaaque de phishing gmail par la chine
25 Dec 2010 - dtournement DNS en Tunisie
2009-2012 google.*
April 28 2009 Google Puerto Rico redirige dans des aaaques DNS
May 9 2009 Maroc a temporairement saisi le domaine google
9 Sep 2011 Cerdcats Diginotar compromis pour les udlisateurs iraniens
7 Jan 2013 Turktrust / EGO
SSL / TLS ne vous dit si vous avez t envoy au bon site, il vous indique
simplement si le nom DNS correspond au nom dans le cerdcat.
Malheureusement la majorit des site web dpendent du DNS pour valider
les idendts Le DNS est sollicit pour des choses inaaendues a travers des
canaux non scuriss.
*A Brief History of DNS Hijacking - Google
hap://costarica43.icann.org/meedngs/sanjose2012/presentadon-dns-hijackings-marquis-boire-12mar12-en.pdf
 Opportunits daaires pour DNSSEC
La Cyber scurit devient de plus en plus une
proccupa@on importante pour les entreprises,
gouvernements, et u@lisateurs naux. DNSSEC est un
ou@l important qui fait de la dirence.
Le DNSSEC est le plus important upgrade scurit
linfrastructure Internet de ces 20 dernires annes .
Cest une plateforme pour de nouvelles applica@ons de
scurit (pour ceux qui voient les opportunits).
Le dploiement de l'infrastructure DNSSEC a t rapide
mais ncessite une exper@se. tre l'avant de la courbe
est un avantage concurren@el.
 Intrts DNSSEC des gouvernements
Gouvernements de SE, BR, NL, CZ et autres
encouragent le dploiement de l'infrastructure
DNSSEC dirent niveau
Mars 2012 - AT&T, CenturyLink (Qwest), Comcast,
Cox, Sprint, TimeWarner Cable, et Verizon ont
promis de se conformer aux recommanda@ons US
FCC [1] qui inclut DNSSEC.. A report by Gartner found 3.6
million Americans gemng redirected to bogus websites in a single year,
cos@ng them $3.2 billion.,[2].
2008 US .gov mandate. 85% opera@onal. [3]
[1] FCC=Federal Communicadons Commission=US communicadons Ministry
[2] hap://securitywatch.pcmag.com/security/295722-isps-agree-to-fcc-rules-on-and-botnet-dnssec-internet-roudng
[3] hap://www.whitehouse.gov/sites/default/les/omb/memoranda/fy2008/m08-23.pdf
hRp://fedv6-deployment.antd.nist.gov/snap-all.html
 NSSEC
D

TLDs

NL
 DNSSEC O en sommes-nous
Dploy sur 289/480 TLDs
(.tz .nl .R .sb .sx .cr .ag .hn .lc .bz .pr .br .gn .nz .ca .cl .de .uk .co .in .ru
. .de .my .asia .tw , .kr .com .net, .post, .cn, etc)
La racine est signe** et audite
>86% des noms de domaines pourraient avoir DNSSEC
Obligatoire pour les nouveaux GTLDs. Support de base par les
registrars ICANN
Adop@on des ISPs en croissance*
Des solu@ons de signatures***
Adop@on S/W H/W croisante : NLNetLabs, ISC, Microso{, PowerDNS,
Secure64? openssl, mozilla: Support DANE de 1ere heure
Standard IETF sur les cer@cats SSL DNSSEC (RFC6698)
Adop@on par les acteurs majeurs (Apple iPhone/iPad, Google 8.8.8.8,
)

*COMCAST Internet (18M), TeliaSonera SE, Sprint,Vodafone CZ,Telefonica CZ, T-mobile NL, SurfNet NL, SANYO Informadon
Technology Soludons JP, others..
**Intl boaom-up trust model /w 21 TCRs from: TT, BF, RU, CN, US, SE, NL, UG, BR, Benin, PT, NP, Mauridus, CZ, CA, JP, UK, NZ
*** Pardal list of registrars: haps://www.icann.org/en/news/in-focus/dnssec/deployment
 Mais
Le dploiement est encore < 1% (~2M) au
niveau des SLDs et suivants.
DNSChanger et autres ont montr les besoins
actuels. (i.e La valida@on DNSSEC end-2-end aurait
vit ces problmes)
Linnova@on dans les solu@ons de scurit
(e.g., DANE) montre les valeurs pour demain.

* hap://fedv6-deployment.antd.nist.gov/cgi-bin/generate-com hap://www.thesecuritypracdce.com/
the_security_pracdce/2011/12/all-paypal-domains-are-now-using-dnssec.html
hap://www.nacion.com/2012-03-15/Tecnologia/Sidos-web-de-bancos-dcos-podran-ser-mas-seguros.aspx
 DNSSEC: Quel est le problme?
Beaucoup de dpartements IT ne connaissent pas
DNSSEC ou sont trs occups teindre dautres
feux
Quand ils sy intressent, ils entendent les vieilles
histoires de Peur, incertain, croit pas et
manquent de solu@ons cls en mains .

Les registrars*/ hbergeurs DNS ne voient pas de

demandes. Problme de luf et de la poule .

*but required by new ICANN registrar agreement
 Que pouvez-vous faire
Entreprises:
Signer vos noms de domaine
Ac@ver la valida@on sur vos rsolveurs DNS
U+lisateurs:
Demander votre ISP dac@ver la valida@on DNS
sur le rsolveur
Tous:
Proter de ICANN, ISOC et autres organisa@ons
qui orent de l'duca@on et forma@on DNSSEC
Je sens des opportunits !
 Le jeu change par le upgrade de
linfrastructure du coeur de linternet
More has happened here today than meets
the eye. An infrastructure has been created
for a hierarchical security system, which can
be purposed and re-purposed in a number of
dierent ways. .. Vint Cerf (June 2010)
 Le mauvais: Diludon de la conance SSL
Le bon : DNSSEC = ICP Globale free
CA Cer@cate roots ~1482 DNSSEC root - 1

Content security Cross-

Content security Free SSL
Commercial SSL organiza@onal and
cer@cates for Web trans-na@onal
Cer@cates for
and e-mail and trust iden@ty and
Web and e-mail agility authen@ca@on

Network security
DANE and other yet to be IPSECKEY RFC4025 E-mail security
discovered security DKIM RFC4871
innova@ons, enhancements, Securing VoIP
and synergies Login security
Domain Names SSHFP RFC4255
hRps://www.e.org/observatory
hRp://royal.pingdom.com/2011/01/12/internet-2010-in-numbers/
Opportunits: Nouveaux produits de scurit
Amliorer le SSL web et cer@cats pour tous*
Scuriser e-mail (S/MIME) pour tous*
Valider les accs distants SSH, IPSEC*
Scuriser VoIP
Systmes d'iden@ts digitales inter organisa@onnels
Scuriser la dlivrance des contenus (i.e.
congura@ons, updates, cls)
Scuriser les eorts Smart Grid
Un ICP global
Augmenter la conance dans Ie e-commerce
A good ref hap://www.internetsociety.org/deploy360/dnssec/
*IETF standards complete or currently being developed
HmmComment je fais conance ceci?
DNSSEC la racine par ICANN (et ailleurs )

FIPS 140-2 level 4

DCID 6/9
hRp://www.ickr.com/photos/kjd/sets/72157624302045698/

Photos: Kim Davies

Photos: Kim Davies
DNSSEC: Upgrade de linfrastructure
Internet pour aider la rsolu@on des
problmes daujourdhui et crer les
opportunits de demain.
Ques@ons ?