DNSSEC : NSEC3PARAM - Need explication

Tags: #<Tag:0x00007fc9e5c50380> #<Tag:0x00007fc9e5c50128>

Bonjour,

Je souhaiterais avoir des explications sur NSEC3.

Si je choisis d’utiliser un algorithme de cryptage DNSSEC faut-il que le salage soit cohérent.

Je lisais sur le blog de Stéphane Bortzmeyer ceci :

% dig +short NSEC3PARAM xn--80asehdb 1 0 12 7740536091A63907 ...

Donc, le sel est 7740536091A63907 , l’algorithme de condensation 1 et il faut faire 12 itérations. Calculons ce que ça donne pour l’ apex de la zone :

% nsec3hash 7740536091A63907 1 12 xn--80asehdb 1KJ9H96B2LH023SS088D4SV4FLDBLII8 (salt=7740536091A63907, hash=1, iterations=12)

APEX en informatique :

  • Dans le DNS un apex est le sommet d’une zone, là où on trouve les enregistrements NS et SOA. Si la zone ne comprend qu’un domaine, l’apex est ce domaine. Si la zone est plus complexe, l’apex est le domaine le plus court.
  • L’entreprise Oracle propose une technologie appelée Oracle Application Express ou APEX.

Infos :


Donc, faut-il obligatoirement s’aligner sur le domaine plus haut ?

Qu’est-ce que cela signifie → les réponses ci-dessous :

12:03:27 root@lv1.dns:/etc/bind # dig +short NSEC3PARAM xn--80asehdb
1 0 0 -
12:07:49 root@lv1.dns:/etc/bind # dig +short NSEC3PARAM fr
1 0 1 297E821C
12:16:17 root@lv1.dns:/etc/bind # dig +short NSEC3PARAM org
1 0 0 332539EE7F95C32A
12:16:25 root@lv1.dns:/etc/bind # dig +short NSEC3PARAM net
1 0 0 -
12:16:44 root@lv1.dns:/etc/bind # dig +short NSEC3PARAM site
1 0 0 -
12:17:00 root@lv1.dns:/etc/bind # dig +short NSEC3PARAM tv
1 0 0 -
12:17:04 root@lv1.dns:/etc/bind # dig +short NSEC3PARAM com

Je ne comprend pas trop/plus du tout :confused: J’aimerais bien comprendre.

J’envoie les commandes du dessous (par rapport au réponse du dessus) → mais à quoi cela peut me servir - de connaitre/demander çà - Je cafouille :smiley:

12:46:03 root@lv1.dns:/etc/bind # nsec3hash 297E821C 1 1 fr
HSE6LVEAKJI7RI5C4E8A03BFG5HA71AO (salt=297E821C, hash=1, iterations=1)

12:52:01 root@lv1.dns:/etc/bind # nsec3hash 332539EE7F95C32A 1 0 org
GDTPONGMPOK61U9LVNIPQOR8LRA9L4T0 (salt=332539EE7F95C32A, hash=1, iterations=0)

:blush:

Qui peut m’expliquer vulgairement, rapidement ?

Salutations,
Romain

Enregistrement NSEC3

L’enregistrement NSEC3 est apparu ultérieurement à NSEC (RFC 5155). Il a le même objectif tout en luttant contre des attaques de type « énumération de zone » (voir section 1.5). En effet, pour éviter qu’une personne mal intentionnée soit en mesure de reconstruire toutes les correspondances nom-adresse en envoyant volontairement des requêtes échelonnées, l’enregistrement NSEC3 utilise une fonction de hachage appliquée aux noms renvoyés. Ainsi, sera envoyé le hash du prochain nom de la zone, ne permettant alors pas de reconstruire la zone entière (la fonction de hachage doit-être résistante aux collisions).

Solution basée sur NSEC3

Pour résoudre ce problème, une extension à NSEC a été développée qui permet non pas de donner en clair les noms de la zone, mais seulement leur hash. Ainsi, le serveur va calculer le hash de chacun des noms qu’il dessert et ordonner non pas par ordre des noms, mais cette par ordre des hash. Ensuite, lorsqu’un résolveur demande un nom, le serveur va calculer son hash et vérifier son existence dans sa table de hash. Dans le cas où ce nom n’existe pas, il va alors renvoyer l’intervalle dans lequel se situe le hash du nom demandé.

Un bon article sur #dnssec :
CF → https://ensiwiki.ensimag.fr/index.php?title=Introduction_à_DNSSEC

Ce que je comprend c’est que cela permet à un resolver de vérifier le HASH à la place du sous-nom (vhost) du domaine et de « lui » faire confiance :confused:

J’ne sais plus trop pourquoi je veut savoir tout çà !

Ah oui : Comment créer / savoir la « valeur », le hash de la Ressource Record NSEC3PARAM ?

Style :

debian-fr.org.          0       IN      NSEC3PARAM 1 0 8 5641DF2BB005C1C7

En signant mes zones avec l’option « -3 » de la commande dnssec-signzone → je ne trouvais pas cette valeur - dans aucun des fichiers - me semble t’il.

Et le TTL est à « 0 » → j’ai lu çà quelque part… je ne sais plus où !

J’ajoute ce lien très intéressant à lire : HOWTO - Déploiement DNSSEC sur vos infrastructures DNSSEC - Version 1 - Copyright AFNIC - Septembre 2013 :slight_smile:

:slight_smile: