Franck Desert

Le voyage au Centre des DNS et plus encore!


Un nom de domaine (NDD en notation abrégée française ou DN pour Domain Name en anglais) est, dans le système de noms de domaine “DNS”, un identifiant de domaine internet. Il y a souvent confusion entre Nom de Domaine (NDD/DN) et le système / protocole de noms de domaine (DNS) c’est sûrement dû à un abus de langage et que celui-ci à plus de 40 maintenant.

Il y a quelques années, lorsque l’Internet en était à ses débuts, la seule façon d’accéder au site que l’on voulait visiter était d’entrer l’adresse IP, cette longue série de chiffres, dans la fenêtre de son navigateur. Au début des années 1980, Paul Mockapetris, un informaticien américain, a mis au point - avec son collègue Jon Postel - un système qui mettait automatiquement en correspondance les adresses IP et les noms de domaine, et le DNS était né.

Ce même système sert encore aujourd’hui de colonne vertébrale à l’Internet moderne. Dans les années 70 et au début des années 80, ces noms et adresses étaient attribués par une seule personne - Elizabeth Feinler, de Stanford - qui tenait à jour une liste principale de tous les ordinateurs connectés à Arpanet dans un fichier texte appelé HOSTS.TXT (tiens tiens)

Depuis aussi longtemps que je me souvienne et lorsque cela m’a été accessible j’ai dû déposer mon premier nom de domaine dans les années 1992-1993 et commencer à essayer de comprendre les protocoles Internet dont le DNS.

J’ai eu de nombreux projets au fil des ans et depuis 36 ans je suis toujours autant stupéfait que la gestion des NDDs et du DNS des entreprises soient aussi peu pris en compte ou mal compris. De nombreuses erreurs ou soucis de sécurité pourraient vraiment être évités. Pire encore, en 2024, je vois des emails encore rebondir par “spoofing” parce que le SPF, DKIM et DMARC etc. sont mal configurés et/ou compris.

Apprenez le DNS une fois pour toutes!

Tout ceci sera articulé autour de la sécurité tout le long de l’atelier ainsi nous irons faire un tour dans le service SaaS Cloudflare et expliqué l’importance des mesures qu’un tel service vous propose et voir ces éventuels concurrents comme les Cloud Publics (Azure, Aws, Gcp principalement).

Pour terminer en beauté nous construirons notre propre résolveur/serveur DNS maison (UnBound) avec un protecteur pour réseau personnel “anti-pub et anti-pup” l’outil open-source se nomme Pi-Hole. Tout ceci dans un Raspi 4 2Go déjà monté et prêt à la connexion !! Tout le matériel vous sera fourni et c’est compris dans prix de l’atelier. Vous repartirez avec quelque chose de concret et de viable à installer chez vous. Que du plaisir!

NOTES:

Formation en présentiel seulement à Québec (SeQCure Hôtel Classique)

Je tiens à rappeler que cet atelier sera/de niveau 101 et 201. Si vous avez un parcours TI de longue date, alors cela ne sera que du rappel. Cependant pour un parcours développeur et/ou sécurité pure cela pourrait vous intéresser. Par contre, il y a un aspect sécuritaire offensif et défensif tout le long.

Inclus:

  • Tout le matériel requis pour faire l’atelier “hardware”
  • Nourriture de la pose du midi
  • Billet au SeQCure
  • Goodies et autres surprises en fin de sessions.

SYLLABUS

  • 8h30 - 09h00
    • Bienvenue dans la salle et installation à votre place ainsi qu’un bon café
  • 9h00 - 12h00
    • Module 1 - La base (DNS)
      • Les premiers principes du DNS
      • DNS égale base de données
      • DNS est un arbre avec ses ramifications
      • Délégation de zone
      • La zone racine
      • Serveurs DNS autoritaires (SOA)
      • Transfert de zone
    • Module 2 - Noms de domaine (NDD/DN)
      • Domaines de premier niveau (TLD, ccTLD, gTLD)
      • Domaines de deuxième et troisième niveau
      • Registres, bureaux d’enregistrement et titulaires de noms de domaine
      • La surveillance de l’ICANN (de l’IANA à ICANN)
      • WHOIS ET RDAP
      • Noms de domaine internationaux
      • (Encodage des DNS et enregistrer des NDs avec des caractères non ASCII)
      • Le cycle de vie d’un ND
      • Transfert de domaine
    • Module 3 - DNS opérationnel
      • Requêtes récursives
      • Le protocole DNS
      • Glue Records (j’adore en français Enregistrement de colle, what?)
      • Mise en cache du DNS
      • EDNS
      • Résolveurs DNS publics
      • Protocoles de transport (TCP, UDP, DoH, DoT, DNSCrypt, etc)
      • DDNS
      • Réponses DNS dynamiques (Round-Robin rrDNS le load balancer du DNS)
    • Module 4 - Types d’enregistrements DNS (Records)
      • Vue d’ensemble des types d’enregistrements DNS (on verra par la suite les principaux)
      • Enregistrements A et AAAA (IPv4 et IPv6)
      • Enregistrements CNAME
      • Enregistrements TXT
      • Enregistrements SRV
      • Enregistrements PTR
      • Types d’enregistrements liés à DNSSEC
  • 12h00 - 13h00
    • Pose de dîner bien mérité
  • 13h00 - 15h00
    • Module 5 - Autorité DNS et Courrier Électronique
      • Aperçu de la configuration du courrier électronique
      • Enregistrements MX
      • SPF / DKIM / DMARC et leur granularité ainsi que leur scope
      • BIMI
      • MTA-STS
    • Module 6 - Visite de Cloudflare
      • Aperçu de Cloudflare et ce que cela apporterait à votre posture DNS et NDD
      • Pas besoin d’avoir un compte mais Cloudflare est gratuit pour 100 domaines et avec quelques configurations de bases bien utiles.
      • Nous mettrons en avant d’autres services concurrents comme les Cloud Publics qui sont les seuls à date à pouvoir rivaliser.
    • Module 7 - Cas d’usage Offensif et défensif avec les outils en ligne disponibles
      • N’étant pas un atelier Red/Blue Teams (il faudrait une autre journée) nous allons tout de même pousser l’exercice dans du concret rapide.
      • Pas mal d’outils de Recon, Osint, Digg, Informationnels, Débogage, d’Audits et quelques outils “out-of-box” que je l’espère vous plairont.
  • 15h30 - 15h45
    • Pose KF / Pose Biologique avant l’atelier “hardware”
  • 15h45 - 18h30 et plus si vous le voulez …
    • Atelier matériel - Montage et Installation de votre Raspi 4 qui deviendra votre épine dorsale de réseau familiale en étant le résolveur/serveur DNS privé et un protecteur “d’anti-pub et d’anti-pup” grâce à Pi-hole que l’on va installer et configurer.
    • Nous verrons que Pi-hole propose de nombreuses autres options dont la possibilité d’être un serveur DHCP mais ceci ne sera pas configuré pendant l’atelier nécessitant des paramètres trop personnels de votre réseau.
    • De même nous verrons que d’autres outils peuvent être installés comme Adguard, PFsense, etc mais nous vous donnerons les informations nécessaires pour le pratiquer par vous même si cela vous intéresse. Mais seul Pi-hole sera de mise lors de l’atelier.
    • A la fin… Distribution de quelques surprises et goodies pour les plus tenaces.

LOGISTIQUE pour vous

  1. Matériel: BYOD (Bring your own device). Ceci vous permettra de vous connecter à votre Raspi par SSH. (Windows, Mac, Linux peu importe) (Même pour celles et ceux pas habitués ou sous Windows vous verrez cela sera facile)
  2. Apporter une power bar et votre cellulaire si vous voulez vous connecter en Hotspot sur votre Raspi via votre Laptop. (Mais il y aura un routeur maison et totalement indépendant de l’hôtel qui sera aussi disponible pour les essais)
  3. Tout ce que vous jugerez nécessaire pour votre confort ;)