Pourquoi une étude de cas sur le DNS

Pourquoi?
•
Que devrions nous retenir de 25 ans
d’Internet :
Quatre raisons :
1. Rappellez-vous simplement l’histoire
2. Faire la fête et parler de la manière dont
nous étions des génies (cue Bruce
Springsteen, “Glory Days”)
3. Apprendre les principes pour le futur
4. Se moquer de l’idée de “table rase”
une étude de cas, le DNS
Paul V Mockapetris
[email protected]
•
Tous sont intéressants, restons sur le #3.
Source: Nominum
Pourquoi une étude de cas
sur le DNS ?
•
•
EarlyTimeline
C’est mon domaine d’expertise
Souvent les experts des autres protocoles
– sont en désacord sur l’age de l’Internet
• 40ième anniversaire si on inclue l’ARPAnet
• ~120ième anniversaire si l’on pense à Hertz/Marconi
• L’aire de l’Internet a peut-être disparu avec HTTP /
web2.0
– se querellent sur la paternité
– préfèrent raconter l’histoire ou faire la fête
•
•
Beaucoup de monde a fait évolué le DNS
Le DNS touche presque tout le reste de
toutes manières, c’est peut-être un bon
endroit pour commencer
Source: Nominum

Nov 1983 – RFCs 882, 883

1985/1986 machines sans “host tables”

Jan 1986 – routage de mails de style MX

Nov 1987 – RFC 1034, 1035

Aug 1988 – “Development of the Domain
Name System”, Sigcomm 88
– AKA DoDNS
Source: Nominum
3
Auparavant, la transition IP/TCP impliquait que chaque
système pouvait être repensé

Fournir un modèle qui soit suffisamment léger
pour pouvoir “décoler”

Fournir un modèle qui ait des fonctionnalités
orthogonales qui puissent être combinées pour
produire beaucoup de possibilités

Plus une recette qu’une invention

Principaux apports
– Par exemple, FTP->FTP & email séparé

4
Tentative de conception du protocole DNS
1983
Puis- 1983

2
Beaucoup, beaucoup de choses à repenser
– Les gens importants ont repensé les aspects importants,
par exemple
• Routage
• “Card images in TCP”
• La conception des “Directory”
–
–
–
–
– Les gens moins importants ont fait des choses telles que
• DNS
• Datagrammes
– Certaines choses semblaient simples
• Gestion & allocation de noms
Source: Nominum
20091029 PVM USC Internet Evolution
DNS Case Study
5
Gains simples
Fiable au travers de la replication
Doit être rapide de manière inhérente
Distribution de l’autorité et du contrôle
Source: Nominum
6
1
Ajouts plus tardifs

Mise à jour dynamique

DNSSEC

TSIG

Beaucoup de faux départs
Autres points importants

DNS -> DN$
– Marketing
– Marques déposées
– ICANN
– Etc

Des chiffres simples
– e.g. DoDNS
• La racine opère 1 requête/sec
• Bonnes requêtes prennent 100 msec
Source: Nominum
Source: Nominum
7
Buts du DoDNS

Utilisation et types de données extensibles

omission intentionnelle d’éléments importants
pour des ajouts futurs
8
Que dirait Buffett

“You can get in way more trouble with a good
idea than a bad idea”
– Ben Graham

…because yyou forget
g that the g
good idea has
limits
– Warren Buffett

“Life is like a snowball. The important thing is
finding really wet snow and a really long hill.”
– Warren Buffett
Source: Nominum
Source: Nominum
9
10
Scalability
•
•
Le MTU devrait-il être en bits ou en temps ?
Par exemple :
– 1990 ATM cell @ OC-3 = ~350 ns
– 2008 Ether @ 10G = ~150 ns
Scalability & Extensibility
•
SCALABILITY &
EXTENSIBILITY
•
•
Source: Nominum
20091029 PVM USC Internet Evolution
DNS Case Study
11
Les principes du DNSSEC souffrent de
l’incapacité à transporter facilement des
grandes signatures
L’expension du seul DNS n’est pas la solution
TCP n’est pas la solution
Source: Nominum
12
2
La normalisation peut être
complexe
It’s the API, stupid
•
Ethernet API a survécu :

– Au passage du multipoint passif vers le point
à point
– Du Cuivre au sans-fil et à l’optique
–L
L’idée
idée de trame et d
d’adresse
adresse a survécu
•
– ISC (Internet Systems Consortium) bannit
le“_”
– Microsoft le rend nécessaire
L’API DNS

– RRs OK pour une décénie
– Besoin d’une mise à jour maintenant
L’IETF
– “Ne surchargez pas le DNS”
– Nous vous dirons ce que vous pourrez utiliser
dans le DNS
– Ne peut être utilisé pour les données ayant
besoin de sécurité,
sauf que ça l’est.
Source: Nominum
• Basé sur des concepts simples
– Théorie des ensembles
– Hiérarchie
• Auto-définition de nouveaux types
Source: Nominum
L’affaire “_”
13
14
Lessons

Nous avons besoin de datagrammes
nouveaux et plus grands.

Nous devrions repenser le modèle
conceptuel, le nettoyer et en profiter pour
l’étendre en même temps. Définir l’API.
Securité
SECURITY

Nous n’attendons pas que le système de
fichier approuve le contenu ; nous ne
devrions pas le faire non plus pour le DNS.
Source: Nominum
Le DNS est exposé

Les abonnés sont attaqués

Le “faussé” entre futures technologies et
celles de maintenant

The “Trusted Internet Experience” –
”TRUE” (Trusted Response and Universal
Enforcement) Architecture
16
Problème grandissant
rapidement
Discussion du jour

Source: Nominum
15
Comment déterminer en temps réel la différence
entre des requêtes dangereuses et sans danger ?
?
Client
Fournisseur d’accès
Réseau
Internet
Haut Débit
150 millions d’hôtes malveillants
Et de plus en plus…
Comment le fournisseur d’accès peut aider?
Source: Nominum
20091029 PVM USC Internet Evolution
DNS Case Study
17
Source: Nominum
18
3
Statistical Attacks
Histoire du DNS (passé et futur)
•
1983
•
1986
début du DNS
» Iomissions intentionnelles incluent securité, mises à jour dynamiques, etc, etc
Password
Démarrage du DNS

Entrer une commande de login
•
1989
Empoisonnement des Caches observed
» “Ne stocker pas une information simplement parce que quelqu’un vous l’a
transmise “

Deviner le mot de passe
•
1989-2008
Various cache poisoning attacks

Répéter jusqu’au
jusqu au succès
•
1993
Débuts du DNSSEC
~2000
pertinent
les recherches rendent “the missing directory” non

Chances/Tentative:
•
•
2008
l’attaque de Kaminsky “fast poisoning”…
•
201XLa majorité du DNS sécurisé avec les signatures
numériques
» Multiplexing technology adapted for security
» Other defenses deployed
Source: Nominum
Envoyer des tentatives
tandis que le DNS cible
attend des réponses réelles.
Source: Nominum
19
20
Cache Poisoning Attack
yourbank
Pour aller à www.yourbank.com,
l’ordinateur demande des instructions
à son serveur de noms local.
Pour une société, il s’agit du serveur
DNS de la société.
Pour des utilisateurs connectés de
chez eux, il s’agit du FAI.
Sign on to yourbank Online

Kaminsky
Envoyer une requête pour
que le serveur en écoute
puisse répondre
– Utilisation de ~6 bits/caractère “a-  Répéter jusqu’au succès
z, A-Z, 0-9”
– 2 chars 1 chance sur 3,884
 Chances/Tentative:
– 3 chars 1 chance sur 238,328
– 16 bits ID, 1 chance sur 65536
– 4 chars 1 chance sur 14,776,336
Comment les ordinateurs
naviguent dans l’Internet ?
yourbank

Attack Server
www.yourbank.com
Is at 9.10.11.12
Sign on to yourbank Online
ISP or
Enterprise
Caching
DNS
ISP or
Enterprise
Caching
DNS
How do I reach
www.yourbank.com ?
Hacker Bank
How do I reach
www.yourbank.com ?
www.yourbank.com
9.10.11.12
Your Bank
TCP Me to:
1.2.3.4
Internet
www.yourbank.com
1.2.3.4
User browsing
Source: Nominum
User browsing
Internet
X
www.yourbank.com
1.2.3.4
Source: Nominum
22
Mail Attack
Abonné
Future
Blended
attacks
TCP me to:
9.10.11.12
21
The Eye of the Hurricane
You
are
here
Your Bank
www.yourbank.com
Is at 9.10.11.12
www.yourbank.com
Is at 1.2.3.4
This is a soft error,
That masks copying of an
entire message
There are few fingerprints
[email protected]
Attack Server
New yourbank.com
mailserver at
mail.hackerbank.com
ISP or
Enterprise
Caching
DNS
Hacker Bank
Sorry,
can’t
store mail
mail.hackerbank.com
9.10.11.12
How do I reach
mail.yourbank.com ?
Kaminsky,
earlier attacks
Try mail.hackerbank.com
Then mail.yourbank.com
Your Bank
SMTP me to: 9.10.11.12
Retry SMTP to 6.7.8.9
Success!!
Mailserver
Source: Nominum
20091029 PVM USC Internet Evolution
DNS Case Study
23
Internet
Source: Nominum
www.yourbank.com
6.7.8.9
24
4
Two Messages
1988 les défenses du DNS

TTL:
Le serveur n’accepte une données
que s’il ne la possède pas déjà.
» Certaines données ont une durée de vie de plusieurs
jours ou quelques secondes.

Q:
Le serveur n’accepte que les
réponses q
quand
and il a une
ne req
requête
ête en
attente pour celle-ci
» Temps de récupération de la réponse de l’ordre de la
millisecondes ou de quelques secondes

Source: Nominum
Q
TTL

Pour les chateaux :
–
–
–
–
GS
ID
DNS
Cache

Douves
Murs
Maison forte
Soldats sur les murs
Pour le DNS
– Information Timeout (TTL)
– Query outstanding (Q)
– Response matches (ID)
Bind
Cache poisoning Threats
TTL
Q
ID
Source: Nominum
Cache poisoning Threats
DNS
Cache

Ancien ID-seul:

ID + port:
TTL
Q
ID
DNS
Cache
Source: Nominum
27
Réponse de l’IETF USPR :
Augmenter l’IDs avec les ports
28
La réponse des hackeurs à l’USPR:
augmentation du taux d’attaque
1 chance in 65,536
•
1 chance in 4,294,967,296
•

26
Circa 2007 Theory:
Securité par des couches de défense
Nominum (with Glue Segregation)
Cache poisoning
Th
Threats

» L’attaqueur a 1 chance sur 65,536 (par tentative),
Source:
Nominum
càd la défense
est
efficace 99.9985% du temps.
25
Fast poisoning attack vs. 2007
systems

ID: Le serveur n’accepte que les
réponses venant d’@ IP, de port et de 16
bits de ID corrects
Mais
•
– Cela ne marche pas avec la répartition de
charge
•
• de nouveau 1 chance sur 65,536
Une expérience a montré qu’une attaque contre
USPR à l’aide d’un réseau gigabit prenait 10
heures en utilisant deux machines.
Cette attaque était malheureuse ; l’attaque
fonctionne plus vite en moyenne
moyenne.
Attaques coordonnées via botnets
Attaque .COM ou .JP et on possède tous les
noms en dessous
– Ralentit les serveurs
USPR n’est pas suffisant.
Source: Nominum
20091029 PVM USC Internet Evolution
DNS Case Study
29
Source: Nominum
30
5
How safe is the Internet?
A Changing World
DNS 1.0
Internet is Born
Vulnerabilities Abound
Security
Level
Nominum
DNS 2.0
Kaminsky Era
DNS
Threat
Level
DNS 3.0
DNSSEC Era
ISC-BIND
UDP SPR
ISC-BIND
No UDP SPR
BIND
1983
2008
Source:
Nominum
201X (2012 ???)
Lessons

Source: Nominum
31
Lessons

Nous sommes surement dans l’oeil du
cyclone si on regarde l’attaque du fast
poisoning.

Les faiblesses de la sécurité faussent
l’utilisation du DNS, i.e. n’importe quel nom
peut être utilisé n’importe où

On a besoin de compatibilité pour :

La vitesse tue (les réseaux rapides sont plus
vulnérables)
– L’entreprise à risque à cause de machines
infectées.
– Sécuriser votre DNS avec une connexion à
10Mbit ?
Nous avons besoin de penser aux couches
Source: Nominum
Nous avons besoin de stratégies pour
améliorer la sécurité du DNS
– A court terme pour être déployées maintenant
– Améliorations à long terme (DNSSEC?)
– La protection des signatures numériques
– Policy enforcement in the DNS food chain

32

33
Les serveurs DNS embarqués dans les
équipements, etcSource:
pasNominum
de mise à jour facile
34
L’utilisation du DNS croît
exponentiellement
RFID
tags
IETF
Anti-SPAM
SPAM,
viruses
Nouvelles Applications
Windows 2000
services
NEW APPLICATIONS
Intranet names
Mail (MX) names
Internet names
1983
Source: Nominum
20091029 PVM USC Internet Evolution
DNS Case Study
35
1988
1993
1998
2003
Source: Nominum
2008
36
6
Origine des RFID
Pourquoi RFID sont complexes
•
Compatibilité avec l’existant
– De nombreux espaces de noms existent
– Des objectifs multiples (e.g. palettes vs. lames
de rasoirs)
– Des étiquettes d’intelligence
d intelligence différentes
• Active (powered)/passive
• Intelligence interne
•
Futur
– Préoccupations sur la vie privée
– La structure des instances de normalisation
• Propriété intellectuelle du logiciel vs matériel
Source: Nominum
38
La dégénération surprenante du
standard ONS (Object Naming Service)
Histoire

Source: Nominum
37
Centre AutoID du MIT, avec l’industrie définit:
•
Le centre Auto-ID du MIT définit
– 96 bits de données par étiquette RFID
– Object Naming System (v 0.5)
– Ensemble de normes pour les étiquettes
(tags) physiques
– Format pour le retour des chaines binaires de
éti
étiquettes
tt
• Couche au dessus du DNS
• Séquence variable de champs pour encoder les 96 bits
•
EPC Gl
Global
b l ““améliore”
éli ”
– 96 bits de données par étiquette RFID
– Object Naming System (v 1.0)

• Couche au dessus du DNS
• 3 niveaux fixés
Les résultats de l’expérience sur les codes
barre sont transmis à EPC Global, un
organisme de normalisation.
Source: Nominum
– entête
(numbering scheme)
– Gestionnaire général (subowner of name space, e.g. company)
– Classe d’object
(e.g. SKU)
• Les parties restantes sont à la charge d’autres protocoles
ENUM

Source: Nominum
39
40
ENUM
•
Appel +33 6 74 36 31 72 par
– Lookup 2.7.1.3.6.3.4.7.6.3.3.enum.int
(not the real location)
– Get data to complete the call
•
•
•
•
Source: Nominum
20091029 PVM USC Internet Evolution
DNS Case Study
41
Idée : Disposer d’un standard qui utilise le DNS
pour router les appels téléphoniques (et autres
nouveaux médias)
Problème : ENUM utilise seulement le numéro
pour router, le monde réel utilise plus de champs
que cela
cela.
Problème : Constructeurs d’équipements veulent
de l’intelligence, i.e. valeur, dans leurs produits.
Problème : Les propriétaires de données
existantes ne veulent pas changer les règles de
propriété
Problème : Sécurité est utilisée comme un point
à traiter.
Source: Nominum
42
7
Lessons
•
•
Changement vers un nouveau modèle
compatible est plus qu’un simple problème de
technologie
Catalyseur pour de nouveaux développements
– Sécurité
Sé ité
– Auto-definition de nouveau types de données
•
Dernières idées
NEW APPLICATIONS
Les futures nouvelles applications
– Envoi d’informations sur les risques de
malveillance et les données de configuration à
chaque équippement cocerné e.g. firewalls,
mail servers, …
Source: Nominum
Faits à surmonter

Source: Nominum
43
Le futur
ICANN n’est pas “trop politique”

– ICANN c’est la politique
– Appliquer les garde-fous habituels de la
politique, équilibre des pouvoirs.

– “For every action, there is an equal and
opposite reaction.”
– Nous devrions nous inquiéter des normes
parfaites qui prennent des décennies
– Plus d’évolution, moins de design intelligent
– Même si l’extinction est la prochaine étape

46
Problèmes dignes d’intérêt
Processus :
I.
II.
III.
IV.
V.
Le monde réel s’oppose, les excès
provoquent la réforme, …
Source: Nominum
45
Replacement/Extension du
DNS

La lutte se poursuit entre deux facteurs
– “The Internet changes everything!”
Nous ne devrions pas nous inquiéter de trop
charger le DNS
Source: Nominum
44

Assembler un ensemble de problèmes clés
Généraliser
Simplifier
Proposer une solution
Tester
Épuisement de l’espace d’adresses IPv4 “and
LISP”
– Couches d’indirection pour les adresses IPv4
– Doublement de la taille de l’espace
d’ d
d’adresses
ttracées
é
– Fusion des changements route et une
attribution quasi-statique du multi-homing

Le nombre des Systèmes Autonomes tend
vers 4 octets
– Difficile à taper
– Peut on répartir les mnemoniques
Source: Nominum
20091029 PVM USC Internet Evolution
DNS Case Study
47
Source: Nominum
48
8
Introducing Nominum
Mission
Delivering
the Trusted
Internet
Experience
Q&A
FAST,
RELIABLE,
SAFE
Product
Leadership
Best
Security
Technical
Expertise

Dr. Paul Mockapetris
Inventor of DNS
IETF Chair: 1994-1996
Lifetime award:
ACM SIGCOMM 2005

Bob Halley
Co-Architect of BIND8
Architect of BIND9

Ted Lemon
Developer of ISC-DHCP
Co-author of DHCP Handbook
Highest
Performance
Highest
Scalability
Guaranteed
Availability
Architecture
for Services
Strategic
Partners
150 million+ broadband households served
across 100+ leading service providers
Source: Nominum
50
Spanning Worldwide
Cultures and Preferences
150 Million Broadband
Households Use Nominum!
Source: Nominum
20091029 PVM USC Internet Evolution
DNS Case Study
51
9