none
DNSSEC et cryptage RRS feed

  • Question

  • Salut,

    Je suis sur windows 10 Pro x64 avec un réseau en ip statique derrière un routeur.

    J'utilise aussi un TAP.

    J'ai découvert dans gpedit.msc, une fonction DNSSEC (ipsec) de cryptage et validation des données.

    Il m'était demandé un suffixe pour appliquer cette règle (ou autre choix).

    J'ai donc éditer le nom de domaine de ma carte ethernet principale par un nom bateau XYZ. Ou autre (...). Et mis le même en suffixe pour le DNSSEC.

    J'ai donc vérifié et cette règle s'applique bien au réseau de la carte ethernet principale. 5 sans cela le système bug avec le TAP et la règle essaie de s'appliquer sur les deux, ça ne passe pas.).

    Mais...J'utilise un DNS tierce et je ne sais pas si le cryptage et la validation sont effective.

    Comment vérifier si je ne crypte pas pour rien??

    Mon but est de crypter les requètes de connexion du VPN, le DNS du VPN est déjà opé.

    J'ajoute que le chiffrement fait chauffer le cpu tout le long de la session.

    J'ai donc optimisé par un chiffrement faible qui impacte peu mes ressources. silence.......

    Sinon pour savoir si le cryptage est opérationnel, je suis parti d'un constat simple, si le signal passe c'est que le DNS est décrypté....?

    Je suis en train de tester de remettre l'agent ipsec en auto (manuel d'origine) et j'ai pu passer au chiffrement AES Moyen (196-256). Par contre CPU i7 4.1 à 15% en permanence... pas super pour l'écologie.....

    Avce le chiffrement faible 128 quand même.. CPU à 1%.... la messe est dites pour moi ça me va.

    J'attends juste de savoir si c'est réellement effectif...

    Et des précisions techniques avant de laisser comme cela.

    Merci de vos réponses.

    Cdlt

    Geeky








    • Modifié GeekForumer mercredi 19 septembre 2018 01:29
    mercredi 19 septembre 2018 00:07

Toutes les réponses

  • Bonjour,

    Voici un très bon article sur le sujet : https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/hh831411(v=ws.11)

    DNSSEC uses digital signatures and cryptographic keys to validate that DNS responses are authentic.


    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    mercredi 19 septembre 2018 05:59
  • DNSSEC et cryptage

    Mais...J'utilise un DNS tierce et je ne sais pas si le cryptage et la validation sont effective.


    DNSSEC ce n'est pas du cryptage mais de la signature pour les enregistrements DNS.

    https://www.icann.org/resources/pages/dnssec-qaa-2014-01-29-fr

    Mon but est de crypter les requètes de connexion du VPN, le DNS du VPN est déjà opé.

    Le VPN assure déja le cryptage entre l'entrée et la sortie du tunnel. Les requêtes DNS qui passent par le tunel sont cryptés par le VPN. DNSSEC permet au poste client de vérifier les réponses DNS et de garantir la fiabilité de l'IP en réponse.

    Le cryptage et la signature se sont deux objectifs très différents.


    mercredi 19 septembre 2018 09:37
  • Bonjour et merci à tous les deux pour vos réponses.

    J'ai bien compris que le VPN était a part.

    Je parle unquement des requètes sur l'ethernet principale avec la connexion du tap .

    Ou de tout pour ceux qui n'utilise pas de tap ou de vpn.

    J'ai aussi bien compris la différence entre validation et crytage.

    Cependant il m'est proposé le cryptage en  parallèle dans l'interface de la même fonction.

    Alors le DNSSECE c'est pour la validation (et il apparait que le service ipsec n'est pas utilisé..?).

    Et le cryptage c'est pour le transport.

    Je vais lire le doc mis par matteu31400, j'ai un point à éclaircir sur la validation. Qu'est ce qui est validé? Les paquets seraient verifiés si on active le chiffrement ou la vérification d'intégrité mais le DNSSEC valide donc le lien, les extrémités? je vais lire un peu et je repasse.

    Question supllémentaire.. la fonction de chiffrement propose de vérifier l'intégrité OU de chiffrer. Le shciffrement inclu t'il la vérification d'intégrité comme je le pense?

    Je voulais savoir comment verifier que tout est fonctionnel.

    ***Je suis désolé pour toutes ces questions, j'en ai des milliers sur des tas de sujets. Je suis passionné d'informatique autant que de science et autre optimisation sur des "systèmes" (quel qu'ils soient) que j'aborde a ma manière.

    J'ai des soucis de santé et je ne fais pas ce que je veux, sinon je filerais en formation avancées. Il est parfois difficile de compiler facilités et cadre forcé...

    Je suis trés interessé par savoir créer et gerér un réseau crypté et sécurisé. Je suis parano et maniaque, je me sers donc de ces...défauts... J'ai envie d'étre capable de me mettre a mon compte en ce domaine possiblement.

    Je m'interesse aussi un peu a la virtualisation dont je trouve qu'elle est inexploitée sur nos machines (la plupart).

    Cdlt

    Geeky






    • Modifié GeekForumer mercredi 19 septembre 2018 11:55
    mercredi 19 septembre 2018 11:28
  • J'ai aussi bien compris la différence entre validation et crytage.

    Les bons termes sont chiffrement (cryptage) ou signature. Ce terme est également utilisé dans les rôles de certificats par exemple. Les 2 utilisent des clés cryptographiques mais pas dans le même but.

    Le cryptage a pour but de protéger le contenu afin qu'un intru ne puisse en prendre connaissance. La signature n'empêche pas à un tierce de prendre connaissance du contenu, mais il rajoute une valeur crypté unique qui permet de vérifier que la données est correct et n'a pas été modifié. 

    Le but de DNSSec est d’offrir une solution au client DNS de vérifier la validité des enregistrements, si celui ci accepte d'utiliser le mécanisme.

    mercredi 19 septembre 2018 12:18
  • Merci.

    Oui j'ai compris du coup que le DNSsec avait donc pour but de valider les réponses (authenticité) entre client/serveur DNS. La "donnée" transportée est signée numériquement avec une clé de validation DNSsec.

    C'est donc la fonction DNSsec qui crée la signature numérique et l'associe a la donnée qui est injectée sur le réseau "données" DNS,.

    Aprés le transport client/serveur, ce dernier les valide avec le DNSsec encore et en retour, signe aussi les données jusqu'au client qui sait la encore les authe,tifier grace a cette signature et a la fonction DNSsec (windows Pro uniquement si je ne m'abuse).

    Le DNSsec signe numériquement et valide les échanges DNS client/serveur.

    Si j'ai bien compris le système DNS "échange" un nom de domaine avec des ip... Pour faire simple.

    Merci

    Je viens de lire le doc mis par Matteu qui est super interessant.


    • Modifié GeekForumer mercredi 19 septembre 2018 18:57
    mercredi 19 septembre 2018 12:31