Présentation
En anglaisRÉSUMÉ
Le protocole DNS (Domain Name System) est utilisé pour effectuer la correspondance entre un nom de machine et son adresse IP. Or, les informations contenues dans le DNS sont publiques, les serveurs DNS ouverts à tous, et le DNS n’inclut aucun service de sécurité. Cet article commence tout d’abord par décrire le fonctionnement du protocole DNS, puis il en expose les faiblesses et les vulnérabilités. Sont présentées ensuite les extensions de sécurité DNSSEC qui, grâce à l’utilisation de la cryptographie à clé publique, fournit ainsi l’intégrité et l’authenticité des données DNS.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleABSTRACT
Auteur(s)
-
Gilles GUETTE : Docteur en informatique - Attaché temporaire d’enseignement et recherche, IRISA Campus de Beaulieu (Rennes)
INTRODUCTION
Lorsqu’une machine connectée à un réseau veut contacter une autre machine, l’un des premiers protocoles appelés est le DNS (Domain Name System). Le DNS est une base de données distribuée et hiérarchique utilisée le plus souvent pour effectuer la correspondance entre un nom de machine et son adresse IP. Les informations contenues dans le DNS sont publiques et les serveurs DNS sont accessibles par tout le monde. Dans sa conception originelle, le DNS n’inclut aucun service de sécurité tels que l’intégrité ou l’authentification, ce qui laisse ce protocole vulnérable . Pour pallier ces vulnérabilités, l’Internet Engineering Task Force (IETF) a standardisé les extensions de sécurité DNS (DNSSEC).
DNSSEC repose sur l’utilisation de la cryptographie à clé publique pour fournir l’intégrité et l’authenticité des données DNS. Chaque nœud de l’arbre DNS, appelé zone, possède au moins une paire de clés publique/privée utilisée pour générer les signatures numériques des informations de zone. L’unité de base de ces informations est l’enregistrement de ressource (RR). Chaque RR possède un type particulier qui indique le type des données qu’il contient. Par exemple, un enregistrement DNSKEY contient une clé publique de zone, un enregistrement RRSIG contient une signature et un enregistrement A contient une adresse IPv4.
Pour faire confiance à des données DNS, un résolveur (le client DNS) construit une chaîne de confiance en partant d’un point d’entrée sécurisé dans l’arbre DNS (c’est-à-dire d’une clé de confiance configurée statiquement dans le résolveur), jusqu’à l’enregistrement de ressource demandé. Un résolveur est capable de construire une chaîne de confiance s’il possède un point d’entrée sécurisé et s’il ne traverse que des zones sécurisées jusqu’à la ressource demandée.
Dans ce dossier, nous présentons, dans le § 1, le fonctionnement du protocole DNS. Puis, dans le § 2, nous décrivons quelques vulnérabilités de ce protocole qui ont amené la définition des extensions de sécurité DNS. Nous détaillons le protocole DNSSEC dans le § 3.
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Archives > [Archives] Sécurité des systèmes d'information > Extensions de sécurité DNS (DNSSEC) > Conclusion
Cet article fait partie de l’offre
Réseaux Télécommunications
(139 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
4. Conclusion
Dans ce dossier, nous avons présenté l’architecture et le fonctionnement de système de noms de domaine. La description des différentes entités intervenant au sein de ce protocole ainsi que les différentes interactions entre ces entités ont permis d’exposer les différentes vulnérabilités du protocole DNS. Aux vues de ces vulnérabilités, il apparaît que les extensions de sécurité DNS sont une nécessité et devraient être bientôt largement déployées au niveau mondial afin de garantir l’intégrité et l’authenticité des données DNS.
DNSSEC est d’ores et déjà une technologie opérationnelle, mais quelques problèmes restent à résoudre. Notamment, la gestion automatique des clés de zones . En effet, à cause du grand nombre de zone DNS, la gestion manuelle de la cohérence des clés de zone est impossible. Des solutions sont à l’étude pour permettre de conserver la cohérence entre des clés de zones et des enregistrements DS lorsqu’un administrateur décide de renouveler une de ses clés. Des solutions voient aussi le jour pour garder la cohérence entre les clés de confiance configurées statiquement et les clés de zone lorsque ces dernières sont renouvelées. Il ne fait aucun doute que DNSSEC deviendra totalement automatisé dans sa gestion et pleinement déployé, très rapidement.
Cet article fait partie de l’offre
Réseaux Télécommunications
(139 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Conclusion
BIBLIOGRAPHIE
-
(1) - MOCKAPETRIS (P.) - Domain Names – Concept and Facilities - . RFC 1034 (1987).
-
(2) - MOCKAPETRIS (P.) - Domain Names – Implementation and Specification - . RFC 1035 (1987).
-
(3) - ALBITZ (P.), LIU (C.) - DNS and BIND - . 4th edn. O’Reilly & Associates, Inc., Sebastopol, Californie (2002).
-
(4) - BELLOVIN (S.M.) - Using the Domain Name System for System Break-Ins - . In : Proceedings of the 5th Usenix UNIX Security Symposium 199-208 (1995).
-
(5) - SCHUBA (C.L.) - Addressing Weaknesses in the Domain Name System - . Master’s thesis, Purdue University, Department of Computer Sciences (1993).
-
(6) - ATKINS (D.), AUSTEIN (R.) - Threat Analysis of the Domain Name System - . RFC 3833 (2004).
-
...
Cet article fait partie de l’offre
Réseaux Télécommunications
(139 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive