Présentation

Article

1 - DNS : PRINCIPES ET FONCTIONNEMENT

2 - FAIBLESSES DU DNS

  • 2.1 - Attaque par oracle (man in the middle )
  • 2.2 - Attaque grâce au paradoxe de l’anniversaire
  • 2.3 - Pollution d’un serveur cache
  • 2.4 - Corruption de mise à jour dynamique et de transfert de zone
  • 2.5 - Attaques utilisant un serveur de noms

3 - EXTENSIONS DE SÉCURITÉ DU DNS (DNSSEC)

4 - CONCLUSION

| Réf : TE7553 v1

DNS : principes et fonctionnement
Extensions de sécurité DNS (DNSSEC)

Auteur(s) : Gilles GUETTE

Date de publication : 10 nov. 2006

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

Version en anglais En anglais

RÉSUMÉ

Le protocole DNS (Domain Name System) est utilisé pour effectuer la correspondance entre un nom de machine et son adresse IP. Or, les informations contenues dans le DNS sont publiques, les serveurs DNS ouverts à tous, et le DNS n’inclut aucun service de sécurité. Cet article commence tout d’abord par décrire le fonctionnement du protocole DNS, puis il en expose les faiblesses et les vulnérabilités. Sont présentées ensuite les extensions de sécurité DNSSEC qui, grâce à l’utilisation de la cryptographie à clé publique, fournit ainsi l’intégrité et l’authenticité des données DNS.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

ABSTRACT

 

Auteur(s)

  • Gilles GUETTE : Docteur en informatique - Attaché temporaire d’enseignement et recherche, IRISA Campus de Beaulieu (Rennes)

INTRODUCTION

Lorsqu’une machine connectée à un réseau veut contacter une autre machine, l’un des premiers protocoles appelés est le DNS (Domain Name System). Le DNS  est une base de données distribuée et hiérarchique utilisée le plus souvent pour effectuer la correspondance entre un nom de machine et son adresse IP. Les informations contenues dans le DNS sont publiques et les serveurs DNS sont accessibles par tout le monde. Dans sa conception originelle, le DNS n’inclut aucun service de sécurité tels que l’intégrité ou l’authentification, ce qui laisse ce protocole vulnérable  . Pour pallier ces vulnérabilités, l’Internet Engineering Task Force (IETF) a standardisé les extensions de sécurité DNS (DNSSEC).

DNSSEC  repose sur l’utilisation de la cryptographie à clé publique pour fournir l’intégrité et l’authenticité des données DNS. Chaque nœud de l’arbre DNS, appelé zone, possède au moins une paire de clés publique/privée utilisée pour générer les signatures numériques des informations de zone. L’unité de base de ces informations est l’enregistrement de ressource (RR). Chaque RR possède un type particulier qui indique le type des données qu’il contient. Par exemple, un enregistrement DNSKEY contient une clé publique de zone, un enregistrement RRSIG contient une signature et un enregistrement A contient une adresse IPv4.

Pour faire confiance à des données DNS, un résolveur (le client DNS) construit une chaîne de confiance  en partant d’un point d’entrée sécurisé dans l’arbre DNS  (c’est-à-dire d’une clé de confiance configurée statiquement dans le résolveur), jusqu’à l’enregistrement de ressource demandé. Un résolveur est capable de construire une chaîne de confiance s’il possède un point d’entrée sécurisé et s’il ne traverse que des zones sécurisées jusqu’à la ressource demandée.

Dans ce dossier, nous présentons, dans le § 1, le fonctionnement du protocole DNS. Puis, dans le § 2, nous décrivons quelques vulnérabilités de ce protocole qui ont amené la définition des extensions de sécurité DNS. Nous détaillons le protocole DNSSEC dans le § 3.

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-te7553


Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation
Version en anglais En anglais

1. DNS : principes et fonctionnement

Le système de noms de domaine  permet de conserver des informations sur les machines connectées au réseau. Le protocole DNS est utilisé de manière transparente pour effectuer la correspondance entre un nom de machine, compréhensible par l’homme, et son adresse IP. Il est important de connaître l’architecture sur laquelle repose ce protocole pour comprendre ses faiblesses et le besoin de sécurisation de ce protocole.

1.1 Domaines et zones

Le système de noms de domaine repose sur une structure arborescente. Cet arbre possède deux types de constituantes : les domaines et les zones.

Un domaine est un sous-arbre complet de l’arbre DNS. Le nom d’un domaine est obtenu en concaténant l’étiquette de tous les nœuds, de la racine du sous-arbre jusqu’à la racine de l’arbre DNS. La construction de l’arbre, qui interdit à deux nœuds frères d’avoir le même nom, assure l’unicité de nom dans la base. Un domaine peut donc en englober un autre, comme c’est le cas par exemple sur la figure 1 : le domaine fr. contient le domaine irisa.fr..

Chaque domaine est constitué d’une ou plusieurs zones. La zone est l’unité administrative de l’arbre DNS. Une zone est gérée par un ou plusieurs serveurs qui disposent de toutes les informations de cette zone. Les administrateurs de ces serveurs sont responsables des informations de zone, de leur mise à jour et de leur disponibilité.

...

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
DNS : principes et fonctionnement
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - MOCKAPETRIS (P.) -   Domain Names – Concept and Facilities  -  . RFC 1034 (1987).

  • (2) - MOCKAPETRIS (P.) -   Domain Names – Implementation and Specification  -  . RFC 1035 (1987).

  • (3) - ALBITZ (P.), LIU (C.) -   DNS and BIND  -  . 4th edn. O’Reilly & Associates, Inc., Sebastopol, Californie (2002).

  • (4) - BELLOVIN (S.M.) -   Using the Domain Name System for System Break-Ins  -  . In : Proceedings of the 5th Usenix UNIX Security Symposium 199-208 (1995).

  • (5) - SCHUBA (C.L.) -   Addressing Weaknesses in the Domain Name System  -  . Master’s thesis, Purdue University, Department of Computer Sciences (1993).

  • (6) - ATKINS (D.), AUSTEIN (R.) -   Threat Analysis of the Domain Name System  -  . RFC 3833 (2004).

  • ...

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS