Qu'est-ce que la sécurité DNS?
Les extensions de sécurité du système de noms de domaine (DNS) (DNSSEC) sont un moyen de protéger Internet et ses utilisateurs contre les attaques possibles qui peuvent désactiver ou entraver l'accès aux services de dénomination essentiels sur Internet. Les extensions de sécurité créent un moyen pour les serveurs DNS de continuer à fournir leurs fonctions de traduction d'adresses de protocole Internet (IP), mais avec la disposition supplémentaire que les serveurs DNS s'authentifient les uns avec les autres en créant une série de relations de confiance. Grâce aux extensions, les données partagées entre les serveurs DNS atteignent également un niveau d'intégrité qui est normalement difficile au protocole existant par lequel les données sont transférées.
À l'origine, le DNS a été créé en tant que distribution publique non garantie des noms et de leurs adresses IP connexes. À mesure que Internet grandissait, cependant, un certain nombre de problèmes développés liés à la sécurité DNS, à la confidentialité et à l'intégrité des données DNS. En ce qui concerne les problèmes de confidentialité, le problème a été traité très tôt par Cleanonfiguration des serveurs DNS. Pourtant, il est possible qu'un serveur DNS soit soumis à un certain nombre de types d'attaques différents, tels que le déni de service distribué (DDOS) et les attaques de débordement de tampon, qui peuvent affecter tout type de serveur. Spécifique au DNS, cependant, est la question de certaines source extérieures empoisonnant les données en introduisant de fausses informations.
DNSSEC a été développé par le groupe de travail d'ingénierie Internet (IETF), et détaillé dans plusieurs documents de demande de commentaires (RFC), 4033 à 4035. Ces documents décrivent la sécurité DNS comme réalisable grâce à l'utilisation de techniques d'authentification des clés publiques. Pour atténuer le traitement sur les serveurs DNS, seules les techniques d'authentification sont utilisées et non le cryptage.
La façon dont le DNSSEC fonctionne est par la création de relations de confiance entre les différents niveaux de la hiérarchie DNS. Au niveau supérieur, le domaine racine du DNS est EstaBoussé comme l'intermédiaire principal entre les domaines inférieurs, tels que .com, .org, etc. Les sous-domaines se tournent ensuite vers le domaine racine, agissant comme ce qu'on appelle un tiers de confiance, pour valider la crédibilité des autres afin qu'ils puissent partager des données DNS précises entre elles.
Un problème qui apparaît à la suite des méthodes décrites dans les RFC est appelée énumération de zone. Il devient possible pour une source extérieure d'apprendre l'identité de chaque ordinateur nommé sur un réseau. Une certaine controverse s'est développée avec la sécurité DNS et le problème d'énumération de la zone en raison du fait que même si le DNS n'était pas conçu à l'origine pour la vie privée, diverses obligations juridiques et gouvernementales exigent que les données restent privées. Un protocole supplémentaire, décrit dans RFC 5155, décrit un moyen d'implémenter des enregistrements de ressources supplémentaires dans le DNS qui peuvent atténuer le problème, mais ne le supprime pas entièrement.
D'autres problèmes de mise en œuvre de la sécurité DNS tournent autour de la compatibility avec des systèmes plus anciens. Les protocoles implémentés doivent être universels et, par conséquent, compris par tous les ordinateurs, les serveurs et les clients, qui utilisent Internet. Étant donné que le DNSSEC est mis en œuvre par le biais d'extensions de logiciel vers le DNS, cependant, certaines difficultés ont émergé pour obtenir des systèmes plus anciens correctement mis à jour afin de prendre en charge les nouvelles méthodes. Pourtant, le déploiement des méthodes DNSSEC a commencé au niveau racine fin 2009 et début 2010, et de nombreux systèmes d'exploitation informatiques modernes sont équipés des extensions de sécurité DNS.