Cet article suppose que vous avez parcouru Qu'est-ce que le DNS et comment ça marche ? Le système de noms de domaine (DNS) est un élément essentiel du système Internet. En termes simples, sans DNS, il n'y a pas d'Internet. Mais au départ, le DNS a été développé sans beaucoup de sécurité en place. Par exemple, DNS est vulnérable à l'empoisonnement du cache DNS (attaques DNS Spoofing); où un attaquant peut injecter des entrées invalides dans le système DNS faible et ces fausses données peuvent être utilisées pour rediriger le trafic Web vers de faux sites (En savoir plus sur l'empoisonnement du cache DNS et comment cela peut affecter Internet). Outre le DNS Spoofing, le système DNS est également vulnérable aux attaques DDOS et à l'homme du milieu.
Pour résoudre les problèmes de sécurité DNS, l'extension de sécurité du système de noms de domaine (DNSSEC) a été introduite. DNSSEC n'a pas été conçu pour mettre fin aux dites attaques ci-dessus, mais pour s'assurer qu'elles sont détectables par l'utilisateur final ou le résolveur (résolveur activé par la sécurité). Cela signifie que le résolveur conscient de la sécurité sera en mesure de valider la réponse reçue du serveur DNS et d'identifier si les informations sont correctes ou non.
Le déploiement de DNSSEC n'est pas une tâche facile, même si la mise en œuvre l'est. Cela implique que les propriétaires de zones tels que .net, .com, .edu, .in, etc. doivent implémenter DNSSEC pour leurs zones. Cela ne s'arrête pas là, les différentes organisations, institutions, fournisseurs d'accès Internet (FAI) doivent déployer DNSSEC dans leurs propres serveurs DNS. Et enfin, la fin doit certainement faire quelque chose; mettre à jour leurs résolveurs pour comprendre le protocole DNSSEC et ajouter des clés de confiance. Ces clés de confiance sont appelées clés ancrées, qui doivent être configurées dans le résolveur. Si tout cela est fait, l'utilisateur final (comme moi et vous) sera en mesure de détecter les attaques.
DNSSEC fournit l'authentification de l'origine des données et la protection de l'intégrité des données au DNS. Il utilise la cryptographie à clé publique comme Secure Shell (SSH) et Internet Protocol Security (IPSec).
Techniquement DNSSEC…
DNSSEC ajoute une nature cryptographique au système de noms de domaine (DNS) existant pour garantir l'authenticité et l'intégrité de la réponse DNS. Quand j'ai dit nature cryptographique, cela signifie que les signatures cryptographiques sont publiées pour les enregistrements A dans le DNS. Par exemple, RRSIG (Resource Record Signature) publié pour un enregistrement A, l'organisation source permet aux résolveurs de vérifier que l'enregistrement A reçu est authentique et correct.
Laissez-moi demander l'aide de CISCO , où la fonctionnalité DNSSEC a été expliquée comme ci-dessous,
"Un ordinateur client avec un résolveur de stub intégré définit le bit DNSSEC OK (DO) sur 1 dans les requêtes sortantes lorsqu'il souhaite utiliser DNSSEC pour vérifier l'authenticité des informations DNS. Lorsqu'un serveur DNS compatible DNSSEC reçoit une requête avec DO =1, il utilise des enregistrements RRSIG stockés localement ou reçus pour vérifier de manière cryptographique l'authenticité des informations DNS. Le résultat de la vérification est communiqué au résolveur de stub à l'aide du bit de données authentifiées (AD) dans la réponse DNS ; où AD=1 indique que les données DNS sont authentiques et AD=0 indique que la vérification DNSSEC a échoué ” – Crédits :CISCO
Quelle est la différence entre DNS et DNSSEC ?
Comme je l'ai dit plus tôt, DNSSEC est une extension de sécurité du DNS existant. Cela signifie que DNS peut vivre sans DNSSEC (bien sûr, avec peu de vulnérabilités), mais DNSSEC ne peut pas exister sans DNS.
Une autre différence principale est la taille des enregistrements. La taille des messages DNSSEC est supérieure à celle des messages DNS (sans DNSSEC activé). Parce que DNSSEC portera des drapeaux tels que DO, AD et d'autres drapeaux d'en-tête liés à DNSSEC.
Maintenant, vous savez ce qu'est DNSSEC et pourquoi il est important de l'activer sur votre DNS. Voyons comment déployer DNSSEC dans votre système DNS existant dans les prochains jours.
LIRE :Comment configurer DNSSEC sur Bind ?
LIRE :Comment identifier un domaine signé DNSSEC ou non ?