Comment protéger votre domaine des actions frauduleuses avec une extension de sécurité DNS.
Avant de parler de DNSSEC, faisons une petite introduction sur le fonctionnement des serveurs DNS (Domain Name System).
Les DNS sont comme un véritable annuaire téléphonique qui attribue des noms de domaine à des adresses spécifiques.
Le système de noms de domaine (DNS) a une structure hiérarchique. Les serveurs de noms pour «.ch» transmettent automatiquement les demandes de noms de domaine avec l’extension .ch (par ex. switch.ch) à la bonne adresse. Source: nic.ch
Les extensions de sécurité du système de noms de domaine (DNSSEC) sont une signature cryptographique qui est ajoutée aux enregistrements DNS pour protéger les données transmises sur les réseaux IP (Internet Protocol). Le DNSSEC existe parce que les architectes fondateurs du DNS n'ont inclus aucune mesure de sécurité de protocole. Cette "surveillance" a permis aux pirates de créer des opportunités pour falsifier des enregistrements et diriger les utilisateurs vers des sites Web frauduleux.
Le protocole DNSSEC a ensuite été introduit pour ajouter un niveau d'authenticité et d'intégrité aux réponses DNS.
Présentation générale de DNS et DNSSEC
Le DNSSEC fonctionne en ajoutant des signatures cryptographiques aux enregistrements DNS existants pour établir un DNS sécurisé. Les signatures sont stockées dans des serveurs de noms DNS avec des types d'enregistrement courants, tels que AAAA et MX.
Ensuite, en vérifiant que la signature correspond à un enregistrement DNS requis, vous pouvez vérifier que l'enregistrement provient directement de son serveur de noms faisant autorité. Cela signifie que l'enregistrement n'a jamais été empoisonné ou falsifié lors de son transit numérique, empêchant ainsi l'introduction de faux enregistrements.
Le protocole DNSSEC (Domain Name System Security Extensions) est donc utilisé pour renforcer la sécurité du protocole DNS puisque, comme mentionné plus haut, le protocole DNS n'est pas sécurisé par défaut.
En résumé, un serveur qui propose l'option DNSSEC pour ses zones DNS et ses enregistrements permet :
- vérifier l'intégrité de chaque enregistrement
- validation que l'enregistrement provient du serveur DNS faisant autorité pour l'enregistrement (authenticité)
- valide que le serveur DNS est approuvé par le domaine supérieur dans la hiérarchie DNS (chaîne de confiance).
Lire aussi « Le DNSSEC. Qu'est-ce que c'est et pourquoi l'utiliser ?
DNSSEC s'ajoute au processus de récursivité standard utilisé lors de la résolution. Utilisez le chemin inverse, de l'enregistrement jusqu'à la zone racine pendant le processus de validation, comme indiqué dans l'image ci-dessous.
Le DNSSEC aide à prévenir de nombreux types d'attaques DNS telles que l'empoisonnement du cache DNS et l'usurpation DNS.
Le DNSSEC ne protège pas l'intégralité du serveur, il protège uniquement les données échangées entre les zones signées. Pour mémoire, le DNSSEC ne fournit pas de confidentialité et de sécurité.
Le DNSSEC protège les informations DNS échangées entre les serveurs de noms configurés DNSSEC en fournissant une authentification d'origine.
Le DNSSEC assure la protection des données d'une zone signée à l'autre, que la réponse à la requête aboutisse ou non.
En d'autres termes, c'est comme un messager qui livre et renvoie un colis en toute sécurité, sans que personne ne l'intercepte et ne puisse modifier son contenu ou l'altérer de quelque manière que ce soit.
Le protocole DNSSEC est basé sur la cryptographie à clé publique, les certificats et les signatures numériques. L'image globale des composants et des enregistrements est présentée dans le schéma de l'image 1.
Le processus de certification est principalement basé sur la signature numérique. Chaque enregistrement est complété par sa version de hachage signée qui peut être utilisée par le client ou le serveur DNS récursif pour vérifier l'enregistrement.
Les clés publiques sont publiées dans des enregistrements pour permettre au demandeur de valider les signatures en utilisant le principe de la signature numérique : une clé privée utilisée pour produire une signature qui peut être validée à l'aide d'une clé publique.
Regroupement des enregistrements DNS dans RRSet
L'intégration de DNSSEC à votre domaine commence par le regroupement des enregistrements DNS par nom et type d'enregistrement dans des ensembles d'enregistrements de ressources (RRSets). Le DNS lui-même est divisé en zones DNS. Une zone fait partie de l'espace de noms DNS global qui est supervisé par l'organisation propriétaire du DNS global ou un administrateur réseau. Cette zone permet une maintenance approfondie des composants DNS, tels que les serveurs de noms faisant autorité.
Chaque zone DNS possède un ensemble de clés publiques et privées appelée clé de signature de zone (ZSK) qui est utilisée pour signer les enregistrements contenus dans la zone. La signature résultante est publiée en tant qu'enregistrement RRSIG dans le fichier de zone lui-même. Par exemple, si le nom d'hôte "www.attivadnssec.fr" comprend à la fois un enregistrement A et un enregistrement AAAA, le fichier de zone publiera un enregistrement RRSIG correspondant pour chaque version IP.
Cet enregistrement est publié pour que le client valide l'intégrité du contenu de la réponse. Le contenu de l'enregistrement RRSIG est une signature de hachage de l'enregistrement.
La partie privée de la clé est protégée par le propriétaire de la zone.
La partie publique est publiée sous forme d'enregistrement (DNSKEY ZSK – id xxx).
En isolant les zones DNS les unes des autres, les zones adjacentes sont protégées au cas où une zone serait infectée par un attaquant.
Intégrité des enregistrements DNS
Le DNSSEC vérifie l'intégrité des enregistrements collectés dans les réponses DNS. Après avoir reçu une réponse DNS suite à une demande d'enregistrement, le client peut valider l'intégrité de cet enregistrement. Vous pouvez valider l'intégrité des enregistrements fournis par un cache ou une réponse faisant autorité.
Le contrôle d'intégrité est basé sur la cryptographie via des signatures : un hachage de l'enregistrement signé avec la clé privée peut être vérifié avec la clé publique, l'enregistrement et la signature. La signature est appliquée à un hachage de l'enregistrement, permettant de signer sur n'importe quel type d'enregistrement de n'importe quelle longueur.
Le processus de vérification garantit que le dossier a été signé avec le ZSK dans la région.
- Acquérir l'enregistrement A à l'aide de la requête DNS, calculer le hachage
- A l'aide de la requête DNS (DNSKEY ZSK) il obtient la clé publique de la clé de signature de la zone
- Capturer la signature d'enregistrement à l'aide d'une requête DNS (RRSIG A)
- Vérifier la signature à l'aide de la clé publique, du hachage et de la signature
Signatures d'enregistrement de ressource RRSIG
Un enregistrement RRSIG contient une signature DNSSEC numérique d'un RRSet (jeu d'enregistrements de ressources). Ces signatures numériques sont utilisées pour authentifier toutes les données situées dans des RRSets signés. Les résolveurs peuvent vérifier la signature avec une clé publique stockée dans un enregistrement DNSKEY.
Ces RRSets pour les noms de domaine détenus et les types d'enregistrement sont stockés dans une zone DNS signée. Lorsqu'un serveur de noms de domaine utilise la clé privée d'une paire ZSK pour signer des RRSet dans une zone donnée, un enregistrement RRSIG est utilisé pour stocker les signatures numériques de chaque RRSet. Ainsi, une zone signée contient un enregistrement RRSIG pour chaque RRSet.
Authenticité des enregistrements DNS
le DNSSEC garantit que les demandes des clients reçoivent une réponse de la bonne zone. Pour être sûr que la clé utilisée pour signer l'enregistrement est valide et associée à la zone légitime, nous utilisons le processus de vérification suivant :
- Obtention de la clé de signature de zone publique de la zone à l'aide d'une requête DNS (DNSKEY KSK)
- Signature de l'enregistrement de la clé publique de la clé de signature de zone à l'aide de DNS (RRSIG DNSKEY ZSK)
- Vérifier la signature de la ZSK avec la clé publique de la KSK
- À partir de la clé publique KSK, il construit le hachage qui crée l'enregistrement DS
- Obtient l'enregistrement DS de la zone la plus élevée à l'aide de DNS
- Comparez le DS contenu dans la zone la plus haute et le hachage.
Chaîne de confiance
Pour garantir que la signature de l'enregistrement DNS est entièrement valide, nous pouvons itérer la validation via l'enregistrement DS jusqu'aux serveurs racine DNS.
Étant donné que tous les domaines sont liés entre eux dans la hiérarchie DNS, la KSK de chaque domaine est répertoriée dans l'enregistrement DS du domaine dans la zone la plus élevée. Le domaine racine ne peut pas être validé avec le même principe puisque la clé DS n'est pas stockée dans un autre domaine. Le contenu des clés d'ancrage racine doit être collecté via un autre canal.
Dois-je activer le DNSSEC sur mon domaine ?
DNSSEC aide à protéger votre domaine contre l'empoisonnement du cache et la falsification des réponses. C'est un ajout essentiel à votre domaine, car le climat numérique actuel exige que l'architecture d'un propriétaire de site Web soit sécurisée du début à la fin, et une attaque DNS réussie peut gravement nuire à la réputation d'une marque.
La résolution DNS se produit avant qu'un utilisateur n'interagisse avec une application de site Web. Si le DNS est intercepté par un attaquant, un utilisateur essayant de visiter un site Web peut s'interfacer avec un faux site (destiné à tromper l'utilisateur) au lieu du site prévu. L'architecture de mise en cache du protocole rend difficile la réparation rapide des enregistrements empoisonnés.
Par conséquent, même si un site Web est renforcé par des pare-feu puissants, les données et la technologie d'un utilisateur final seront menacées si l'architecture DNS d'un site n'est pas suffisamment sécurisée à l'aide de le DNSSEC.
Risques liés à l'activation de DNSSEC
Alors que Le DNSSEC est un protocole pour augmenter la sécurité du réseau, il peut introduire des vulnérabilités critiques.
Le DNSSSEC protège uniquement contre les attaques DNS et non contre d'autres types d'attaques telles que de DDoS (déni de service distribué).
Le DNSSEC augmente le nombre de réponses aux requêtes DNS, car la technologie nécessite des champs supplémentaires et des informations cryptographiques pour vérifier avec succès les enregistrements. Cela signifie qu'un grand volume de réponses peut générer un plus grand nombre d'attaques malveillantes contre une zone qu'elles ne le pourraient si le DNSSEC n'était pas activé. La question de la sécurité est toujours délicate, il y a toujours une nouvelle façon de générer des attaques et une nouvelle façon de se défendre.
Les professionnels de l'industrie travaillent chaque jour pour développer de meilleures architectures plus sûres, des systèmes de sécurité plus avancés, en phase avec la vitesse à laquelle les épisodes malveillants se produisent aujourd'hui.
Le DNSSEC est inclus gratuitement dans le domaine amen.fr
Enregistrez un domaine avec amen.fr et vous aurez inclus le protocole le DNSSEC sur une multitude de TLD
Enregistrez votre nom dès maintenant en choisissant votre extension préférée, gérez le DNSSEC d'un simple clic et protégez votre domaine des actions frauduleuses.
