Publication : 8 mars 2024
Contributeurs : Tasmiha Khan, Michael Goodwin
Le protocole DNSSEC est une fonctionnalité du DNS (Domain Name System) qui utilise l’authentification cryptographique pour vérifier que les enregistrements DNS renvoyés dans une requête DNS proviennent d’un serveur de noms faisant autorité et qu’ils ne sont pas modifiés en cours de route.
En d’autres termes, le DNSSEC permet de s’assurer que les utilisateurs sont bien dirigés vers le site web qu’ils recherchent, et non vers un faux site. Bien qu’il ne garantisse pas la confidentialité des recherches (Transport Layer Security ou TLS est un protocole de sécurité conçu pour assurer la confidentialité sur Internet), il empêche les entités malveillantes d’insérer des réponses DNS qui ont été manipulées dans les requêtes DNS.
Le protocole DNSSEC (abréviation de Domain Name System Security Extensions) permet d’étendre le protocole DNS et de remédier aux vulnérabilités du DNS qui exposent le système à diverses cyberattaques, telles que l’usurpation d’identité, l’empoisonnement du cache DNS, les attaques de type « homme du milieu » et d’autres modifications non autorisées des données DNS. Le déploiement du DNSSEC permet de renforcer la protection du DNS contre ces risques potentiels, en fournissant une infrastructure Internet plus sécurisée et plus fiable. Lorsqu’un résolveur DNS demande des informations, les réponses à la recherche DNS sont validées par la vérification des signatures numériques, confirmant l’authenticité et l’intégrité des données reçues.
Les cybermenaces continuant d’évoluer, la demande en mesures de sécurité robustes, comme le protocole DNSSEC, est susceptible d’augmenter. Des organisations comme l’ICANN (Internet Corporation for Assigned Names and Numbers) promeuvent activement son adoption mondiale, ce qui indique une reconnaissance croissante de son rôle essentiel dans la sécurité DNS.
Le Guide de l'entreprise pour l'IA et l'automatisation informatique offre un aperçu approfondi de l'automatisation informatique alimentée par l'IA, y compris pourquoi et comment l'utiliser, les problèmes qui bloquent vos efforts et comment commencer.
Abonnez-vous à la newsletter IBM
Pour sécuriser le DNS, les extensions de sécurité DNS ajoutent des signatures cryptographiques aux enregistrements DNS existants. Ces signatures sont stockées dans des serveurs de noms DNS avec d’autres types d’enregistrements DNS, comme les enregistrements A (qui créent une connexion directe entre une adresse IPv4 et un nom de domaine), les enregistrements AAAA (qui connectent les noms de domaine aux adresses IPv6), les enregistrements MX (qui dirigent les e-mails vers un serveur de messagerie de domaine) et les enregistrements CNAME (qui mappent les alias à leurs véritables noms de domaine, ou noms de domaine « canoniques »).
Autres enregistrements et termes associés utiles pour comprendre le fonctionnement du protocole DNSSEC :
Les enregistrements DS permettent d’établir une chaîne de confiance sécurisée entre une zone parent et une zone enfant. Ils contiennent le hachage cryptographique d’un enregistrement DNSKEY.
Les enregistrements DNSKEY (également appelés clés DNSSEC) stockent les clés publiques associées à une zone DNS particulière. Ces clés permettent de vérifier les signatures numériques et de garantir l’authenticité et l’intégrité des données DNS au sein de cette zone.
Les enregistrements RRSIG contiennent une signature cryptographique associée à un ensemble d’enregistrements de ressources DNS.
Il s’agit de l’ensemble des enregistrements de ressources d’un type spécifique associé à un nom particulier dans le DNS. Par exemple, si vous avez deux adresses IP associées à « exemple.com », les enregistrements A de ces adresses seront regroupés pour former un RRset.
Cet enregistrement répertorie les types d’enregistrements qui existent pour un domaine et il est utilisé pour indiquer le déni d’existence authentifié d’un nom de domaine spécifique. Cela implique le renvoi de l’enregistrement « next secure ». Par exemple, si un résolveur récursif interroge un serveur de noms à la recherche d’un enregistrement qui n’existe pas, le serveur de noms renvoie un autre enregistrement, le « next secure record » défini sur le serveur, indiquant que l’enregistrement demandé n’existe pas.
Il s’agit d’une amélioration apportée aux enregistrements NSEC. Cet enregistrement améliore la sécurité, car il complique la tâche aux pirates souhaitant prédire ou deviner les noms des domaines existants dans une zone. Il fonctionne de manière similaire aux enregistrements NSEC, mais il utilise des noms d’enregistrements avec hachage cryptographique pour éviter de lister les noms dans une zone particulière.
Les paires de clés de signature de zone (une clé publique et une clé privée) sont des clés d’authentification utilisées pour signer et vérifier un RRset. Dans le DNSSEC, chaque zone possède une paire ZSK. La clé privée est utilisée pour créer des signatures numériques pour le RRSet. Ces signatures sont stockées sous forme d’enregistrements RRSIG sur le serveur de noms. La clé publique associée, stockée dans un enregistrement DNSKEY, vérifie les signatures, confirmant l’authenticité du RRset. Cependant, des mesures supplémentaires sont nécessaires pour valider la clé ZSK publique. Pour cela, une clé de signature de clé est utilisée.
Une clé de signature de clé est une autre paire de clés publiques/privées utilisée pour vérifier que la clé de signature de la zone publique n’est pas compromise.
Les extensions de sécurité DNS fournissent un cadre sécurisé par cryptographie conçu pour améliorer la sécurité et la fiabilité du DNS. Essentiellement, le DNSSEC utilise un système de paires de clés publiques et privées. Pour activer la validation DNSSEC, un administrateur de zone génère des signatures numériques (stockées sous forme d’enregistrements RRSIG) à l’aide de la clé de signature de zone privée et d’une clé publique correspondante, distribuée en tant qu’enregistrement DNSKEY. Une clé de signature de clé est utilisée pour signer et authentifier la clé ZSK, offrant une couche de sécurité supplémentaire.
Les résolveurs DNS, lorsqu’ils sont interrogés, récupèrent le RRset demandé et l’enregistrement RRSIG associé, qui contient la clé de signature de zone privée. Le résolveur demande ensuite l’enregistrement DNSKEY contenant la clé ZSK publique. Ensemble, ces trois actifs valident la réponse reçue par le résolveur. Cependant, l’authenticité de la clé ZSK publique doit encore être vérifiée. C’est là que les clés de signature de clé entrent en jeu.
La clé de signature de clé est utilisée pour signer la ZSK publique et créer un RRSIG pour l’enregistrement DNSKEY. Le serveur de noms publie une KSK publique dans un enregistrement DNSKEY, comme il l’a fait pour la ZSK publique. Cela crée un RRset contenant les deux enregistrements DNSKEY. Ils sont signés par la KSK privée et validés par la KSK publique. Cette authentification valide la ZSK publique (c’est-à-dire l’objectif de la KSK) et vérifie l’authenticité du RRset demandé.
Le DNSSEC fonctionne sur le principe de l’établissement d’une « chaîne de confiance » dans toute la hiérarchie du DNS, et la signature des données DNS à chaque niveau pour créer un chemin vérifiable qui garantit l’intégrité et l’authenticité des données. Chaque maillon de la chaîne est sécurisé par des signatures numériques, créant ainsi une ancre de confiance qui commence aux serveurs de la zone racine et s’étend aux serveurs de domaine de premier niveau (TLD) jusqu’aux serveurs DNS faisant autorité pour les domaines individuels.
Les enregistrements Delegation Signer (DS) sont utilisés pour permettre le transfert de confiance d’une zone parent vers une zone enfant. Lorsqu’un résolveur est redirigé vers une zone enfant, la zone parent fournit un enregistrement DS contenant un hachage de son enregistrement DNSKEY. Celui-ci est comparé au hachage de la KSK publique de la zone enfant. S’ils correspondent, l’authenticité de la KSK publique est établie, et le résolveur détermine que les enregistrements du sous-domaine (zone enfant) sont fiables. Ce processus fonctionne de zone en zone, établissant une chaîne de confiance.
Le DNSSEC et la sécurité DNS sont des concepts connexes dans le domaine de la sécurité Internet, chacun ayant un objectif et un périmètre distincts. Le protocole DNSSEC fait spécifiquement référence à un ensemble d’extensions DNS conçues pour renforcer la sécurité du système de noms de domaine. Son objectif principal est de garantir l’intégrité et l’authenticité des enregistrements DNS grâce à la cryptographie à clés privées et publiques.
La sécurité DNS est un terme plus vaste, qui désigne une approche complète visant à sécuriser l’ensemble de l’environnement DNS. Alors que le DNSSEC est un composant essentiel de la sécurité DNS, le champ d’application de la sécurité DNS s’étend au-delà de ses protocoles spécifiques. La sécurité DNS permet de répondre à un large éventail de menaces, notamment aux attaques par déni de service distribué (DDoS) et au vol de domaine, en proposant une stratégie globale de protection contre les activités malveillantes susceptibles de compromettre l’infrastructure DNS.
Le service IBM NS1 Connect Managed DNS fournit des connexions DNS résilientes, rapides et fiables pour éviter les pannes de réseau et permettre à votre entreprise de rester en ligne en permanence.
IBM Cloud DNS Services propose des services DNS public et DNS privé faisant autorité offrant un temps de réponse rapide, une redondance inégalée et une sécurité avancée, gérés via l’interface Web IBM Cloud ou par API.
Améliorez la résilience et la disponibilité des applications grâce à un réseau mondial et à des capacités avancées de direction du trafic DNS.
Le DNS permet aux utilisateurs de se connecter à des sites web en utilisant des URL plutôt que des adresses IP (Internet Protocol) numériques.
Les serveurs DNS traduisent les noms de domaine des sites que les utilisateurs recherchent dans les navigateurs web en adresses IP numériques. Ce processus est connu sous le nom de résolution DNS.
Un enregistrement DNS (Domain Name System) est un ensemble d’instructions utilisées pour connecter les noms de domaine aux adresses IP (Internet Protocol) au sein des serveurs DNS.
Découvrez le fonctionnement des réseaux informatiques, l’architecture utilisée pour concevoir des réseaux et la façon de les sécuriser.
La sécurité réseau est le domaine de la cybersécurité qui se concentre sur la protection des réseaux et des systèmes informatiques contre les cybermenaces et les cyberattaques internes et externes.
La sécurité des bases de données fait référence à la gamme d’outils, de contrôles et de mesures conçus pour établir et préserver la confidentialité, l’intégrité et la disponibilité des bases de données.