Solutions DNS avancées : DNSSEC

 

DNSSEC : SafeBrands 100% compatible

DNSSECLe protocole DNS (Domain Name System) joue un rôle clé pour tous les usages internet qui utilisent des noms de domaine dans les identifiants (email, web, VoIP, services web, filtrage de spam, etc). Comme l’un des fondements de l’internet, le protocole DNS joue un rôle clé en veillant à ce que nous puissions trouver ce que nous cherchons sur internet. Le protocole DNS traduit ou résout (on parle de résolution DNS) un nom de domaine en une adresse IP utilisée par les équipements de réseau pour acheminer le trafic et les données sur les ordinateurs, les serveurs et autres matériels.

Il a été conçu à l’origine en 1983 avec comme objectifs essentiels la résistance et l’évolutivité des réseaux informatiques, face à la croissance des réseaux en nombre de serveurs, rendant ingérable l’échange du fameux fichier « hosts ». Cette norme DNS d’origine, encore utilisée actuellement, ne comprend pas de volet sécurité puissant, élément devenu aujourd’hui un point essentiel dans le monde informatique. La conception du standard « Domain Name System Security Extensions », connu sous le nom DNSSEC et extension du protocole DNS, permet de traiter les lacunes de sécurité et les vulnérabilités du système DNS, tels que le « cache poisoning » ou les attaques « man in the middle ». On notera en revanche que DNSSEC ne sera ni utile ni efficace contre la modification de données sur les serveurs autoritaires (DNSSEC s’assure au contraire que les résolveurs ont bien récupéré ces données d’un serveur autoritaire de confiance, et que les données sont intègres).

DNSSEC protège les DNS en validant l’authenticité et l’intégrité du système de messagerie DNS.

Il vérifie de bout en bout que les signatures d’authentification sont valides et qu’elles ont été faites avec les clés des serveurs légitimes (clés elles-mêmes signées). Ce système crée une chaîne de confiance à toutes les étapes de la résolution des noms de domaine. Si les signatures ne correspondent pas, DNSSEC sera en mesure de notifier de l’inadéquation et d’empêcher la résolution de se faire, évitant ainsi que l’aiguillage du nom de domaine se fasse sur des mauvais serveurs, et assurant ainsi que l’information renvoyée est authentique.

 

Cette vérification se fait en deux volets :

1/ Est-ce que j’ai bien récupéré l’information au bon endroit ?

2/ Est-ce que je suis sûr que l’information me parvenant n’a pas été modifiée en cours de route ?

 

La racine de DNSSEC a été signée par VeriSign et préparée pour la validation en Juillet 2010. Depuis, le registre du .ORG et plusieurs registres de ccTLDs ont implémenté ce protocole dans leurs propres zones. Certains avaient commencé avant (le .SE par exemple), mais la signature de la racine a permis de compléter la chaine de confiance de bout en bout.

La sécurité de nos réseaux et des noms de domaine de nos clients est évidemment au centre des préoccupations de SafeBrands. Nous sommes pleinement engagés à soutenir la norme de sécurité DNSSEC et proposons évidemment ce service à nos clients. Le fonctionnement de DNSSEC est transparent pour l’utilisateur final et présente aujourd’hui un élément essentiel pour le développement d’un internet plus sûr et fiable à travers le monde.