Sécurisation du DNS avec DNSSEC

Rubriques: Technologies

Tout le monde, que ce soit au travail ou à la maison, utilise le protocole DNS dans la vie de tous les jours. Ce protocole est fondamental dans le fonctionnement du réseau Internet. Pourtant, ce service, aussi critique soit-il, reste aujourd’hui l'un des plus vulnérables. De nombreuses failles ont été révélées au siècle dernier et sont toujours d’actualité.

En 2009, une attaque de type injection SQL a permis à des hackers de modifier le TLD (Top Level Domain) de Puerto Rico, redirigeant ainsi de manière transparente les utilisateurs de sites web puerto ricains des domaines Google, Yahoo ou Microsoft vers de faux sites (défacement). La même année, une des plus grandes banques du Brésil a subi une attaque d’envergure permettant de rediriger les clients vers des sites web frauduleux (identiques aux originaux) afin de voler leurs mots de passes et tenter d’installer des malwares sur les postes utilisateurs.

Il devient donc difficile de vérifier l’authenticité d’un site web non protégé par le protocole SSL. De nos jours, des attaques de type APT (Advanced Persistent Threat) sont de plus en plus courantes et il n’est plus rare qu’une entreprise se fasse voler la paire de clés privée/publique et le certificat SSL d’un site web. Le contrôle d’authenticité SSL montre alors ses limites. Il devient donc primordial de sécuriser les infrastructures DNS globalement, mais aussi localement. La corruption de zone ainsi que la technique de « Cache Poisoning » permettent d’altérer le fonctionnement du service et de corrompre le système d’information, démontrant ainsi la faiblesse du DNS. Comme bon nombre d’attaques pouvant engendrer des conséquences graves et irréversibles pour l’économie, elles sont d’autant plus faciles à réaliser.

Cependant, les aspects et enjeux sécuritaires étant de plus en plus présents dans le monde informatique, une extension a vu le jour en 1995, DNSSEC (DNS Security Extension). Cette dernière vise à réduire les risques de sécurité en ajoutant de l’authentification et du contrôle d’intégrité des données contenues dans les réponses DNS. Malgré plus de dix ans d’existence, ce protocole n’est réellement adopté que depuis quelques années. Aujourd’hui, parmi les domaines ayant déployé DNSSEC, nous pouvons compter les domaines « .ch » et « .net ».

DNSSEC repose sur la signature de zones DNS en utilisant le principe des clés de chiffrement asymétrique. Une chaine de confiance (Chain of Trust) peut alors s’établir entre les différentes zones en utilisant de nouveaux records DNS : DNSKEY et DS (Delegation Signer).

Depuis l’avènement d’Internet, le service DNS a été la cible de nombreuses attaques ayant eu parfois des conséquences désastreuses. Il est important de garder à l’esprit qu’une attaque sur une infrastructure DNS n’est que très rarement la finalité du hacker, mais plutôt annonciatrice d’attaques furtives et sournoises ciblées sur des applications publiques. DNSSEC peut être mis en œuvre afin de limiter fortement les dégâts. Plusieurs solutions sur le marché intègrent le DNSSEC afin de garantir la sécurité du service de noms de façon optimale. Notre partenaire F5, fournit une solution sur mesure offrant ainsi de la disponibilité, les performances maximales et de la sécurité au protocole DNS tout en garantissant rapidité et simplicité de mise en œuvre dans une infrastructure existante.

Sites web recommandés :
http://www.dnssec.net/
http://www.f5.com/solutions/security/dnssec/