S'inscrire aux newsletters

Article précédent

Annuaires LDAP - Aspects sécurité

| Réf : TE7553 v1

Extensions de sécurité DNS (DNSSEC)

Auteur(s) : Gilles GUETTE

Date de publication : 10 nov. 2006

Article suivant

{Encyclopedia}h3598

Cet article fait partie de l’offre Sécurité des systèmes d'information

L'accès à une base complète d'articles actualisée et mise à jour en permanence

En ce moment 77 articles

Des services
et outils pratiques

100 % web consultable
sur tous les supports numériques

VOIR L'OFFRE

Quitter la lecture facile

RÉSUMÉ

Le protocole DNS (Domain Name System) est utilisé pour effectuer la correspondance entre un nom de machine et son adresse IP. Or, les informations contenues dans le DNS sont publiques, les serveurs DNS ouverts à tous, et le DNS n’inclut aucun service de sécurité. Cet article commence tout d’abord par décrire le fonctionnement du protocole DNS, puis il en expose les faiblesses et les vulnérabilités. Sont présentées ensuite les extensions de sécurité DNSSEC qui, grâce à l’utilisation de la cryptographie à clé publique, fournit ainsi l’intégrité et l’authenticité des données DNS.

ABSTRACT

Auteur(s)

Gilles GUETTE : Docteur en informatique - Attaché temporaire d’enseignement et recherche, IRISA Campus de Beaulieu (Rennes)

INTRODUCTION

Lorsqu’une machine connectée à un réseau veut contacter une autre machine, l’un des premiers protocoles appelés est le DNS (Domain Name System). Le DNS est une base de données distribuée et hiérarchique utilisée le plus souvent pour effectuer la correspondance entre un nom de machine et son adresse IP. Les informations contenues dans le DNS sont publiques et les serveurs DNS sont accessibles par tout le monde. Dans sa conception originelle, le DNS n’inclut aucun service de sécurité tels que l’intégrité ou l’authentification, ce qui laisse ce protocole vulnérable . Pour pallier ces vulnérabilités, l’Internet Engineering Task Force (IETF) a standardisé les extensions de sécurité DNS (DNSSEC).

DNSSEC repose sur l’utilisation de la cryptographie à clé publique pour fournir l’intégrité et l’authenticité des données DNS. Chaque nœud de l’arbre DNS, appelé zone, possède au moins une paire de clés publique/privée utilisée pour générer les signatures numériques des informations de zone. L’unité de base de ces informations est l’enregistrement de ressource (RR). Chaque RR possède un type particulier qui indique le type des données qu’il contient. Par exemple, un enregistrement DNSKEY contient une clé publique de zone, un enregistrement RRSIG contient une signature et un enregistrement A contient une adresse IPv4.

Pour faire confiance à des données DNS, un résolveur (le client DNS) construit une chaîne de confiance en partant d’un point d’entrée sécurisé dans l’arbre DNS (c’est-à-dire d’une clé de confiance configurée statiquement dans le résolveur), jusqu’à l’enregistrement de ressource demandé. Un résolveur est capable de construire une chaîne de confiance s’il possède un point d’entrée sécurisé et s’il ne traverse que des zones sécurisées jusqu’à la ressource demandée.

Dans ce dossier, nous présentons, dans le § 1 , le fonctionnement du protocole DNS. Puis, dans le § 2 , nous décrivons quelques vulnérabilités de ce protocole qui ont amené la définition des extensions de sécurité DNS. Nous détaillons le protocole DNSSEC dans le § 3 .

Lire l’article en entier

Corps de l'article

BIBLIOGRAPHIE

(1) - MOCKAPETRIS (P.) - Domain Names – Concept and Facilities - . RFC 1034 (1987).
(2) - MOCKAPETRIS (P.) - Domain Names – Implementation and Specification - . RFC 1035 (1987).
(3) - ALBITZ (P.), LIU (C.) - DNS and BIND - . 4th edn. O’Reilly & Associates, Inc., Sebastopol, Californie (2002).
(4) - BELLOVIN (S.M.) - Using the Domain Name System for System Break-Ins - . In : Proceedings of the 5th Usenix UNIX Security Symposium 199-208 (1995).
(5) - SCHUBA (C.L.) - Addressing Weaknesses in the Domain Name System - . Master’s thesis, Purdue University, Department of Computer Sciences (1993).
(6) - ATKINS (D.), AUSTEIN (R.) - Threat Analysis of the Domain Name System - . RFC 3833 (2004).
...

Les avantages et services compris dans votre offre

accès

Accès illimité aux
articles en HTML

Enrichis et mis à jour pendant
toute la durée de la souscription

Téléchargement des articles
au format PDF

Pour un usage en toute liberté

Consultation sur tous
les supports numériques

Des contenus optimisés pour
ordinateurs, tablettes et mobiles

services et outils pratiques

Questions aux experts

Les meilleurs experts techniques
et scientifiques vous répondent

Articles découverte

La possibilité de consulter des
articles en dehors de votre offre

Dictionnaire technique multilingue

45 000 termes en français, anglais,
espagnol et allemand

Archives

Technologies anciennes et versions
antérieures des articles

Impression à la demande

Commandez les éditions papier
de vos ressources documentaires

Alertes actualisation

Recevez par email toutes les nouveautés
de vos ressources documentaires

détails de l'offre

	Licence annuelle monoposte	Licence pluriannuelle et/ou multiposte
Droit d'accès
Accès HTML aux articles	Illimité	Illimité
Téléchargement des versions pdf	5 / jour	> 5 / jour (2)
Consultation sur tous les supports	Oui	Oui
Les services
Questions aux experts (1)	4 / an	> 4 / an (2)
Articles découverte	5 / an	> 5 / an (2)
Dictionnaire technique multilingue	Oui	Oui
Archives	Oui	Oui
Impression à la demande	45 € / exemplaire	45 € / exemplaire
Infos mise à jour	Oui	Oui
	AJOUTER AU PANIER	DEMANDER UN DEVIS