Nous utilisons des cookies pour améliorer votre expérience. En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies.


Politique de confidentialité

Sécurité du système de noms de domaine (DNS)

 

Sécurité du système de noms de domaine (DNS)

Un attaquant peut utiliser l'empoisonnement du cache DNS pour mener une attaque sur l'utilisateur cible. Les extensions de sécurité des systèmes de noms de domaine (DNSSEC) sont une norme Internet qui permet de déjouer de telles attaques.

Vulnérabilité du DNS standard

Dans un schéma DNS standard, chaque fois que l'utilisateur souhaite se connecter à un nom de domaine, son ordinateur contacte le serveur DNS et recherche l'adresse IP associée à ce nom de domaine. Une fois l'adresse IP obtenue, l'ordinateur se connecte alors à cette adresse IP.

Dans ce schéma, il n'y a aucun processus de vérification impliqué du tout. Un ordinateur demande à son serveur DNS l'adresse associée à un site Web, le serveur DNS répond avec une adresse IP et votre ordinateur l'accepte sans aucun doute comme réponse légitime et se connecte à ce site Web.

DNSSEC

La résolution DNS, lorsqu'elle est effectuée à l'aide de DNSSEC, implique la signature des réponses par l'entité répondante. DNSSEC est basé sur la cryptographie à clé publique.

Dans la norme DNSSEC, chaque zone DNS possède une paire de clés publique/privée. Toutes les informations envoyées par un serveur DNS sont signées avec la clé privée de la zone d'origine pour garantir l'authenticité. Les clients DNS doivent connaître les clés publiques de la zone pour vérifier les signatures. Les clients peuvent être préconfigurés avec les clés publiques de tous les domaines de premier niveau, ou DNS racine.

Avec DNSSEC, le processus de résolution se déroule comme suit :

  •  Lorsque votre ordinateur demande à la zone racine où il peut trouver .com, la réponse est signée par le serveur de la zone racine.
  •  L'ordinateur vérifie la clé de signature de la zone racine et confirme qu'il s'agit de la zone racine légitime avec de vraies informations.
  •  Dans la réponse, la zone racine fournit les informations sur la clé de signature du serveur de la zone .com et son emplacement, permettant à l'ordinateur de contacter le répertoire .com et de s'assurer qu'il est légitime.
  •  L'annuaire .com fournit alors la clé de signature et les informations pour developpement-informatique.com, lui permettant de contacter google.com et de vérifier que vous êtes bien connecté au véritable tutorialspoint.com, comme le confirment les zones situées au-dessus.
  •  Les informations envoyées se présentent sous la forme d'ensembles d'enregistrements de ressources (RRSets).
  •  L'enregistrement KEY est une clé publique de « développement-informatique.com ».
  •  L'enregistrement SIG est le hachage signé du serveur .com de niveau supérieur des enregistrements NS, A et KEY pour vérifier leur authenticité. Sa valeur est \(Kcom_{pvt}(H(NS,A,KEY))\).

Ainsi, on considère que lorsque DNSSEC est complètement déployé, l'ordinateur de l'utilisateur est en mesure de confirmer que les réponses DNS sont légitimes et vraies, et d'éviter les attaques DNS lancées via l'empoisonnement du cache DNS.

Partager ce cours avec tes amis :
Rédigé par ESSADDOUKI Mostafa
ESSADDOUKI
The education of the 21st century opens up opportunities to not merely teach, but to coach, mentor, nurture and inspire.