DNSSEC, abréviation de Domain Name System Security Extensions, est un ensemble de protocoles qui visent à sécuriser le système de noms de domaine (DNS) contre diverses menaces de sécurité telles que l’usurpation, l’empoisonnement du cache et l’écoute clandestine. DNSSEC est conçu pour protéger l’authenticité et l’intégrité des informations dans le DNS, en veillant à ce que les utilisateurs reçoivent les informations correctes de sources faisant autorité.
Comment fonctionne DNSSEC ?
DNSSEC fonctionne en ajoutant des signatures cryptographiques aux données DNS. Les signatures sont créées par un tiers de confiance, connu sous le nom de clé de signature de clé (KSK), et sont stockées dans l’enregistrement DNS avec les données d’origine. Lorsqu’un utilisateur envoie une requête DNS, le serveur compatible DNSSEC utilise les signatures pour vérifier l’authenticité des données et s’assurer qu’elles n’ont pas été altérées en transit. Si les données ne sont pas valides, le serveur rejettera la demande et l’utilisateur recevra un message d’erreur.
Comprendre DNSSEC peut être un peu compliqué et déroutant, mais je vais essayer de l’expliquer de manière simple en quelques étapes avec un domaine factice.
- L’ordinateur portable de l’utilisateur demande au serveur DNS récursif les adresses IP de domaine. (Il suit tous les processus standard DNS pour obtenir l’adresse IP du serveur DNS faisant autorité. Je n’entrerai pas dans le détail du fonctionnement du DNS ici. Au lieu de cela, je commencerai lorsque le serveur récursif obtiendra l’adresse IP finale du serveur DNS.)
- Le serveur DNS récursif se connecte au serveur DNS rideoncloud.com et obtient les adresses IP, l’enregistrement signé (RRSig) et la clé publique correspondante utilisée pour signer ces informations.
- Différentes validations sont effectuées. Cependant, n’importe qui peut signer les données des enregistrements de ressources DNS avec des paires de clés publiques et privées.
- Par conséquent, il y a une étape supplémentaire pour valider cette clé publique avec une chaîne de confiance qui imite la même arborescence de domaine utilisée pour résoudre les informations.
- Le serveur DNS récursif demande au TLD .com : « J’ai obtenu la clé publique du serveur DNS rideoncloud.com. La validez-vous ? »
- Le TLD .com revient et dit : « Oui, mes informations DS indiquent que la clé m’a été fournie par le fournisseur rideoncloud.com, et voici le hachage de cette clé. Je signe ces informations avec ma clé. »
- Ces informations sont ensuite utilisées pour interroger le serveur racine de la même manière et demander les informations .com.
- Les serveurs racine fournissent l’enregistrement DS et cette information signée fournit également sa clé publique.
- Le serveur récursif, étant configuré avec la clé publique racine comme clé de confiance, peut maintenant vérifier cette clé par rapport à sa configuration et transmettre les informations pour une résolution sécurisée.
Remarque : Le serveur récursif doit être configuré avec la clé publique de la racine, et il existe un mécanisme pour adapter automatiquement les modifications apportées sur le serveur racine Internet.
Pourquoi DNSSEC est-il important ?
Le DNS est le carnet d’adresses d’Internet, mappant les noms de domaine lisibles par l’homme aux adresses IP. Sans DNSSEC, les attaquants peuvent facilement rediriger les utilisateurs vers des sites Web malveillants, voler des informations sensibles ou propager des logiciels malveillants. En mettant en œuvre DNSSEC, les propriétaires de domaine et les utilisateurs peuvent être sûrs que les informations qu’ils reçoivent du DNS sont exactes et n’ont pas été falsifiées.
Comment implémenter DNSSEC
La mise en œuvre de DNSSEC nécessite la coordination de plusieurs entités différentes, notamment les propriétaires de domaine, les bureaux d’enregistrement et les opérateurs DNS. La première étape consiste à générer une clé de signature de clé (KSK) et une clé de signature de zone (ZSK). La KSK est utilisée pour signer la ZSK, qui est utilisée pour signer les données DNS. Les clés doivent être stockées de manière sécurisée et régulièrement mises à jour pour garantir la sécurité de la mise en œuvre de DNSSEC.
Une fois les clés en place, le propriétaire du domaine doit publier les enregistrements DNSSEC dans le DNS et configurer ses serveurs DNS pour utiliser DNSSEC. Ce processus implique la création et la publication d’enregistrements de ressources DNS (RR), tels que les enregistrements DNSKEY, RRSIG et DS, qui contiennent les informations nécessaires au processus de validation DNSSEC.
J’utilise AWS Route53 comme serveur DNS pour mon domaine, rideoncloud.com, et GoDaddy comme registraire.
- Je suppose que vous utilisez déjà AWS Route53 pour votre domaine. Mon domaine est rideonclouds.com ici.
- Pour activer DNSSEC sur Route53, il vous sera demandé de créer une clé de signature de clé (KSK) avec une clé principale client (CMK) gérée par le client.
Après avoir activé DNSSEC, cliquez sur Afficher les informations pour créer un enregistrement DS.- Vous aurez deux options : le registraire Route53 et un autre registraire de domaine. Puisque nous utilisons GoDaddy, nous devrons utiliser les informations fournies sous Un autre registraire de domaine. Ces informations devront être saisies dans GoDaddy dans les prochaines étapes.
Connectez-vous à votre compte GoDaddy. Veuillez noter que GoDaddy fournit également des services DNSSEC dans son plan DNS Premium, mais vous n’avez pas besoin d’acheter ce plan puisque nous utilisons DNSSEC sur AWS Route53.- Aller à Portefeuille de domaines -> Paramètres du domaine pour votre domaine et sélectionnez DNSSEC.
Créez un nouvel enregistrement DS avec les informations suivantes.
- Porte-clés: Balise de clé dans AWS
- Algorithme: Type d’algorithme de signature dans AWS
- Type de résumé: Type d’algorithme de résumé dans AWS
- Digérer: Résumé dans AWS
Testez votre domaine
- Exécutez la commande suivante (remplacez votre nom de domaine) dans la ligne de commande.
% dig rideonclouds.com dnskey +dnssecVous devriez obtenir la section de réponse de sortie suivante.
Vous recevrez deux DNSKEY (une pour ZSK et une autre pour KSK) et un enregistrement de ressource signé, confirmant que vos serveurs DNS utilisent DNSSEC avec succès.
- Vérifiez la chaîne de confiance avec votre TLD. Tout d’abord, obtenez le nom de votre serveur TLD à l’aide de la commande suivante.
- Assurez-vous d’obtenir l’enregistrement DS pour votre domaine auprès de TLD.
%dig rideonclouds.com DS @m.gtld-servers.net.Vous devriez obtenir la sortie suivante.
- La dernière étape consiste à vérifier vos ensembles d’enregistrements de ressources avec des signatures. J’ai créé un mannequin
Arecord pour mon domaine. Voici la commande pour vérifier le RRSIG.
%dig www.rideonclouds.com A +dnssec Vous devriez obtenir la sortie suivante pour votre enregistrement de ressource.
Alternativement, vous pouvez utiliser des outils gratuits en ligne pour valider votre DNSSEC.
Veuillez noter: La propagation DNS peut prendre de quelques minutes à 24 heures, en fonction de divers facteurs tels que l’emplacement géographique de l’utilisateur, le type d’enregistrement DNS mis à jour et la valeur TTL (durée de vie) définie pour l’enregistrement. Pendant ce temps, les informations DNS mises à jour peuvent ne pas être immédiatement disponibles pour tous les utilisateurs et systèmes.
Conclusion
DNSSEC est un outil important pour assurer la sécurité et la fiabilité du carnet d’adresses Internet. En ajoutant des signatures cryptographiques aux données DNS, DNSSEC aide à se protéger contre diverses menaces de sécurité, telles que l’usurpation d’identité, l’empoisonnement du cache et l’écoute clandestine. En mettant en œuvre DNSSEC, les propriétaires de domaine et les utilisateurs peuvent être sûrs que les informations qu’ils reçoivent du DNS sont exactes et n’ont pas été falsifiées.