Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les extensions de sécurité du DNS (DNSSEC, Domain Name System Security Extensions) représentent une suite d’extensions qui renforcent la sécurité du protocole DNS en permettant la validation des réponses DNS. DNSSEC fournit l’autorité d’origine, l’intégrité des données et le déni d’existence authentifié. Avec DNSSEC, le protocole DNS est beaucoup moins vulnérable à certains types d’attaques, notamment aux tentatives d’usurpation DNS.
Fonctionnement de DNSSEC
Les zones DNS peuvent être sécurisées avec DNSSEC grâce à un processus appelé signature de zone lorsqu’il est utilisé avec un serveur DNS faisant autorité qui prend en charge DNSSEC. Signer une zone avec DNSSEC ajoute la prise en charge de la validation à une zone sans modifier le mécanisme de base d’une requête DNS et de sa réponse.
La validation des réponses DNS repose sur les signatures numériques incluses avec les réponses DNS. Ces signatures numériques sont contenues dans les enregistrements de ressources liés à DNSSEC qui sont générés et ajoutés à la zone durant la signature de zone.
Les extensions DNSSEC de base sont spécifiées dans les documents RFC (Request For Comments) suivants.
- RFC 4033: Introduction et exigences pour la sécurité du DNS
- RFC 4034: Enregistrements de ressource pour les extensions de sécurité DNS
- RFC 4035: Modifications du protocole pour les extensions de sécurité DNS
La figure suivante montre un exemple d’enregistrements de ressource DNS pour la zone contoso.com avant et après la signature de zone.
Pour plus d’informations sur chacun de ces enregistrements de ressources, consultez Enregistrements de ressources DNSSEC.
Enregistrements de ressources DNS
Le tableau suivant présente les types d’enregistrements de ressources utilisés avec DNSSEC.
Type d’enregistrement de ressource | Description |
---|---|
Signature d’enregistrement de ressource (RRSIG) | Les signatures qui sont générées avec DNSSEC sont contenues dans des enregistrements RRSIG. Chaque enregistrement RRSIG est mis en correspondance avec un autre enregistrement dans la zone pour laquelle il fournit une signature numérique. Lorsqu’un solveur émet une requête pour un nom, un ou plusieurs enregistrements RRSIG sont retournés dans la réponse. |
Next Secure (NSEC) | Un enregistrement NSEC est utilisé pour prouver la non-existence d’un nom DNS. Les enregistrements NSEC empêchent les attaques par usurpation d’identité qui visent à tromper un client DNS en lui faisant croire qu’un nom DNS n’existe pas. |
Next Secure 3 (NSEC3) | NSEC3 est un remplacement ou une alternative à NSEC qui empêche l’énumération de zone. L’énumération de zone est le processus qui consiste à répéter des requêtes NSEC afin de récupérer tous les noms d’une zone. Un serveur DNS exécutant Windows Server 2012 ou un système d’exploitation ultérieur prend en charge NSEC et NSEC3. Une zone peut être signée soit avec NSEC, soit avec NSEC3, mais pas avec les deux. |
Paramètre Next Secure 3 (NSEC3PARAM) | L’enregistrement NSEC3PARAM permet de déterminer quels enregistrements NSEC3 inclure dans les réponses pour les noms DNS non existants. |
Clé DNS (DNSKEY) | Un enregistrement de ressource DNSKEY stocke une clé de chiffrement publique qui sert à vérifier une signature. L’enregistrement DNSKEY est utilisé par un serveur DNS pendant le processus de validation. Les enregistrements DNSKEY peuvent stocker les clés publiques pour une clé de signature de zone (ZSK) ou une clé de signature de clé (KSK). |
Delegation Signer (DS) | Un enregistrement DS est un type d’enregistrement DNSSEC qui sert à sécuriser une délégation. Les enregistrements DS permettent de générer des chaînes d’authentification vers les zones enfants. |
À l’exception de l’enregistrement DS, tous ces enregistrements sont ajoutés à une zone automatiquement lorsqu’elle est signée avec DNSSEC. L’enregistrement DS est un enregistrement spécifique qui peut être ajouté manuellement à une zone parente pour créer une délégation sécurisée pour une zone enfant. Par exemple, la zone contoso.com peut contenir un enregistrement DS pour secure.contoso.com. Cependant, cet enregistrement doit être créé soit dans la zone parente, soit dans une zone enfant pour être ensuite propagée dans la zone parente. L’enregistrement DS n’est pas être automatiquement créé à la signature d’une zone.
Les enregistrements NSEC ou NSEC3 sont automatiquement ajoutés à une zone lors de la signature de zone. Toutefois, une zone signée ne peut pas avoir à la fois des enregistrements NSEC et des enregistrements NSEC3. Le type d’enregistrement (NSEC ou NSEC3) ajouté à la zone dépend de la configuration de la signature de zone. Dans l’exemple précédent, la zone est signée à l’aide de NSEC3.
Ancres d’approbation
Les enregistrements de ressource DNSKEY et de domaine Active Directory sont également appelés ancres d’approbation ou points d’approbation. Une ancre d’approbation doit être distribuée à tous les serveurs DNS ne faisant pas autorité qui assurent la validation DNSSEC des réponses DNS pour une zone signée. Si le serveur DNS s’exécute sur un contrôleur de domaine, les ancres d’approbation sont stockées dans une partition d’annuaire de forêt dans les services de domaine Active Directory (AD DS). Elles peuvent être répliquées dans tous les contrôleurs de domaine de la forêt. Sur des serveurs DNS autonomes, les ancres d’approbation sont stockées dans un fichier appelé TrustAnchors.dns
.
Utilisez Windows PowerShell pour afficher les ancres d’approbation d’une zone à l’aide de la commande Get-DnsServerTrustAnchor. Pour afficher tous les points d’approbation actifs d’un serveur, utilisez l’applet de commande Get-DnsServerTrustPoint. Un serveur DNS exécutant Windows Server 2012 ou un système d’exploitation plus récent affiche également des ancres d’approbation configurées dans l’arborescence de la console du Gestionnaire DNS dans le conteneur Points d’approbation.
Étapes suivantes
Pour en savoir plus sur la façon dont DNSSEC utilise les enregistrements de ressources pour valider et sécuriser les réponses DNS, consultez Valider les réponses DNS.