Sécurisation des serveurs DNS

Sans sécurité intrinsèque, les serveurs DNS (Domain Name System) dans de nombreuses organisations ont été compromis à plusieurs reprises pour permettre une multitude d’activités malveillantes, comme l’empoisonnement du cache, la redirection des appels téléphoniques, les attaques de type « homme du milieu » pour voler les mots de passe, rediriger des e-mails, perpétrer des attaques par déni de service, et bien plus encore.

Le protocole DNSSEC (Domain Name Systems Security Extensions) protège la hiérarchie du serveur DNS en appliquant une signature numérique sur les enregistrements DNS pour garantir que les messages reçus sont identiques à ceux envoyés.

La sécurité des serveurs DNS nécessite une sécurité des clés robuste.

Fondamentalement, DNSSEC met en place des infrastructures à clé publique (PKI) pour fournir une méthode de communication sécurisée entre les serveurs DNS.

En tant que PKI, DNSSEC nécessite des nouvelles procédures comme la génération, la signature et la gestion des clés.

Malgré tous les avantages potentiels de DNSSEC, les profits espérés ne sont pas garantis car les enregistrements des ressources introduits par DNSSEC sont conservés dans un fichier non chiffré.

Ce n’est que lorsque l’infrastructure DNSSEC est entièrement sécurisée que les organisations peuvent commencer à profiter pleinement des avantages potentiels.

Pour ce faire, elles ont besoin des fonctionnalités suivantes : Protection des signatures numériques.

Les messages DNS doivent avoir une signature numérique afin de garantir la validité des services DNS.

Contrôle des accès.

Les organisations doivent garantir que seuls les clients et le personnel en interne autorisés peuvent accéder aux applications et aux données sensibles.

Maintien de l’intégrité des applications.

L’intégralité du code d’application et des processus doit être protégée pour garantir l’intégrité et interdire l’exécution non autorisée des applications.

Évolutivité pour prendre en charge le traitement de grands volumes.

Comme les mises à jour DNS sont très fréquentes, les infrastructures DNSSEC doivent fournir la performance et l’évolutivité nécessaires pour garantir un traitement dans les délais à tout moment.

Sécurité des serveurs DNS avec des modules de sécurité matériels Pour garantir la validité des services DNS, DNSSEC emploie la cryptographie de clé publique pour appliquer une signature numérique aux messages DNS.

Pour atteindre le niveau de sécurité requis, il est primordial d’appliquer une protection robuste aux clés de signature privées.

Si les clés et les certificats numériques sont compromis, la chaîne de confiance dans la hiérarchie DNS est rompue, rendant l’intégralité du système obsolète.

C’est là que les modules matériels de sécurité (HSM) interviennent.

Les HSM sont des systèmes dédiés qui protègent de manière logique et physique les clés et le traitement cryptographiques qui sont au cœur des signatures numériques.

Les HSM prennent en charge les fonctionnalités suivantes : Gestion du cycle de vie, y compris la génération, la distribution, la rotation, le stockage, la suppression et l’archivage des clés.

Le traitement cryptographique, qui produit le double avantage d’isoler et de décharger le traitement des serveurs d’applications.

En stockant les clés cryptographiques dans un appareil centralisé et renforcé, les HSM peuvent éliminer les risques associés au stockage de ces ressources sur des plateformes disparates et peu sécurisées.

De plus, cette centralisation peut simplifier considérablement l’administration de la sécurité.

HSM de Thales pour DNSSEC : Prennent en charge les systèmes de confiance de l’architecture DNSSEC Sécurité des clés pour les paires de clés ZSK et KSK de la hiérarchie DNS racine et intégrale Le moteur cryptographique puissant décharge le fardeau cryptographique du serveur DNS La gamme étendue de HSM convient à plusieurs exigences DNSSEC API standard, y compris PKCS#11, Java, MS CAPI Modèles de validation FIPS et de certification à la norme des Critères communs disponibles S’intègre avec les plateformes DNS principales telles qu’OpenDNSSEC, BIND 9.7, FreeBSD

Cependant, ce protocole n'a été créé qu'avec un minimum de sécurité alors que l'atteinte en disponibilité ou intégrité des services DNS a généralement des conséquences majeures sur l'accès aux systèmes d'information.

Il couvre plusieurs sujets de sécurité propres au protocole (hidden masters, transferts de zone, DNSSEC…) et présente des recommandations pour la sécurisation des architectures de trois services DNS (résolution des noms de domaine internes, résolution des noms de domaine Internet et hébergement des noms de domaine Internet).