Outils pour utilisateurs
reseau:dns:dnspresentation
Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
reseau:dns:dnspresentation [2023/10/04 21:51] techer.charles_educ-valadon-limoges.fr |
reseau:dns:dnspresentation [2023/10/04 22:03] (Version actuelle) techer.charles_educ-valadon-limoges.fr [Retour Bloc 2] |
||
|---|---|---|---|
| Ligne 187: | Ligne 187: | ||
| ===== Schéma de résolution de nom par un hôte ===== | ===== Schéma de résolution de nom par un hôte ===== | ||
| - | + | * Article Wikipédia concernant DNS (https:// | |
| - | Légende | + | |
| - | 1. Le client souhaite se connecter à l’aide de son navigateur au serveur web se nommant fr.wikipédia.org. Il a besoin de connaître à quelle adresse IP est associé ce nom de domaine. Pour cela, il va demander quelle est l’adresse IP correspondante au nom de domaine fr.wikipédia.org au serveur DNS récursif défini dans ses paramètres réseaux. | + | ==== La résolution et le domaine |
| - | 2. Le serveur DNS récursif ne dispose pas de la réponse, il sollicite ainsi le serveur racine le plus proche afin d’obtenir la correspondance. | + | |
| - | 3. Le serveur racine a.root-servers.net ne dispose pas de l’information demandée, par contre il sait quels sont les serveurs faisant autorité sur le domaine de premier niveau .org. Il demande donc au serveur récursif de solliciter l’un de ces serveurs afin d’obtenir la réponse attendue. | + | |
| - | 4. Le serveur récursif sollicite ensuite le serveur faisant autorité sur .org le plus proche a0.org.afilias-nst.info. | + | |
| - | 5. Le serveur a0.org.afilias-nst.info n’a pas le réponse attendue et propose donc au serveur récursif de solliciter les serveurs faisant autorité sur le sous-domaine wikipedia.org. | + | |
| - | 6. Le serveur récursif envoie une requête auprès du serveur faisant autorité sur wikipedia.org ici ns0.wikimedia.org afin d’obtenir une réponse. | + | |
| - | 7. Le serveur faisant autorité sur la zone wikipedia.org dispose d’un fichier de zone contenant l’enregistrement (RR) correspondant à la demande initiale. Il est donc en mesure de fournir l’information au serveur récursif : fr.wikpedia.org correspond à l’adresse IP 91.198.174.232. | + | |
| - | 8. Le serveur récursif stocke cette réponse dans son cache et la conservera pendant toute la durée du TTL de l’enregistrement définie au préalable sur le serveur disposant du fichier de zone. Puis transfère la réponse au client. | + | |
| - | 9. Le client, s’il dispose d’un cache, peut également stocker l’information. Il est dorénavant en mesure de pouvoir envoyer sa requête http vers le serveur web 91.198.174.232 correspondant au nom de domaine fr.wikipédia.org. | + | |
| - | Source : Article Wikipédia concernant DNS (https:// | + | |
| - | 6. La résolution et le domaine | + | |
| Dans la plupart des recherches DNS (Domain Name System), les clients effectuent une recherche directe, à savoir une recherche basée sur le nom DNS d’un autre ordinateur stocké dans un enregistrement de ressource hôte (A). Ce type de requête attend une adresse IP comme données de ressource pour la réponse.DNS propose également un processus de recherche inversée, dans lequel les clients utilisent une adresse IP connue et recherchent un nom d’ordinateur sur la base de cette adresse. | Dans la plupart des recherches DNS (Domain Name System), les clients effectuent une recherche directe, à savoir une recherche basée sur le nom DNS d’un autre ordinateur stocké dans un enregistrement de ressource hôte (A). Ce type de requête attend une adresse IP comme données de ressource pour la réponse.DNS propose également un processus de recherche inversée, dans lequel les clients utilisent une adresse IP connue et recherchent un nom d’ordinateur sur la base de cette adresse. | ||
| + | |||
| Une recherche inversée assume la forme d’une question du type «Pouvez-vous me donner le nom DNS de l’ordinateur qui utilise l’adresse IP 192.168.1.20 ?». DNS n’a pas été conçu initialement pour prendre en charge ce type de requête. L’un des problèmes liés à la prise en charge du processus de requête inversée est la différence dans la façon dont l’espace de noms DNS organise et indexe les noms et la façon dont les adresses IP sont affectées. Si la seule méthode permettant de répondre à la question précédente consiste à rechercher dans tous les domaines de l’espace de noms DNS, une requête inversée prendrait trop longtemps et exigerait trop de traitement pour être réellement utile. | Une recherche inversée assume la forme d’une question du type «Pouvez-vous me donner le nom DNS de l’ordinateur qui utilise l’adresse IP 192.168.1.20 ?». DNS n’a pas été conçu initialement pour prendre en charge ce type de requête. L’un des problèmes liés à la prise en charge du processus de requête inversée est la différence dans la façon dont l’espace de noms DNS organise et indexe les noms et la façon dont les adresses IP sont affectées. Si la seule méthode permettant de répondre à la question précédente consiste à rechercher dans tous les domaines de l’espace de noms DNS, une requête inversée prendrait trop longtemps et exigerait trop de traitement pour être réellement utile. | ||
| + | |||
| Pour résoudre ce problème, un domaine spécial, le domaine in-addr.arpa, | Pour résoudre ce problème, un domaine spécial, le domaine in-addr.arpa, | ||
| + | |||
| La déclaration inverse est importante sur les adresses IP publiques Internet puisque l' | La déclaration inverse est importante sur les adresses IP publiques Internet puisque l' | ||
| - | Sources | + | |
| - | + | * Source | |
| - | Source | + | |
| - | 7. Sûreté et sécurité du système DNS | + | ==== Sûreté et sécurité du système DNS ==== |
| La création de DNS date de 1983. C’est donc un protocole assez ancien. À l’époque la notion de sécurité n’était pas forcément primordiale et l’accent était mis davantage sur l’efficacité du protocole. Ainsi, il a été défini que le port d’écoute des serveurs DNS serait le port 53/UDP. Pour certaines tâches spécifiques, | La création de DNS date de 1983. C’est donc un protocole assez ancien. À l’époque la notion de sécurité n’était pas forcément primordiale et l’accent était mis davantage sur l’efficacité du protocole. Ainsi, il a été défini que le port d’écoute des serveurs DNS serait le port 53/UDP. Pour certaines tâches spécifiques, | ||
| L’émergence d’une vraie réflexion concernant la sécurité de ce protocole est apparue assez tardivement. Les attaques les plus communes concernant DNS sont les suivantes : | L’émergence d’une vraie réflexion concernant la sécurité de ce protocole est apparue assez tardivement. Les attaques les plus communes concernant DNS sont les suivantes : | ||
| - | · Le cybersquatting est une attaque qui consiste à déposer un nom de domaine en portant volontairement atteinte aux droits d’un tiers pour lui nuire ou en retirer profit. | + | * Le **cybersquatting** est une attaque qui consiste à déposer un nom de domaine en portant volontairement atteinte aux droits d’un tiers pour lui nuire ou en retirer profit. |
| - | · Le détournement d’un nom de domaine consiste à pirater le compte lié à un domaine sur le site d’administration du bureau d’enregistrement afin de modifier les serveurs DNS faisant autorité sur cette zone. Ainsi toutes les requêtes concernant le domaine seront redirigées vers les serveurs des attaquants. | + | |
| - | · L’empoisonnement vise à intoxiquer le résolveur pour qu’il considère que le serveur « pirate » est légitime, en lieu et place du serveur originel. Cette opération permet notamment de capter et de détourner les requêtes vers un autre site web sans que les utilisateurs puissent s’en rendre compte. | + | * **L’empoisonnement** vise à intoxiquer le résolveur pour qu’il considère que le serveur « pirate » est légitime, en lieu et place du serveur originel. Cette opération permet notamment de capter et de détourner les requêtes vers un autre site web sans que les utilisateurs puissent s’en rendre compte. |
| - | · Le déni de service et le déni de service distribué ont pour objectif de rendre l’accès à un service impossible ou très pénible. La différence entre les 2 attaques résident au niveau de l’attaquant. Un DoS implique une seule source quand le DDoS implique des sources multiples (des réseaux de machines zombies nommés BotNet). | + | * **Le déni de service et le déni de service distribué** ont pour objectif de rendre l’accès à un service impossible ou très pénible. La différence entre les 2 attaques résident au niveau de l’attaquant. Un DoS implique une seule source quand le DDoS implique des sources multiples (des réseaux de machines zombies nommés BotNet). |
| - | · Attaque par réflexion des milliers de requêtes sont envoyées par l’attaquant au nom de la victime. Lorsque les destinataires répondent, toutes les réponses convergent vers l’émetteur officiel, dont les infrastructures se trouvent affectées. | + | * **Attaque par réflexion** des milliers de requêtes sont envoyées par l’attaquant au nom de la victime. Lorsque les destinataires répondent, toutes les réponses convergent vers l’émetteur officiel, dont les infrastructures se trouvent affectées. |
| + | |||
| + | ==== Bonnes pratiques ==== | ||
| Voici les bonnes pratiques et les mécanismes de sécurité qui permettent d’avoir une ligne directrice afin de garantir un niveau de sécurité correcte de ce service qui s’avère souvent critique. | Voici les bonnes pratiques et les mécanismes de sécurité qui permettent d’avoir une ligne directrice afin de garantir un niveau de sécurité correcte de ce service qui s’avère souvent critique. | ||
| - | · Assurer la meilleure redondance possible, de manière à ce qu’un serveur affecté par une attaque puisse être remplacé en toute transparence par d’autres serveurs disposant des mêmes informations mais situés sur d’autres réseaux. Il est donc recommandé d’avoir au minimum deux serveurs DNS répartis dans des zones géographiques distinctes. La capacité du service DNS à résister à une panne puis à revenir à son état nominal se nomme la résilience. | + | * Assurer la meilleure redondance possible, de manière à ce qu’un serveur affecté par une attaque puisse être remplacé en toute transparence par d’autres serveurs disposant des mêmes informations mais situés sur d’autres réseaux. Il est donc recommandé d’avoir au minimum deux serveurs DNS répartis dans des zones géographiques distinctes. La capacité du service DNS à résister à une panne puis à revenir à son état nominal se nomme la résilience. |
| - | · Veiller à utiliser des versions à jour des logiciels DNS, notamment de BIND, corrigées par les « patchs » appropriés, | + | |
| - | · Assurer une surveillance régulière de ces serveurs à l’aide d’un outil de supervision et de leur configuration avec des programmes comme zonemaster (https:// | + | |
| - | · Envisager un plan de continuité d’activité, | + | |
| - | · Déployer DNSSec, protocole de sécurisation du DNS par l’authentification des serveurs et la signature cryptographique des enregistrements, | + | |
| - | · Déployer DoT, protocole qui permet de chiffrer les échanges à l’aide du protocole TLS entre un client et un serveur DNS récursif. | + | |
| - | · Déployer le mécanisme d’authentification TSIG entre les serveurs maîtres et esclaves, mécanisme permettant d’éviter qu’une machine illégitime puisse récupérer des informations sensibles depuis le serveur maître. | + | |
| + | |||
| + | * source : DNS : types d’attaque et techniques de sécurisation publié par l’AFNIC (https:// | ||
| + | |||
| + | ==== Retour Configurer le service DNS ==== | ||
| + | * [[: | ||
| - | Source : DNS : types d’attaque et techniques de sécurisation publié par l’AFNIC (https:// | ||
reseau/dns/dnspresentation.1696449102.txt.gz · Dernière modification: 2023/10/04 21:51 de techer.charles_educ-valadon-limoges.fr
Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Noncommercial-Share Alike 4.0 International
