Traduction

frendeitptes

Recherche glossaire

Rechercher dans les définitions (terme ou expression)
Commence par Contient Terme exactSe prononce comme

« La chose la plus difficile à comprendre au monde c’est l’impôt sur le revenu !  »

Etoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactives
 

LE D.D.N.S. sécurisé

La conception du service DNS n’étant pas sécurisé, différentes failles ont étés découvertes :

  • Interception des paquets : L’une des principales faille permet d’intercepté les paquets transmis par le serveur DNS
  • Fabrication d'une réponse : Une autre faille de sécurité permet de fabriquer de faux paquets DNS, sous entendu que l'on peut donner une mauvaise adresse au client. De ce fait une personne pensant aller sur le site de sa banque se verra redirigé vers un site dangereux. Cet exemple montre un problème de sécurité au niveau de l’authentification.
  • Empoisonnement du cache DNS :Cette faille permet à un poste malveillant de contaminer le serveur DNS. Une fois que le serveur DNS est contaminé, les réponses aux clients seront définit par le poste malveillant.
  • Attaque par déni de service via DNS : En utilisant la faille précédente, une personne mal intentionnée empoisonne un serveur DNS d’un FAI , cette personne peut profiter de ce serveur pour diriger tous les clients de ce serveur sur un serveur web qui tombera sous la charge du nombre important de connexion.

Un service DNS sécurisé avec DNSSEC

Pour garantir l’authenticité etl’intégrité du service DNS, une extension lui a été créée : DNSSEC.
Cette extension permet de garantir au client que la réponse vient bien du serveur DNS enregistrer et que celle-ci n’a pas été modifiée pendant le transport.
L’extension du protocole DNS a été créée avec une contrainte importante : être compatible avec le protocole DNS.

Le D.D.N.S. sécurisé fournit donc le renforcement de la sécurité de ce protocole en fournissant:

  • l'autorité d'origine
  • L'intégrité des données
  • le déni d'existence authentifié

Le fonctionnement de DNSSEC

A l’aide de DNSSEC,l’enregistrement DNS dans l’annuaire est sécurisé. Les enregistrements sont signés à l’aide d’un système cryptographique asymétrique (clé privée, clé publique). Ce qui permet de protéger le DNS en fournissant les services suivants :

  • sécurisation des transactions DNS ;
  • sécurisation des informations contenues dans les messages DNS
  • stockage et distribution des clefs nécessaires au bon fonctionnement des deux premiers services cités ci-dessus.

La clé privée (ZSK : ZoneSigning Key) est utilisé par le DNS pour signé les enregistrements de la zone(qui sont des délégations administrative du DNS).

Les parties publiques(KSK : Key Signing Key) des clefs sont stockées dans le fichier de zone à l’aide d’enregistrements KEY. Elles pourront donc être récupérées par le biais de requêtes DNS classiques et utilisées pour la vérification des signatures.

Le service DNSSEC offre également la possibilité de déléguer des signatures : ainsi un registre appartenant à un domaine de 1er niveau (.com) peut annoncer qu'un sous domaine(surinfo.com) est signé. Ainsi, une chaine de confiance ("chain of trust") peut être établie depuis la racine du DNS.

L'interaction avec le D.H.C.P.

Le service D.H.C.P. est chargé de certaines inscriptions dans le D.D.N.S., ce dernier s'est vu enrichir de certaines améliorations. L'activation de la "protection des noms" dans le D.H.C.P. apporte les améliorations suivantes:

  • Le serveur D.H.C.P. honore les demandes d'inscription d'enregistrements A et PTR pour les clients D.H.C.P. Windows.
  • Le serveur D.H.C.P.met dynamiquement à jour les enregistrements A et PTR pour les clients D.H.C.P. non Windows
  • Le serveur D.H.C.P. supprime les enregistrements A et PTR quand le bail est supprimé.

Pré requis

Il est obligatoire que les postes et serveurs possèdent un certificat de type "ordinateurs".

Procédure

Faites un clic droit sur la zone concerné - DNSSEC - Signer la zone

DDNS-securise-0001

L'assistant se lance

DDNS-securise-0012

Sélectionnez "Personnalisez..."

DDNS-securise-0018

Possibilité de définir le maître des clés

DDNS-securise-0019

L'assistant des clés KSK se lance.

Les parties publiques(KSK : Key Signing Key) sont des clefs sont stockées dans le fichier de zone à l’aide d’enregistrements KEY. Elles pourront donc être récupérées par le biais de requêtes DNS classiques et utilisées pour la vérification des signatures.

DDNS-securise-0020

Ajout d'une clé KSK

DDNS-securise-0021

Prenez le temps de voir les différents paramètres

DDNS-securise-0022

DDNS-securise-0023

DDNS-securise-0024

Création de la Clé ZSK. La clé privée (ZSK : ZoneSigning Key) est utilisé par le DNS pour signé les enregistrements de la zone(qui sont des délégations administrative du DNS).

DDNS-securise-0002

Lisez les paramètres...

DDNS-securise-0003

DDNS-securise-0004

DDNS-securise-0005

DDNS-securise-0006

 

Signature de la zone à l'aide de la clé ZSK

DDNS-securise-0008

DDNS-securise-0007

DDNS-securise-0008

DDNS-securise-0009

 

Création de la GPO

Editez la stratégie "Default Domain Policy" - configuration ordinateur - stratégies - paramètres Windows

Faites un clic droit sur "Stratégie de résolution de noms"

DDNS-securise-0010

Dans le champ en face de "suffixe", renseignez le nom de la zone et vérifiez les cases sélectionnées dans l'image soient bien sélectionnées, puis cliqué sur "Créer".

DDNS-securise-0011

La règle apparaît tout en bas

DDNS-securise-0013

Paramétrage du D.H.C.P.

Dans la console D.H.C.P., faites un clic droit sur IPv4 - propriétés

DDNS-securise-0014

Dans l'onglet DNS, dans la zone "Protection des noms", cliquez sur configurer

DDNS-securise-0015

Cochez la case "Activer la protection des noms"

DDNS-securise-0016

Validez

DDNS-securise-0017

Validez

Vous devez être authentifié pour pouvoir laisser des commentaires...