LE D.D.N.S. sécurisé

La conception du service DNS n’étant pas sécurisé, différentes failles ont étés découvertes :

• Interception des paquets : L’une des principales faille permet d’intercepté les paquets transmis par le serveur DNS

• Fabrication d'une réponse : Une autre faille de sécurité permet de fabriquer de faux paquets DNS, sous entendu que l'on peut donner une mauvaise adresse au client. De ce fait une personne pensant aller sur le site de sa banque se verra redirigé vers un site dangereux. Cet exemple montre un problème de sécurité au niveau de l’authentification.

• Empoisonnement du cache DNS :Cette faille permet à un poste malveillant de contaminer le serveur DNS. Une fois que le serveur DNS est contaminé, les réponses aux clients seront définit par le poste malveillant.

• Attaque par déni de service via DNS : En utilisant la faille précédente, une personne mal intentionnée empoisonne un serveur DNS d’un FAI , cette personne peut profiter de ce serveur pour diriger tous les clients de ce serveur sur un serveur web qui tombera sous la charge du nombre important de connexion.

Un service DNS sécurisé avec DNSSEC

Pour garantir l’authenticité etl’intégrité du service DNS, une extension lui a été créée : DNSSEC.
Cette extension permet de garantir au client que la réponse vient bien du serveur DNS enregistrer et que celle-ci n’a pas été modifiée pendant le transport.
L’extension du protocole DNS a été créée avec une contrainte importante : être compatible avec le protocole DNS.

Le D.D.N.S. sécurisé fournit donc le renforcement de la sécurité de ce protocole en fournissant:

• l'autorité d'origine
• L'intégrité des données
• le déni d'existence authentifié

Le fonctionnement de DNSSEC

A l’aide de DNSSEC,l’enregistrement DNS dans l’annuaire est sécurisé. Les enregistrements sont signés à l’aide d’un système cryptographique asymétrique (clé privée, clé publique). Ce qui permet de protéger le DNS en fournissant les services suivants :

• sécurisation des transactions DNS ;
• sécurisation des informations contenues dans les messages DNS
• stockage et distribution des clefs nécessaires au bon fonctionnement des deux premiers services cités ci-dessus.

La clé privée (ZSK : ZoneSigning Key) est utilisé par le DNS pour signé les enregistrements de la zone(qui sont des délégations administrative du DNS).

Les parties publiques(KSK : Key Signing Key) des clefs sont stockées dans le fichier de zone à l’aide d’enregistrements KEY. Elles pourront donc être récupérées par le biais de requêtes DNS classiques et utilisées pour la vérification des signatures.

Le service DNSSEC offre également la possibilité de déléguer des signatures : ainsi un registre appartenant à un domaine de 1er niveau (.com) peut annoncer qu'un sous domaine(surinfo.com) est signé. Ainsi, une chaine de confiance ("chain of trust") peut être établie depuis la racine du DNS.

L'interaction avec le D.H.C.P.

Le service D.H.C.P. est chargé de certaines inscriptions dans le D.D.N.S., ce dernier s'est vu enrichir de certaines améliorations. L'activation de la "protection des noms" dans le D.H.C.P. apporte les améliorations suivantes:

• Le serveur D.H.C.P. honore les demandes d'inscription d'enregistrements A et PTR pour les clients D.H.C.P. Windows.
• Le serveur D.H.C.P.met dynamiquement à jour les enregistrements A et PTR pour les clients D.H.C.P. non Windows
• Le serveur D.H.C.P. supprime les enregistrements A et PTR quand le bail est supprimé.

Pré requis

Il est obligatoire que les postes et serveurs possèdent un certificat de type "ordinateurs".

Procédure

Faites un clic droit sur la zone concerné - DNSSEC - Signer la zone

L'assistant se lance

Sélectionnez "Personnalisez..."

Possibilité de définir le maître des clés

L'assistant des clés KSK se lance.

Les parties publiques(KSK : Key Signing Key) sont des clefs sont stockées dans le fichier de zone à l’aide d’enregistrements KEY. Elles pourront donc être récupérées par le biais de requêtes DNS classiques et utilisées pour la vérification des signatures.

Ajout d'une clé KSK

Prenez le temps de voir les différents paramètres

Création de la Clé ZSK. La clé privée (ZSK : ZoneSigning Key) est utilisé par le DNS pour signé les enregistrements de la zone(qui sont des délégations administrative du DNS).

Lisez les paramètres...

Signature de la zone à l'aide de la clé ZSK

Création de la GPO

Editez la stratégie "Default Domain Policy" - configuration ordinateur - stratégies - paramètres Windows

Faites un clic droit sur "Stratégie de résolution de noms"

Dans le champ en face de "suffixe", renseignez le nom de la zone et vérifiez les cases sélectionnées dans l'image soient bien sélectionnées, puis cliqué sur "Créer".

La règle apparaît tout en bas

Paramétrage du D.H.C.P.

Dans la console D.H.C.P., faites un clic droit sur IPv4 - propriétés

Dans l'onglet DNS, dans la zone "Protection des noms", cliquez sur configurer

Cochez la case "Activer la protection des noms"

Validez

Validez