Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Nom de noms

Nom de noms
2009-10-022013-02-11sécurité des réseauxfr
Si vous êtes un lecteur assidu de ce blog... Non, je reformule, si vous êtes LE lecteur assidu de ce blog, vous n'êtes pas sans savoir que le protocole clef de voute, DNS (Domain Name System) de l'Internet comporte quelques failles. Le DNS poisoning cela vous dit quelque chose ?...
Publié le 2 Octobre 2009 par Philippe Maltere dans sécurité des réseaux
Si vous êtes un lecteur assidu de ce blog... Non, je reformule, si vous êtes LE lecteur assidu de ce blog, vous n'êtes pas sans savoir que le protocole clef de voute, DNS (Domain Name System) de l'Internet comporte quelques failles. Le DNS poisoning cela vous dit quelque chose ? Naturellement, ce problème vous empêche de dormir depuis un bon moment car vous n'avez pas attendu Dan  Kaminsky pour savoir que ce protocole n'avait pas était fait dans un réel souci de sécurité. Comment vous ne savez pas qu'une solution existe ?Et même depuis un bon moment, son nom DNSSEC (DNS Security Extensions). Mais pourquoi me direz vous cette solution n'est elle pas généralisée et que DNS fait encore peser une épée de Damoclès sur tout Internet ? Ben, je dirais que c'est un peu le même problème qu'avec IPv6, tant qu'une grosse partie de la communauté n'en est pas équipé, l'intérêt est moindre, jusqu'à... Comme son nom l'indique DNSSEC est un ensemble d'extensions qui permettent d'authentifier l'origine des données DNS, et leur intégrité. Ces mécanismes changent le protocole DNS en y ajoutant 4 nouvelles ressources pour pouvoir gérer les clés d'une pki (décrit en détail dans la rfc 4034, et deux flags supplémentaires pour les entêtes.

Par contre DNSSEC ne protège pas contre les attaques par denis de services, ni n'apporte de la confidentialité aux échanges. Tant que l'implémentation de DNS SEC n'est pas de 100%, il faudra « jouer » avec les deux, et c'est là bien sûr que la bas blesse. Les applications doivent aussi être compatibles avec ce protocole pour pouvoir déterminer les réponses authentifiées ou non, les zones signées, les serveurs signés (bind, et tous les browsers devraient s'adapter comme pour le ssl). N'accepter que les requêtes DNSSEC va considérablement réduire votre Internet... Mais les choses bougent ... lentement sur ce sujet. Les domaines edu et gov doivent être à 100% DNSSEC avant la fin de l'année, la Suède suit le même chemin. Allons nous vers la fin de l'épée de Damoclès du web ?

La réponse dans les prochaines années (ou plus vite, si une attaque massive a lieu).

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage