Un fournisseur d’accès à Internet doit proposer des services à forte valeur ajoutée tout en limitant les coûts. Une façon d’augmenter la valeur de vos services est de vous assurer que vos clients accèdent aux sites Web voulus, en les protégeant contre l’hameçonnage ou en les empêchant d’aller sur des sites distribuant des logiciels malveillants.

Offrir cette protection à un coût relativement faible est possible grâce aux extensions de sécurité DNS, une norme Internet communément appelée « DNSSEC ». En déployant les résolveurs DNS de « validation DNSSEC » au sein de votre réseau, vous fournirez un niveau plus élevé de sécurité et de confiance à vos clients et empêcherez certains types d’attaques et de redirection. Vous permettrez également aux clients d’utiliser des services innovants désormais disponibles afin d’accroître la confiance et la protection de l’intégrité des certificats Web (SSL/TLS).

Le protocole DNSSEC vous garantit que les informations que vos utilisateurs récupèrent du DNS sont les mêmes que celles que l’opérateur du domaine a saisies dans le DNS. Il vérifie que ces informations n’ont pas été modifiées de sorte à diriger vos utilisateurs vers les sites prévus.

Le protocole DNSSEC a deux composantes : la signature d’enregistrements DNS pour un domaine et la validation de ces signatures cryptographiques par des serveurs de noms récursifs. Pour un FAI, le déploiement de résolveurs DNS de validation DNSSEC est l’élément le plus critique de l’adoption du DNSSEC. Ce document explique les points nécessaires à la prise en charge de la validation DNSSEC pour vos clients.

Le déploiement initial de la validation DNSSEC est généralement peu coûteux avec un investissement en matériel et logiciels relativement faible, et représente un engagement de temps modeste ; le déploiement est généralement réalisé en une semaine environ par des administrateurs système expérimentés, selon le nombre de serveurs de noms récursifs et d’utilisateurs finaux impliqués.

Matériel et logiciel

Les serveurs de noms récursifs constituent la partie la plus importante du déploiement de validation DNSSEC car ils mettent en cache et valident les réponses aux requêtes DNS envoyées par les utilisateurs finaux. Un matériel serveur standard récent est suffisamment puissant pour exploiter un serveur de noms récursif de validation DNSSEC. En outre, il est tout à fait possible de faire fonctionner un tel serveur de noms sur une machine virtuelle.

Votre choix de serveur de noms et de son millésime est important pour la réussite du déploiement DNSSEC. Les infrastructures DNS basées sur le serveur DNS BIND requièrent au moins la version 9.7 dont les fonctionnalités simplifient la gestion du DNSSEC. Toutes les versions d’Unbound prennent en charge la validation DNSSEC en mode natif bien que la version 1.4 et les versions ultérieures aient des caractéristiques qui simplifient la gestion DNSSEC.

Microsoft Windows Server 2012 propose désormais la prise en charge complète de DNSSEC, ce qui permet aux administrateurs de récupérer les ancres de confiance de la racine nécessaires via des instructions de ligne de commande. Un livre blanc du réseau de recherche néerlandais SURFnet explique ce processus ; vous pouvez télécharger le guide d’installation DNSSEC (PDF) ici.

Effets sur le réseau

Dans votre planification, vous devez savoir que le trafic DNSSEC a plusieurs effets sur le trafic réseau :

• Le protocole DNSSEC ajoute des signatures numériques aux paquets de réponse DNS, qui dépassent souvent 1500 octets. Alors que les longues réponses DNS sont également possibles sans DNSSEC, vous devez tenir compte des exigences de bande passante supplémentaire que DNSSEC place sur le réseau, et vous assurer que seuls les hôtes légitimes sont autorisés à interroger vos serveurs de noms récursifs.
• Habituellement, le DNS utilise le protocole UDP pour transmettre les requêtes et les réponses, mais si une réponse DNS dépasse la taille maximale autorisée des paquets, le protocole TCP peut être utilisé et même nécessaire pour la validation DNSSEC. Vérifiez auprès de votre fournisseur de pare-feu et administrateur système si votre réseau autorise les requêtes DNS sur TCP.
• Votre équipement réseau doit être en mesure de traiter de gros paquets UDP (> 512 octets, ≤ 4000 octets).

Liste de contrôle pour le pré-déploiement

Cette liste de contrôle peut vous aider à planifier votre déploiement :

• Logiciels prenant en charge le DNSSEC : BIND version 9.7+, Unbound version 1.4+, Microsoft Windows Server 2012, Knot DNS 1.4.0, PowerDNS 3.0+
• Systèmes serveurs suffisamment récents
• Infrastructure réseau pouvant gérer les exigences DNSSEC
• DNS sur TCP autorisé
• Gros paquets DNS UDP autorisés via le pare-feu
• Fragments UDP non bloqués par un pare-feu

Commencer votre déploiement

Après avoir installé vos serveurs de noms récursifs (ou si vous avez des serveurs de noms existants où vous voulez commencer la validation), il faut les configurer avec une « ancre de confiance » afin de valider les signatures DNSSEC. Vous pouvez obtenir l’ancre de confiance pour la racine du DNS à partir de sources telles que https://www.iana.org/dnssec. Vous pouvez vérifier la validité de l’ancre de confiance à partir de plusieurs sources indépendantes (p. ex. des serveurs racines multiples) et en comparant les fichiers.

Lorsque vous activez la validation DNSSEC sur votre serveur de noms récursif, vous pouvez voir les échecs de validation dans les fichiers journaux. Même si ces erreurs sont d’éventuels signes d’un empoisonnement du cache, elles peuvent aussi résulter d’erreurs opérationnelles (surtout les premiers jours du déploiement DNSSEC). Cela peut être simplement un échec de re-signature des enregistrements d’une zone par son propriétaire.

Les échecs de validation pour une zone signifieront que vos utilisateurs ne seront pas en mesure de se connecter à ce domaine. Lorsque des erreurs de ce type apparaissent, il est préférable d’informer les utilisateurs de la source du problème et de la façon dont ils étaient protégés contre l’utilisation d’informations potentiellement non sécurisées, plutôt que de désactiver la validation afin de fournir un accès continu au domaine « interrompu ». Les normes concernant la façon d’effectuer cette notification continuent d’évoluer, même si certaines organisations utilisaient un site Web dédié ou un canal de médias sociaux pour poster des notifications d’échecs de validation. Indépendamment du système que vous créez, il est important que vos clients et l’équipe d’assistance à la clientèle puissent facilement trouver l’information.

Certains FAI peuvent également installer une « ancre de confiance négative » temporaire pour les sites interrompus lors de la notification des opérateurs quant aux problèmes ou erreurs qui dégraderont probablement sévèrement l’expérience Internet de leurs utilisateurs. Un document (Internet Draft) expliquant ce processus est disponible.

Bien que les commentaires de personnes effectuant actuellement des opérations de validation des serveurs de noms récursifs démontrent que l’activation de la validation DNSSEC n’augmente pas nécessairement les appels pour assistance technique, il est toujours judicieux de former le personnel du service d’assistance au DNSSEC et éventuellement lui donner les outils (p. ex. un résolveur de non-validation) facilitant le débogage.

Conclusions

Avec la progression régulière de la mise en œuvre du protocole DNSSEC sur Internet, le déploiement de la validation de serveurs de noms récursifs est un élément essentiel de cette tendance. En déployant le protocole DNSSEC au sein de votre réseau, vous augmenterez la sécurité Internet de vos clients. Vous bénéficierez ainsi d’avantages significatifs à un coût minime, et nous vous encourageons à commencer ce processus dès aujourd’hui.