Le protocole de sécurité DNS prend de l'ampleur

Les technologues prônant une meilleure sécurité pour le système de noms de domaine (DNS) ont souvent prédit que la technologie serait déployée dans les deux à cinq prochaines années. Le fait que ces prédictions durent depuis une décennie et demie est devenu une blague dans l'industrie.





Les avocats peuvent enfin avoir leur temps. Lundi, la société qui gère les registres .com et .net, VeriSign , annoncera sa stratégie pour tester et déployer progressivement la sécurité DNS (DNSSEC) d'ici le premier trimestre 2011 pour les deux domaines de premier niveau. le Internet Corporation pour les noms et numéros attribués (ICANN) – l'organisation qui coordonne les propriétaires d'infrastructure Internet – a déjà annoncé qu'elle lancera le processus en créant la clé de niveau supérieur pour vérifier les noms de domaine le 1er décembre.

Les deux étapes fondamentales donnent à DNSSEC un coup de pouce bien nécessaire, déclare Joe Waldron, directeur de la gestion des produits pour VeriSign.

Je pense que nous sommes à un point d'inflexion, dit-il. D'ici 12 à 18 mois, vous constaterez une adoption importante par les registres, les bureaux d'enregistrement, les fournisseurs de services Internet et les détenteurs de noms de domaine.



Le système de noms de domaine est une fondation sur laquelle l'Internet est construit. Les serveurs DNS traduisent des noms de domaine faciles à comprendre, tels que technologyreview.com, en adresses Internet numériques utilisées par les ordinateurs et les périphériques réseau pour communiquer entre eux. DNSSEC ajoute des données aux enregistrements de domaine, en insérant des informations cryptographiques qui peuvent être utilisées pour vérifier qu'une adresse est une destination valide pour un domaine.

Pourtant, étant donné que DNSSEC nécessite des modifications des serveurs et des logiciels qui gèrent les composants fondamentaux d'Internet, les entreprises et les organisations ont résisté à son adoption.

Par exemple, à la fin des années 90, les attaques par empoisonnement du cache étaient très préoccupantes, a déclaré Dan Kaminsky, directeur des tests de pénétration pour IOActif , une société de services de sécurité basée à Seattle. Beaucoup de gens ont dit que nous devions faire quelque chose, mais nous n'avons rien fait.



De plus, la gestion des clés cryptographiques nécessaires à la validation des entrées dans le système des noms de domaine est compliquée. La clé de chaque domaine doit être validée, ou signée, par une autre clé plus haut dans la chaîne de confiance. Les domaines point-com seront validés par la clé que VeriSign déploie. Cela sera à son tour validé par la clé de signature de clé DNS. L'ICANN, avec le département américain du Commerce et VeriSign, gérera la clé principale.

Kaminsky a probablement donné une impulsion au mouvement vers DNSSEC. En 2008, un bogue sérieux découvert par le chercheur a incité l'industrie à travailler ensemble pour déployer une solution de contournement pour améliorer la sécurité DNS. La vulnérabilité a permis à un attaquant d'usurper des entrées DNS afin qu'une personne surfant sur Internet puisse croire, par exemple, qu'elle se rendait à sa banque, mais en réalité, elle donnait son nom d'utilisateur et son mot de passe à des voleurs de données. L'industrie s'est regroupée pour déployer des correctifs ; cependant, il s'agissait d'un palliatif, pas d'une vraie solution.

Alors que d'autres méthodes de sécurisation du système de noms de domaine ont été proposées, aucune n'a reçu l'attention et les tests que DNSSEC a eus. Kaminsky croyait en la nécessité du DNSSEC. En 2009, il est devenu un évangéliste, parlant à tous ceux qui voudraient l'écouter pour tenter d'accélérer l'adoption de DNSSEC.



Kaminsky a fait comprendre aux gens qu'il y avait beaucoup de failles dans le DNS auxquelles ils n'avaient pas pensé auparavant, déclare Keith Mitchell, directeur de l'ingénierie pour Internet Systems Consortium, une organisation à but non lucratif qui développe le logiciel DNS le plus populaire, connu sous le nom de Berkeley Internet. Nommez Daemon ou BIND. Et DNSSEC est à peu près le seul jeu en ville pour résoudre ces problèmes.

Avec la création de la clé de signature de clé le 1er décembre, l'ICANN établira la fondation de l'infrastructure DNSSEC. Les mainteneurs des domaines de premier niveau pourront signer d'autres domaines dont ils sont responsables. La création de la clé principale simplifie la gestion des serveurs DNS sécurisés et établit le début d'une hiérarchie de confiance.

C'est une pièce critique du puzzle qui manque depuis un certain temps maintenant, dit Mitchell. Jusqu'à présent, il n'y avait pas de banquier de confiance à la racine, ce qui a été un problème.



VeriSign n'est pas le premier à déployer DNSSEC dans un domaine de premier niveau. La Suède a mis en œuvre la technologie de sécurité en signant la clé de zone .se en 2005. Plus tôt cette année, le Registre d'intérêt public a signé la clé de zone pour .org.

VeriSign prévoit de ralentir le déploiement de DNSSEC, en commençant par de petits projets pilotes, en aidant les bureaux d'enregistrement et les FAI à tester leurs implémentations, et en passant rapidement à des implémentations plus ambitieuses, a déclaré la société. La clé, cependant, est de ne casser aucune application sur Internet, explique Waldron.

Nous voulons nous assurer que les bureaux d'enregistrement font ce qu'ils doivent faire pour mettre le service à la disposition de leurs clients, dit-il. Presque tous les composants de l'infrastructure Internet sont impactés par le déploiement de DNSSEC. Donc, vous ne voulez pas précipiter cela. Minimiser les incidents est une priorité.

cacher