Nouveautés du système de noms de domaine 2008
Vendredi, 03 Juillet 2009 14:39
Quelles sont les principales modifications apportées ?
Les clients et serveurs DNS de Windows Server® 2008 R2 intègrent la prise en charge des extensions de sécurité DNS (DNSSEC). Le serveur DNS de Windows Server 2008 R2 permet désormais de signer et héberger des zones de signature DNSSEC afin de sécuriser votre infrastructure DNS.
Les modifications suivantes ont été apportées au serveur DNS de Windows Server 2008 R2 :
- Capacité à signer une zone et à héberger des zones signées
- Prise en charge des modifications du protocole DNSSEC
- Prise en charge des enregistrements de ressources DNSKEY, RRSIG, NSEC et DS
Les modifications suivantes ont été apportées au client DNS de Windows Server 2008 R2 :
- Capacité à indiquer une connaissance des extensions DNSSEC dans les requêtes
- Capacité à traiter les enregistrements de ressources DNSKEY, RRSIG, NSEC et DS
- Capacité à vérifier si le serveur DNS avec lequel il a communiqué a effectué la validation au nom du client
Le comportement du client DNS par rapport aux extensions DNSSEC est contrôlé par le biais de la table de stratégie de résolution des noms, qui stocke des paramètres définissant le comportement du client DNS. Cette table est généralement gérée à l’aide de la stratégie de groupe.
Quel est le rôle des extensions DNSSEC ?
La suite d’extensions DNSSEC accroît la sécurité du protocole DNS. Les principales extensions DNSSEC sont spécifiées dans les documents RFC 4033, 4034 et 4035 et ajoutent des fonctionnalités d’autorité d’origine, d’intégrité des données et de déni d’existence authentifié à DNS. Outre plusieurs nouveaux concepts et opérations pour le serveur DNS et le client DNS, la suite DNSSEC introduit quatre nouveaux enregistrements de ressources (DNSKEY, RRSIG, NSEC et DS) dans DNS.
En bref, la suite DNSSEC permet à une zone DNS et à tous les enregistrements de cette zone d’être signés sous forme chiffrée. Lorsqu’un serveur DNS hébergeant une zone signée reçoit une requête, il renvoie les signatures numériques en plus des enregistrements faisant l’objet de la requête. Un programme de résolution ou un autre serveur peut obtenir la clé publique de la paire de clés publique/privée et confirmer que les réponses sont authentiques et n’ont pas été falsifiées. Pour ce faire, le programme de résolution ou le serveur doit être configuré avec une ancre d’approbation pour la zone signée ou pour un parent de la zone signée.
À qui cette fonctionnalité s’adresse-t-elle ?
Cette fonctionnalité s’adresse aux professionnels de l’informatique qui gèrent les services de domaine Active Directory® (AD DS) et le système de noms de domaine (DNS) ainsi qu’aux administrateurs de sécurité. Elle intéresse particulièrement tous les administrateurs des systèmes informatiques fédéraux des États-Unis qui doivent se conformer aux spécifications de la National Institute of Standards and Technology (NIST) Special Publication (SP) 800-53.
Quelles sont les nouvelles fonctionnalités offertes par la suite DNSSEC ?
La mise en œuvre de la suite DNSSEC dans le serveur DNS de Windows Server 2008 R2 permet de signer à la fois les zones sauvegardées dans des fichiers et intégrées à Active Directory via un outil de signature de zone hors ligne. La zone signée est alors répliquée ou transférée vers d’autres serveurs DNS faisant autorité. Lorsqu’un serveur DNS est configuré avec une ancre d’approbation, il est capable d’effectuer une validation DNSSEC sur les réponses reçues au nom du client.
Le client DNS de Windows Server 2008 R2 et Windows® 7 est un programme de résolution de stub centré sur la sécurité sans validation. Cela signifie que le client DNS délègue les responsabilités de validation à son serveur DNS local, mais qu’il est capable de gérer les réponses DNSSEC. Une stratégie déterminant si le client doit vérifier s’il existe des résultats de validation pour les noms appartenant à un espace de noms donné contrôle le comportement du client DNS. Le client renvoie les résultats de la requête à l’application uniquement si la validation a été correctement effectuée par le serveur.
Pourquoi cette modification est-elle importante ?
Alors que les menaces portant sur la sécurité des systèmes de noms de domaine (DNS) sont de plus en plus d’actualité, il est important de savoir que la sécurisation de ces systèmes est essentielle à la sécurisation des réseaux d’entreprise et d’Internet. Les systèmes DNS font souvent l’objet d’attaques d’intercepteur, d’usurpation et d’empoisonnement du cache contre lesquelles il est difficile de se défendre. La suite DNSSEC est la meilleure solution de protection contre ces menaces. Elle constitue une technologie de choix pour les entreprises, bureaux d’enregistrement et fournisseurs de services Internet cherchant à sécuriser leurs déploiements DNS.
Existe-t-il des dépendances ?
Le dernier tronçon de communication se réfère aux communications entre un ordinateur client DNSSEC exécutant Windows 7 et son serveur DNS local. Il est vivement recommandé d’utiliser la sécurité IP (IPsec) pour protéger ces communications entre le client et le serveur DNS. Veuillez toutefois noter ce qui suit en ce qui concerne le déploiement :
- La suite DNSSEC utilise la couche SSL (Secure Sockets Layer) pour la sécurisation des communications client-serveur. Cette couche permet au client DNS de vérifier que le serveur dispose d’un certificat prouvant son identité de serveur DNS valide. Vous bénéficiez ainsi d’un niveau d’approbation supplémentaire entre le client et le serveur.
- Si vous avez intégré une stratégie de domaine IPsec au déploiement d’une isolation de domaine et de serveur, exemptez le trafic TCP/UDP du port 53 (trafic DNS) de cette stratégie. Si vous ne le faites pas, la stratégie de domaine IPsec est utilisée et aucune authentification basée sur les certificats n’est effectuée. La validation de l’utilisation avancée de la clé (EKU) échoue pour le client, qui n’approuve pas le serveur DNS.
