Faire un don
État de la sécurité du routage dans les registres du DNS Thumbnail
‹ Retour
MANRS (Mutually Agreed Norms for Routing Security) 25 août 2020

État de la sécurité du routage dans les registres du DNS

Le système de noms de domaine (DNS) est un élément important de l’Internet qui n’a toutefois pas été conçu dans un souci de sécurité. Au cours des quelque vingt dernières années, une grande attention a été accordée à l’amélioration de ses aspects foncièrement peu sûrs.

Parmi ceux-ci, on peut citer le déploiement des extensions de sécurité du DNS (DNSSEC) qui permettent la validation cryptographique des enregistrements du DNS, et plus récemment le DNS contre le TLS et le DNS contre le HTTPS, qui cryptent les transactions du DNS entre les hôtes et les dispositifs de résolution.

Le DNS, cependant, dépend également du système de routage global pour envoyer des requêtes DNS desdits dispositifs aux serveurs, puis renvoyer les réponses. L’intégrité du système de routage est donc extrêmement importante pour garantir que les transactions DNS sont acheminées efficacement vers la bonne destination. Pourtant, à l’heure actuelle, peu de registres DNS mettent en œuvre l’infrastructure à clé publique de routage (RPKI), un cadre spécifique conçu pour sécuriser l’infrastructure de routage d’Internet, en particulier le Border Gateway Protocol (BGP).

Une étude portant sur 4 138 zones – comprenant 1 201 domaines génériques de premier niveau (gTLD), 308 domaines de premier niveau de code de pays (ccTLD), 271 zones de carte inversée et 1 780 zones de sous-ccTLD – a montré un total de 6 910 origines de routage pour les serveurs de noms qui desservent ces zones.

Pourtant, seuls 22 % d’entre eux disposaient d’autorisations d’origine de route (ROA) valides, un élément signé numériquement qui vérifie que le détenteur d’un bloc d’adresses IP a autorisé un AS (Autonomous System) à créer des routes vers ce ou ces préfixes dans le bloc d’adresses.

Si les chiffres pour les zones de carte inversée (53 %) et les zones ccTLD (34 %) témoignent d’un déploiement, ils sont nettement inférieurs pour les zones gTLD (11 %). En fait, environ 40 % des TLD ne disposent d’aucun déploiement de ROA, et 20 % seulement d’un déploiement partiel.

Ces résultats sont examinés plus en détail dans le document « A Look at Route Origin Authorizations Deployment at DNS Registries » sur le site Web des MANRS. Il est important de souligner un aspect de la sécurité du DNS qui a été quelque peu négligé.

Si vous souhaitez en savoir plus sur les raisons pour lesquelles la sécurité du routage est si importante, veuillez également lire les cinq parties de notre introduction sur la sécurité du routage .

‹ Retour

Avertissement: Les points de vue exprimées dans cette publication appartiennent à l’auteur et peuvent ou non refléter les positions officielles de l’Internet Society.

Articles associés

Il ne reste qu’une journée! Le Quatrième Forum DNS Africain se tiendra à Marrakech, au Maroc
Il ne reste qu’une journée! Le Quatrième Forum DNS Africain se tiendra à Marrakech, au Maroc
Domain Name System (DNS)3 mars 2016

Il ne reste qu’une journée! Le Quatrième Forum DNS Africain se tiendra à Marrakech, au Maroc

Des experts techniques de l'Afrique et de diverses régions du monde se réuniront à l'Hôtel Pullman Marrakech Palmeraie Resort and...

Confidentialité DNS dans le nouveau Android 9
Confidentialité DNS dans le nouveau Android 9
Deploy36021 août 2018

Confidentialité DNS dans le nouveau Android 9

Je me suis récemment inscrit au programme de pré-visualisation pour développeurs Android, en me procurant de l'image OTA d'Android P...

DNS-over-TLS sous Linux (systemd)
DNS-over-TLS sous Linux (systemd)
Améliorer la sécurité technique10 janvier 2019

DNS-over-TLS sous Linux (systemd)

Alors que nous préparions récemment un article sur la confidentialité DNS, nous avons appris que certaines versions récentes de Linux...

Rejoignez la conversation avec les membres de Internet Society à travers le monde