Architecture DNS sécuriséeGuillaume Valadon,Yves-Alexis Perez

Le protocole DNS est primordial au bon fonctionnement de l'Internet. C'est l'un des éléments clés des communications actuelles. Depuis sa création en 1983 par la RFC883, le protocole n'a cessé d'évoluer afin de palier ses différentes limitations. L'objectif de cet article est double. Tout d'abord, il fait le point sur les problèmes et faiblesses connus de l'architecture DNS comme l'empoisonnement de cache, la corruption de trafic. Dans un second temps, il présente différentes solutions permettant de s'en prémunir. Afin d'illustrer ces solutions, des exemples concrets de configuration sont donnés.

Plus spécifiquement, nous cherchons ici à décrire différentes possibilités pour sécuriser les enregistrements de bout en bout entre un serveur DNS autoritaire et le client final, protéger les échanges en confidentialité et finalement assurer la disponibilité de l'architecture DNS.

Cet article est notamment l'occasion de présenter les avantages et les inconvénients des protocoles DNSSEC et DNSCurve. L'article se focalise sur le protocole DNS mais pas sur d'autres mécanismes de protection comme chroot, la descente de privilège ou bien encore les vues.

Deux solutions originales (l'une pour la protection du dernier lien, l'autre pour un système de résolution de nom dans un segment intranet maîtrisé) sont enfin présentées à titre d'expérimentation.