DNSSEC pour les FAI

Les DNSSEC (Domain Name System Security Extension) permettent aux FAI d'offrir de la valeur ajoutée aux milliers de clients qui doivent pouvoir travailler, apprendre, jouer et communiquer par le biais d'Internet en toute sécurité.

Verisign s'engage à collaborer avec les fournisseurs d'accès Internet pour simplifier et normaliser le protocole DNSSEC. Découvrez ce que les DNSSEC peuvent faire pour vous, comment vous pouvez vous préparer à l'adoption des DNSSEC et comment les outils, les informations et d'autres ressources Verisign peuvent vous aider au cours des étapes de planification, de test et d'activation des DNSSEC.

Pourquoi agir dès maintenant Que faire Points à envisager Par où commencer

Compte-tenu d'une sensibilisation accrue aux menaces du DNS et la trajectoire adoptée par d'autres initiatives de sécurité d'Internet comme Secure Sockets Layer (SSL), les DNSSEC sont devenues incontournables pour les FAI afin de répondre à des besoins internes tels que la gestion des risques et la demande croissante de sécurité Internet de la part des clients.

En agissant dès aujourd'hui, vous pouvez mieux protéger vos clients, renforcer votre réputation de leader pour la protection des clients et la sécurité Internet, et vous démarquer de la concurrence. En adoptant ce protocole dès maintenant, vous pouvez également influencer le développement de produits et de services, parmi d'autres initiatives du secteur, qui favorisent vos activités.

Avantages pour les FAI dynamiques

L'ajout dynamique de cette couche importante vous permet :

  • de réduire le risque d'exposition de vos clients à la cyber-criminalité ;
  • de favoriser la protection et le renforcement de votre marque et de votre réputation ;
  • d'entretenir la confiance et la fidélité de vos clients ;
  • d'offrir une sécurité accrue sur Internet au sein de l'offre à valeur ajoutée destinée à vos clients ;
  • d'attirer et fidéliser des clients focalisés sur la sécurité ;
  • de protéger vos activités de base en améliorant le niveau de confiance sur Internet ;
  • de jouer un rôle de premier plan et d'influencer l'avenir du protocole DNSSEC.

Les FAI jouent un rôle essentiel dans le fonctionnement d'Internet et le succès des DNSSEC. Les serveurs de noms récursifs (résolveurs) gérés par les FAI permettent aux internautes de résoudre des millions de noms de domaine par jour. Les serveurs de noms de domaine constituent également le principal vecteur d'empoisonnement du cache.

Les serveurs de noms de domaine compatibles DNSSEC protègent contre l'empoisonnement du cache de la manière suivante : lorsqu'un serveur de noms récursif demande des informations DNS au serveur ayant autorité d'une zone signée, il demande également la clé DNSSEC de la zone afin de vérifier que les informations reçues correspondent à celles du serveur ayant autorité.

Pour étendre l'utilisation des DNSSEC à l'ensemble de l'écosystème Internet, vous devrez implémenter les DNSSEC sur vos serveurs de noms récursifs et assurer la compatibilité de votre infrastructure réseau (pare-feu, routeurs, commutateurs et équilibreurs de charge, par exemple) avec les réponses du DNS plus volumineuses générées par les DNSSEC. Vous pouvez progressivement intégrer les DNSSEC à vos cycles de développement et de tests. Les FAI qui fournissent des services d'hébergement DNS doivent également activer la fonctionnalité DNSSEC pour ces services.

Les serveurs de noms récursifs les plus courants prennent déjà en charge le protocole DNSSEC et nécessitent seulement une mise à jour ou une modification de paramètre. Toutefois, vous pouvez être amené à mettre à niveau ou remplacer les serveurs de noms hérités et les périphériques réseau existants.

Verisign s'inscrit dans la volonté de vous aider à déterminer la stratégie de déploiement des DNSSEC la mieux adaptée à votre situation.

Le tableau suivant présente des recommandations concernant les problèmes liés à l'implémentation de DNSSEC.

PROBLÈME : LES VERSIONS ANTÉRIEURES DU LOGICIEL DE SERVEUR DE NOMS NE PRENNENT PAS EN CHARGE LES DNSSEC.
Explication : Le DNS est une plate-forme très résistante. Il est par conséquent possible que les administrateurs n'aient pas régulièrement mis à jour le logiciel de serveur de noms. En outre, certains logiciels de serveur de noms, tels que les versions héritées de BIND, sont incompatibles avec les DNSSEC. Recommandation : révisez vos serveurs de nom et effectuez la mise à niveau vers une version qui prend en charge le protocole DNSSEC ainsi que RSA-SHA256, NSEC et NSEC3.

Envisagez les versions compatibles DNSSEC suivantes : BIND 9.9.0, 9.81-p1, 9.7.4-p1 et Unbound 1.4.16
PROBLÈME : LES PAQUETS COMPATIBLES DNSSEC SONT PLUS VOLUMINEUX (> 512 OCTETS) QUE LES PAQUETS STANDARD.
Explication : les paquets DNSSEC sont plus volumineux que les paquets standard et contiennent des informations différentes. Un logiciel de serveur de noms compatible DNSSEC peut augmenter l'utilisation des ressources d'un serveur. Dans le cas des FAI, les paquets plus volumineux augmentent les niveaux de capacité requis pour l'unité centrale, la mémoire du serveur et la bande passante. Recommandation : vérifiez le matériel sur lequel s'exécutent vos serveurs de noms afin de vérifier qu'ils seront capables de faire face à la charge accrue.
PROBLÈME : LES SERVEURS DE NOMS RÉCURSIFS NÉCESSITENT QUE LA VALIDATION SOIT ACTIVÉE.
Explication : pour fournir la fonctionnalité DNSSEC à vos clients, vous devez activer la validation DNSSEC sur les serveurs de noms récursifs. Recommandation : évaluez et décidez d'activer ou non la validation. Ensuite, configurez et maintenez un serveur de noms récursif compatible avec DNSSEC et assurant la validation.
PROBLÈME : LE PROTOCOLE DNSSEC AUGMENTE LES RESPONSABILITÉS DES ADMINISTRATEURS SYSTÈME EN MATIÈRE DE GESTION DE DNS.
Explication : les administrateurs système chargés des opérations de DNS devront effectuer une opération de maintenance de confiance ainsi qu'une mise à jour de la clé publique (utilisée pour l'authentification DNSSEC) lorsque les opérateurs de zone racine émettent de nouvelles paires de clé publique/privée pour les signatures numériques. Recommandation : assurez-vous que les administrateurs système qui gèrent vos opérations de DNS connaissent bien les concepts de DNSSEC et de maintenance d'ancrage de confiance. Fournissez une formation technique et renforcez la familiarité avec les outils disponibles.
PROBLÈME : LES UTILISATEURS FINAUX FERONT FACE À DES ÉCHECS DE VALIDATION DNSSEC.
Explication : les FAI et la communauté Internet craignent pour l'expérience de l'utilisateur final en cas de détection de données du DNS frauduleuses ou d'échec de résolution de nom en raison de l'expiration des signatures numériques utilisées pour authentifier le DNS. Recommandation : formez votre équipe d'assistance clientèle de sorte qu'elle sache diagnostiquer et expliquer la cause de ces échecs à vos utilisateurs. Collaborez avec Verisign, les autres FAI et autres participants de l'écosystème d'Internet pour trouver une solution standardisée à ce problème.

Vous pouvez prendre des mesures pour disposer d'un système compatible DNSSEC qui contribuera à maintenir la confiance des utilisateurs finaux et vous conférera un avantage compétitif. Nous avons tiré des leçons de nos collaborations avec les FAI et les bureaux d'enregistrement ainsi que du déploiement des DNSSEC dans la zone racine (.edu, .net et .com) et suggérons par conséquent de procéder comme suit pour commencer.

Découvrir et former

  • Déterminez le rôle des DNSSEC dans votre stratégie de cybersécurité.
  • Découvrez les avantages et les défis que représente l'implémentation des DNSSEC.
  • Sensibilisez-vous à la cryptographie de clé publique, aux normes de cryptage et à la façon dont les signatures numériques et les clés privée/publique fonctionnent ensemble.
  • Assurez-vous que votre équipe informatique et votre équipe d'assistance clientèle reçoivent la formation requise pour gérer les problèmes liés aux DNSSEC.
  • Tirez parti des ressources Verisign et planifiez des stratégies pour informer les clients à propos des DNSSEC.

Prévoir

  • Planifiez l'adoption des DNSSEC en définissant plusieurs étapes.
  • Déterminez comment vous allez intégrer les DNSSEC dans votre architecture DNS existante.
  • Créez des politiques et des processus pour systématiser l'intégration de mises à jour de clés publiques de bureaux d'enregistrement ou autres ancres de confiance.

Évaluer et mettre à jour

  • Passez votre infrastructure en revue ; par exemple, notez quelle version du logiciel BIND ou Unbound DNS vous exécutez et déterminez si les serveurs de noms prennent en charge NSEC3 et SHA-256.
  • Déterminez l'éventuel impact des DNSSEC sur la bande passante du réseau (les paquets DNSSEC de plus grande taille augmentent le trafic du réseau).
  • Tenez compte de l'impact des DNSSEC sur la gestion des serveurs de noms récursifs.
  • Demandez à vos fournisseurs de matériel s'ils envisagent d'intégrer les DNSSEC et si des mises à niveau sont disponibles pour vos périphériques réseau existants.
  • Évaluez les produits et les services qui prennent en charge votre implémentation.
  • Mettez à jour le matériel DNS et le logiciel de serveur de noms, le cas échéant, de sorte qu'ils soient compatibles avec DNSSEC.

Participer

  • Collaborez avec des consortiums industriels, des organismes de normalisation, des éditeurs de logiciel et des fabricants de matériel pour aider à développer des solutions et des approches permettant de répondre aux besoins de votre société.
  • Travaillez à l'établissement d'une stratégie pour résoudre les problèmes de l'utilisateur en cas de détection de « mauvaises » données par les DNSSEC.

lire la suitelire une synthèse

BESOIN DE PLUS D'INFOS ?

Mentions légales// Confidentialité// Archives de référence// Nous contacter// Plan du site


© 2011-2013 VeriSign, Inc. Tous droits réservés.
VERISIGN, le logo VERISIGN et les autres marques commerciales, marques de services et designs sont des marques commerciales déposées ou non déposées appartenant à VeriSign, Inc. et à ses filiales aux États-Unis et à l’étranger. Toutes les autres marques sont détenues par leurs propriétaires respectifs.