> Tech > Et demain ?

Et demain ?

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

DNS est un service Internet fondamental. Tout service Web demandant une résolution de nom d'hôte dépend de DNS. Ces services Web ne sont sécurisés que si le service DNS l'est. Bien que DNSSEC ne soit pas encore très répandu sur les clients Internet, les riches outils de sécurité de BIND,

Et demain ?

dont
DNSSEC et TSIG, peuvent aider à  sécuriser
le service DNS. A l’heure actuelle
FMESHD (Fault-Tolerant Mesh of Trust
Applied to DNSSEC), un projet DARPA
(Defense Advanced Research Projects
Agency) avec l’objectif de déployer
DNSSEC sur Internet, construit un
banc d’essai DNSSEC utilisable par les
entreprises. (Pour plus d’informations
sur ce banc d’essai, visiter http://fmeshd.
nge.isi.edu.) On peut également
utiliser DNSSEC dans l’intranet existant
sans être obligé d’établir une relation
de confiance avec d’autres sociétés.

TSIG permet de sécuriser des transactions avec des hôtes ne supportant
pas encore DNSSEC, et plusieurs
autres protocoles IETF peut améliorer
les possibilités de TSIG. Le RR TKEY
(Secret Key Establishment for DNS),
que l’IETF RFC 2930 décrit, automatise
la génération et l’échange des clés secrètes
TSIG. Les DNS Requests and
Transaction Signatures, ou SIG(0),
qu’IETF RFC 2931 décrit, utilisent des
clés publiques pour authentifier les requêtes
et transactions DNS. Les versions
BIND 9.1.0 à  9.1.3 possèdent
quelques fonctions TKEY et SIG(0) limitées
mais sans documentation correspondante.
J’espère que TKEY et
SIG(0) figureront à  part entière dans
une future version BIND.

Au moment où nous écrivons ces
lignes, le service DNS de Win2K ne
supporte pas DNSSEC mais supporte
TSIG de façon limitée. Win2K DNS supporte
les mises à  jour dynamiques sécurisées
dans une zone DDNS dynamique
intégrée à  AD (Active
Directory). Microsoft fonde l’implémentation
par Win2K DNS des mises à 
jour dynamiques sécurisées sur le draft
IETF proposé par la société « GSS
Algorithm for TSIG (GSS-TSIG) » ; au
moment de l’écriture de cet article,
vous pouvez examiner le draft le plus
récent à  http://search.ietf.org/internetdrafts/
draft-ietf-dnsext-gss-tsig-03.txt.
Pour étendre TSIG, GSS for TSIG applique
la Generic Security Service API.

Téléchargez cette ressource

Percer le brouillard des rançongiciels

Percer le brouillard des rançongiciels

Explorez les méandres d’une investigation de ransomware, avec les experts de Palo Alto Networks et Unit 42 pour faire la lumière dans la nébuleuse des rançongiciels. Plongez au cœur de l’enquête pour comprendre les méthodes, les outils et les tactiques utilisés par les acteurs de la menace. Découvrez comment prévenir les attaques, les contrer et minimiser leur impact. Des enseignements indispensables aux équipes cyber.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010