l`utilisation de tsig pour des communications sécurisées entre

L’UTILISATION DE TSIG POUR DES COMMUNICATIONS
SÉCURISÉES ENTRE LES SERVEURS DNS
12-13-20161
L’UTILISATION DE SIGNATURES DE TRANSACTION
(TSIG) POUR DES COMMUNICATIONS SÉCURISÉES
ENTRE LES SERVEURS DNS
Les signatures de transaction (TSIG) fournissent un moyen sécuritaire de communiquer
d’un système DNS primaire à un secondaire. Elles permettent aux organisations de
renforcer la sécurité de leur système de façon simple et efficace. Les TSIG ne sont pas
obligatoires et plusieurs organisations choisissent de déterminer des autorisations
fondées sur les adresses IP entre les DNS. Toutefois, comme le DNS est de plus en plus la
cible d’actes malveillants sur Internet, les TSIG font partie des éléments de conception
qu’il convient de prendre en compte.
Les TSIG sont utilisées (de manière facultative) par le service DNS Anycast D-Zone pour
communiquer avec le DNS primaire d’une organisation. Le présent document fournit
aux administrateurs des TI un aperçu d’une bonne configuration d’un DNS externe au
moyen de D-Zone, de la façon dont sont utilisées les TSIG, et des renseignements requis
relatifs à la configuration. Pour en savoir plus, consultez la documentation sur le soutien
technique concernant D-Zone.
IMPLANTATION D’UN DNS EXTERNE RÉSILIENT
L’implantation d’une infrastructure DNS secondaire pour la résolution externe des noms de domaine
améliore sa résilience et sa performance, et permet de se conformer aux pratiques exemplaires de
l’industrie. La meilleure façon de créer un réseau secondaire consiste à conserver un serveur DNS primaire
anonyme, utilisé pour assurer l’administration et la gestion du DNS. Le DNS secondaire est composé d’un
ou de plusieurs serveurs de noms à la disposition pour répondre aux requêtes sur Internet; il peut s’agir
d’un serveur unicast ou anycast. La technologie anycast repose sur de nombreux serveurs distribués qui
partagent la même adresse IP.
RÉSEAU
D’ENTREPRISE
Administrateur de
fichier de zone
INTERNET PUBLIC
DNS primaire
DNS externe
DNS interne
2
Fichier
de zone
DNS secondaire
La combinaison d’un DNS primaire anonyme et d’une solution DNS Anycast secondaire
évoluée confère les avantages suivants :
1) Facilite la maintenance du DNS primaire sans incidence sur les sites Web publics;
2) Améliore la sécurité, car le DNS primaire est anonyme;
3) Augmente la performance grâce à un réseau mondial de serveurs à proximité des clients;
4) Renforce la résilience, car les nœuds hors d’usage sont retirés de la table de routage;
5) Améliore la capacité d’absorber les attaques par déni de service (DDoS) visant le DNS au nœud
le plus près de la source de l’attaque.
COMMENT TRANSFÉRER DE L’INFORMATION DE MON SERVEUR DNS
PRIMAIRE À UN SERVICE SECONDAIRE?
Maintenant que vous avez décidé d’implanter un
système DNS externe plus robuste, comment s’y
prendre? La communication entre les serveurs de
noms s’effectue au moyen des fichiers de zone.
Un fichier de zone est un fichier texte qui décrit
une zone DNS. Dans sa forme la plus simple, il s’agit
d’une mise en correspondance des adresses IP et
des noms de domaine, présentée sous la forme
d’enregistrements de ressources. En plus de fournir
une mise en correspondance de base, il comprend
une multitude de détails importants sur le nom de
domaine, dont :
1) L’enregistrement Start of Authority (SOA) et le nom
des serveurs faisant autorité (par rapport aux
serveurs caches en ligne) qui, comme l’explique le
présent document, sont les serveurs secondaires D-Zone;
2) La durée de vie, qui indique combien de temps les enregistrements DNS doivent être
conservés dans les serveurs caches avant de revenir aux serveurs faisant autorité;
3) Les propriétaires des enregistrements;
4) Si l’adresse est de type IPv4 ou IPv6.
COMMENT LE DNS EXTERNE PRIMAIRE EST-IL ADMINISTRÉ?
Dans bon nombre d’organisations, le DNS primaire est administré par les services des TI ou un prestataire
de services d’hébergement Web, d’enregistrements de domaine, de DNS primaire, ou d’autres services
des TI. Peu importe la façon dont le DNS externe est administré, il existe quelques infrastructures logicielles
sous-jacentes, dont les plus couramment utilisées, comme BIND et le serveur Microsoft Windows.
3
COMPRENDRE LE TRANSFERT DE FICHIER DE ZONE ET LES TSIG
Pour assurer une sécurité robuste, le DNS primaire est conservé en tant que serveur anonyme permettant
seulement de communiquer avec les serveurs DNS secondaires autorisés avec l’adresse IP appropriée. Il
s’agit d’une étape essentielle pour assurer un système DNS sécurisé, fiable et facile à gérer.
Lorsque des changements sont apportés au DNS dans le serveur de noms primaire, une notification DNS
est envoyée au serveur secondaire. Si le serveur secondaire n’a pas les enregistrements les plus à jour,
il demande une mise à jour au moyen d’un transfert de zone complet (AXFR) ou d’un transfert de zone
incrémental (IXFR). La communication s’effectue suivant le protocole UDP ou TCP, pour une transaction sur
un modèle client-serveur; ainsi, on obtient habituellement une communication ouverte dans un réseau non
sécurisé (par exemple, dans Internet).
Lorsque la communication entre les serveurs de noms est ouverte, l’authentification est essentielle
parce que sans elle, des changements durables au DNS, que les services des TI auraient de la difficulté à
surmonter, pourraient être apportés. TSIG est un protocole de réseau décrit dans la RFC 2845; il est utilisé
pour fournir une authentification aux fins des mises à jour dynamiques des DNS ou d’une communication
entre les serveurs de noms.
Lorsque les TSIG sont utilisées pour sécuriser les communications entre les serveurs de noms primaire
et secondaire, une signature authentifiée de manière cryptographique est générée au moyen d’une clé
partagée et elle est ajoutée à tous les paquets DNS échangés entre les serveurs. Cette façon de faire
permet de s’assurer que les paquets DNS proviennent d’un serveur de noms autorisé et qu’ils n’ont pas été
modifiés en chemin.
En plus d’une clé, le protocole comprend une estampille temporelle de sorte que les communications ne
soient pas interceptées et utilisées ultérieurement (par conséquent, une source temporelle fiable doit
être utilisée).
Un enregistrement TSIG est créé et ajouté à tous les messages DNS entre les serveurs de noms.
Il comprend les champs suivants :
4
CONFIGURER EN UTILISANT LES TSIG
La notification entre les serveurs doit être activée en précisant une adresse IP pour « permettre la
notification (allow-notify) », mais ne pas « permettre le transfert (allow-transfer) ». Si vous configurez
les deux serveurs à « permettre le transfert » avec une adresse IP et des TSIG, vous autoriserez ainsi les
transferts, qu’ils soient effectués en utilisant les TSIG ou non. L’adresse IP OU une TSIG pourra donc être
utilisée en présence des deux. Essentiellement, l’interface du service DNS secondaire Anycast D-Zone
de l’ACEI n’acceptera pas une configuration erronée, car D-Zone peut être configuré pour permettre des
communications ouvertes ou des communications au moyen des TSIG, mais pas les deux.
Exemple de configuration de la zone avec les TSIG
(Configuration sécurisée adéquate ) :
Exemple de configuration de la zone sans les TSIG
(Configuration adéquate, mais non sécurisée ) :
zone “example.ca” in {
type master;
file “master/example.ca”;
allow-transfer { key example-tsigkey. };
also-notify { 162.219.53.35; 162.219.53.235; };
};
};
zone “example.ca” in {
type master;
file “master/example.ca”;
allow-transfer { 162.219.53.35; 162.219.53.235; };
also-notify { 162.219.53.35; 162.219.53.235; };
};
};
OÙ PUIS-JE OBTENIR LES TSIG?
Les signatures peuvent être générées par votre propre système DNS ou au moyen du système DNS
secondaire de votre fournisseur. En ce qui concerne D-Zone, l’interface offre la possibilité de générer des
TSIG, il suffit de pointer et cliquer. Les signatures de clé générées par D-Zone seront alors copiées dans
votre serveur de noms primaire.
Exemple de génération de clé au moyen des DNSSEC dans BIND
Il est simple de générer une clé au moyen de votre serveur DNS primaire. Dans BIND, on utilise l’utilitaire
dnssec-keygen pour générer les clés des DNSSEC et des TSIG. DNSSEC est un protocole de sécurité pour
les DNS qui ne joue aucun rôle dans les TSIG; les clés sont simplement générées par le même algorithme et
la même commande.
Le nom « example-TSIGkey » ci-dessus doit être unique à l’organisation et à la clé.
Une clé plus longue, ou des chiffres et des lettres, sera générée et vous devrez la copier-coller dans la
section de configuration de BIND, puis la copier dans le service DNS secondaire. En voici un exemple :
key “random-sig-1” { algorithm hmac-sha256; secret “dsdjflkjfkjk34u4343ofgj3ifmi4o3jf3ijf=”; };
server 162.219.53.35 {
keys { random-sig-1; };
};
server 162.219.53.235 {
keys { random-sig-1; };
};
5
Exemple de génération de clé dans D-Zone
Pour générer des clés dans D-Zone, il suffit de
pointer et cliquer plutôt que de suivre une ligne de
commande et générer une séquence de chiffres et
de lettres à copier dans votre DNS primaire.
La tâche de copier la clé dans votre serveur de noms
primaire dépend de la plateforme que vous avez
choisie, ou qui est utilisée par votre fournisseur, et elle peut être effectuée par une ligne de commande, par un
pointer et cliquer, ou les deux. De plus amples renseignements sur le sujet se trouvent dans la documentation
sur tous les serveurs de noms courants.
OÙ PUIS-JE OBTENIR UNE ADRESSE IP
L’adresse IP permettant le transfert à fournir au service secondaire proviendra de vous ou de votre fournisseur
de service DNS primaire. Si vous avez recours à un fournisseur de service pour configurer et gérer votre système
DNS primaire, vous devrez lui fournir les adresses IP du service secondaire pour le transfert des fichiers de zone.
FEUILLE DE TRAVAIL POUR LA PRÉPARATION
Les renseignements ci-dessous doivent être à portée de la main pour se préparer à la configuration d’un DNS
secondaire ou au transfert d’un fichier de zone au moyen des TSIG. Le tableau ci-dessous vous aidera à
recueillir l’information.
Il est facile de préparer un transfert de fichier de zone au moyen du protocole TSIG
Le présent document contient assez de détails et d’information pour aider le lecteur à comprendre comment
et pourquoi configurer des transferts de zone sécurisés grâce aux TSIG, et à lui éviter de faire des erreurs de
configuration courantes. Il est fourni pour aider les clients à envisager d’utiliser le service DNS Anycast D-Zone
comme service secondaire pour leur DNS.
L’implantation d’un service secondaire en utilisant les TSIG s’effectue en quelques clics ou à l’aide d’une ligne
de commande. Que votre organisation héberge son propre DNS primaire ou qu’elle utilise celui d’un tiers, le
personnel de l’ACEI est là pour vous aider à bâtir un DNS plus résilient.
POUR EN SAVOIR PLUS SUR LA FAÇON D’OBTENIR D-ZONE POUR VOTRE ORGANISATION
Pour obtenir plus de renseignements sur la façon de profiter du service, de trouver un revendeur ou d’en
devenir un, veuillez écrire à [email protected] ou visiter acei.ca/d-zone.
À PROPOS DE L’ACEI
L’Autorité canadienne pour les enregistrements Internet (ACEI) gère le registre des noms de domaine
.CA du Canada à titre de service d’un temps de disponibilité de 100 % pour la population et les
organisations canadiennes.
6