10. Considérations de Sécurité (Security Considerations)

10.1 Évaluation Globale (Overall Assessment)

Perspective des Auteurs

Les auteurs estiment que ce RR ne cause aucun nouveau problème de sécurité. Certains problèmes deviennent cependant plus visibles.

10.2 Impact du Filtrage Basé sur les Ports (Port-Based Filtering Impact)

10.2.1 Spécification de Port à Granularité Fine (Fine-Grained Port Specification)

La capacité de spécifier des ports de manière détaillée modifie évidemment la façon dont un routeur peut filtrer les paquets.

Implications :

Blocage des Services Externes (Blocking External Services)
- Il devient impossible de bloquer les clients internes d'accéder à des services externes spécifiques
Services Non Autorisés (Unauthorized Services)
- Légèrement plus difficile de bloquer les utilisateurs internes d'exécuter des services non autorisés
Coopération Opérationnelle (Operational Cooperation)
- Plus important que le personnel des opérations de routeur et des opérations DNS coopère

10.3 Déni de Service (Denial of Service)

Risque de DoS

Il n'y a aucun moyen pour un site d'empêcher ses hôtes d'être référencés comme serveurs. Cela pourrait conduire à un déni de service.

Scénario d'Attaque :

L'attaquant crée des enregistrements SRV pointant vers les hôtes de la victime
Un grand nombre de clients tentent de se connecter
La victime subit un trafic non désiré

10.4 Extension de l'Usurpation DNS (DNS Spoofing Extension)

10.4.1 Faux Numéros de Port (False Port Numbers)

Avec SRV, les usurpateurs DNS peuvent fournir de faux numéros de port, ainsi que des noms d'hôtes et des adresses.

10.4.2 Évaluation des Risques (Risk Assessment)

Pas une Nouvelle Vulnérabilité

Parce que cette vulnérabilité existe déjà, avec les noms et les adresses, ce n'est pas une nouvelle vulnérabilité, simplement une vulnérabilité légèrement étendue, avec peu d'effet pratique.

Analyse :

Le problème fondamental est l'authenticité DNS
L'ajout de numéros de port étend la surface d'attaque de manière minimale
La vraie solution est DNSSEC

10.5 Stratégies d'Atténuation (Mitigation Strategies)

Défenses Recommandées :

DNSSEC
- Signer cryptographiquement les enregistrements DNS
- Vérifier l'authenticité des enregistrements
Sécurité de la Couche Application (Application Layer Security)
- Utiliser TLS/SSL pour les connexions de service
- Vérifier les certificats de serveur
Segmentation du Réseau (Network Segmentation)
- Isoler les services internes
- Implémenter une défense en profondeur
Surveillance (Monitoring)
- Journaliser les requêtes DNS
- Surveiller les tentatives de connexion
- Détecter les modèles anormaux

Chapitre précédent : 9. Changements par rapport à RFC 2052 (Changes from RFC 2052)
Chapitre suivant : 11. Références (References)

10.1 Évaluation Globale (Overall Assessment)​

10.2 Impact du Filtrage Basé sur les Ports (Port-Based Filtering Impact)​

10.2.1 Spécification de Port à Granularité Fine (Fine-Grained Port Specification)​

10.3 Déni de Service (Denial of Service)​

10.4 Extension de l'Usurpation DNS (DNS Spoofing Extension)​

10.4.1 Faux Numéros de Port (False Port Numbers)​

10.4.2 Évaluation des Risques (Risk Assessment)​

10.5 Stratégies d'Atténuation (Mitigation Strategies)​

Navigation​