Aller au contenu principal

10. Considérations de sécurité (Security Considerations)

10.1 Évaluation globale

Point de vue des auteurs

Les auteurs estiment que cet enregistrement de ressource (RR) n'introduit aucun nouveau problème de sécurité. Certains problèmes deviennent toutefois plus visibles.

10.2 Impact du filtrage basé sur les ports

10.2.1 Spécification fine des ports

La possibilité de spécifier les ports avec une granularité fine modifie évidemment la manière dont un routeur peut filtrer les paquets.

Implications :

  1. Blocage des services externes

    • Il devient impossible d'empêcher les clients internes d'accéder à des services externes spécifiques.

  2. Services non autorisés

    • Il est légèrement plus difficile d'empêcher les utilisateurs internes d'exécuter des services non autorisés.

  3. Coopération opérationnelle

    • Il devient plus important pour les équipes d'exploitation des routeurs et du DNS de coopérer.

10.3 Déni de service

Risque de DoS

Aucun mécanisme ne permet à un site d'empêcher que ses hôtes soient référencés en tant que serveurs. Cela peut conduire à un déni de service.

Scénario d'attaque :

  • Un attaquant crée des enregistrements SRV pointant vers les hôtes de la victime.
  • Un grand nombre de clients tentent alors de s'y connecter.
  • La victime subit un trafic indésirable.

10.4 Extension de l'usurpation DNS

10.4.1 Faux numéros de port

Avec SRV, les usurpateurs DNS peuvent fournir de faux numéros de port, en plus de noms d'hôtes et d'adresses falsifiés.

10.4.2 Évaluation du risque

Pas une nouvelle vulnérabilité

Cette vulnérabilité existant déjà avec les noms et les adresses, il ne s'agit pas d'une nouvelle vulnérabilité, mais simplement d'une extension légère, avec peu d'effet pratique.

Analyse :

  • Le problème fondamental est l'authenticité du DNS.
  • L'ajout des numéros de port n'élargit que marginalement la surface d'attaque.
  • La véritable solution est DNSSEC.

10.5 Stratégies d'atténuation

Défenses recommandées :

  1. DNSSEC

    • Signer cryptographiquement les enregistrements DNS.
    • Vérifier l'authenticité des enregistrements.

  2. Sécurité de la couche applicative

    • Utiliser TLS/SSL pour les connexions de service.
    • Vérifier les certificats du serveur.

  3. Segmentation du réseau

    • Isoler les services internes.
    • Mettre en œuvre une défense en profondeur.

  4. Surveillance

    • Journaliser les requêtes DNS.
    • Surveiller les tentatives de connexion.
    • Détecter les motifs anormaux.
Tags :
Dernière mise à jour le