Le Domain Name System reste une pierre angulaire du réseau et un vecteur sensible. Les failles historiques ont poussé à créer des mécanismes comme le DNSSEC et le chiffrement des requêtes. La mise en œuvre demande des choix techniques et une coordination entre fournisseurs et administrateurs réseau.
Cet exposé compare les approches pour protéger la résolution DNS en production et sur site. On évoquera TSIG, DNSSEC, ainsi que le chiffrement client via DoH et DoT. Pour saisir rapidement les enjeux et actions, suivez les points synthétiques ci-dessous.
A retenir :
- Signature des zones via KSK et ZSK robustes
- Chiffrement des requêtes client par DoH ou DoT
- Authentification des transferts de zone via TSIG sécurisée
- Choix des résolveurs publics selon confidentialité, politique, performance
Après les besoins, DNSSEC : authentification des enregistrements DNS
Le DNSSEC protège l’intégrité des enregistrements DNS en signant chaque RR avec une clé privée. La vérification s’effectue grâce à la clé publique distribuée dans l’annuaire, validée par le résolveur. Pour les transferts entre serveurs, il faudra examiner des mécanismes complémentaires comme TSIG et sa mise en œuvre opérationnelle.
Clé
Rôle
Durée recommandée
Usage
ZSK
Signer les enregistrements de la zone
Rotation régulière tous les mois
Signature quotidienne de la zone
KSK
Signer les clés ZSK
Rotation moins fréquente, conservation prolongée
Validation de la chaîne de confiance
Ancienne KSK
Conservation après révocation
Rétention temporaire
Compatibilité lors du rollover
Clés de registre
Publication auprès du registrar
Conformité et synchronisation
Enregistrement DS au registre
Avant toute opération, il faut sauvegarder l’arborescence BIND et vérifier la synchronisation NTP. Ensuite, la génération des clés ZSK et KSK suit des commandes standard pour produire paires publiques et privées. Selon Cloudflare, cette approche protège l’annuaire même face à des serveurs intermédiaires malveillants.
Points clés DNSSEC :
- Séparation KSK et ZSK pour limiter les risques
- Publication des DNSKEY dans la zone signée
- Automatisation de la signature via script cron
- Conservation temporaire des anciennes clés
Génération et gestion pratique des clés DNSSEC
Ce segment détaille la génération des paires de clés avec les outils dnssec-keygen et dnssec-signzone. Il est conseillé de séparer les répertoires par zone afin d’éviter les mélanges de clés. Selon OVHcloud, la gestion des clés demande procédures et tests avant publication.
« J’ai automatisé la signature des zones et réduit les erreurs humaines lors des rollovers »
Marc D.
Processus de signature, scripts et rechargement BIND
La signature s’effectue par un script qui met à jour le serial et invoque dnssec-signzone, puis recharge le service BIND. Un cron permet de régénérer les signatures avant expiration et d’assurer continuité de service. Selon LeMagIT, l’automatisation évite les interruptions lors de la rotation des clés.
Ensuite, TSIG : authentifier les transferts et mises à jour entre serveurs
Le protocole TSIG authentifie les mises à jour et les transferts de zone via un secret partagé et une fonction de hachage. L’ajout d’un timestamp empêche les attaques par rejeu tout en requérant une synchronisation NTP. Selon IT-Connect, TSIG reste la solution privilégiée pour sécuriser les échanges maître-esclave.
Points clés TSIG :
- Secret partagé HMAC pour authentifier les pairs
- Timestamp pour prévenir les attaques par rejeu
- Synchronisation NTP requise pour la validité
- Utilisation courante avec dig ou nsupdate
Fournisseur
DoH
DoT
DNSSEC validation
Cloudflare
Oui
Oui
Oui
Google Public DNS
Oui
Oui
Oui
Quad9
Oui
Oui
Oui
NextDNS
Oui
Oui
Oui
OpenDNS
Oui
Partiel
Variable
Cisco Umbrella
Oui
Oui
Oui
Configuration étape par étape de TSIG sur BIND
La création d’une clé TSIG s’effectue avec dnssec-keygen en mode HMAC et l’ajout du secret dans named.conf. Ensuite, il faut déclarer la clé dans allow-transfer et configurer les pairs sur l’esclave. Un redémarrage des services permet de vérifier l’échange sécurisé des zones.
Logs, tests et diagnostic des transferts authentifiés
Pour valider TSIG, on peut lancer une commande dig avec l’option -y et observer le résultat AXFR auprès du maître. Les journaux BIND indiquent les erreurs d’authentification et les incompatibilités d’algorithme. En cas d’échec, la vérification du timestamp et du secret partagé résout la plupart des problèmes.
« L’authentification TSIG a stoppé les transferts non autorisés dans notre structure »
Sophie L.
Enfin, DoH et DoT : chiffrer les requêtes clients pour la confidentialité
Le chiffrement côté client via DoH ou DoT protège la confidentialité des requêtes DNS entre l’utilisateur et le résolveur. DoH encapsule DNS dans HTTPS tandis que DoT utilise TLS natif sur un port dédié, offrant différentes options de déploiement. Selon Cloudflare, le chiffrement réduit l’exposition des requêtes sur les réseaux partagés.
Critères choix résolveurs :
- Confidentialité et politique de logs du résolveur choisi
- Support DoH/DoT et stabilité de service
- Capacités de filtrage et options d’entreprise
- Compatibilité avec Infoblox, Bluecat, Technitium
Comparaison pragmatique des résolveurs et recommandations
Plusieurs acteurs proposent des résolveurs chiffrés publics avec politiques différentes, comme Cloudflare, Google Public DNS, Quad9 ou NextDNS. Les solutions d’entreprise incluent Cisco Umbrella, Infoblox et Bluecat pour des contrôles avancés. Selon OVHcloud, le choix dépendra du compromis entre confidentialité et gouvernance interne.
« Intégration réussie pour notre PME, visibilité améliorée sur les requêtes »
Claire P.
Déploiement en production et surveillance des flux chiffrés
Dans un déploiement, il convient d’évaluer la latence induite par le chiffrement et d’activer la surveillance applicative. Les appliances et résolveurs comme OpenDNS ou CleanBrowsing permettent des politiques de filtrage intégrées. Un plan de tests avant bascule garantit la continuité et minimise les interruptions.
« À mon avis, DoT offre plus de contrôle pour les environnements professionnels »
Alex M.
Source : Cloudflare, « Explaining DoH and DoT », The Cloudflare Blog ; OVHcloud, « Qu’est-ce que la sécurité DNS ? », OVHcloud France ; LeMagIT, « DNS : les meilleures pratiques », LeMagIT.
