Le DNS (Domain Name System) est un système de nommage arborescent assez ancien, mais qui a su évoluer. Il est toujours à la base notamment du World Wide Web (WWW), pour la consultation des sites web ; ou de la grande majorité des réseaux professionnels. Cependant, il est encore souvent utilisé de manière non sécurisée.
Disponibilité
Le protocole est bien fait. Un nom de domaine peut avoir plusieurs serveurs faisant autorité sur une zone, et permet donc de distribuer la charge des requêtes. Cela permet aussi de palier à une indisponibilité d’un serveur, d’un réseau (IP/AS). Pour cela, il faut bien distribuer la configuration.
Il faut cependant bien veiller à configuration de ses serveurs DNS, pour ne pas qu’ils soient saturés de requêtes par du déni de service (DOS, rate-limit). Vous veillerez aussi à filtrer en amont le trafic avec ses opérateurs, pour éviter le déni de service distribué (DDoS).
Intégrité
DNSSEC (Domain Name System Security Extensions) est une extension DNS qui permet à un client de valider la réponse DNS sur les domaines et TLD pris en charge.
Les résolveurs vérifient la signature numérique des réponses DNS pour vérifier que les données correspondent à ce que le propriétaire de la zone a initialement configuré. Cela repose sur l’utilisation d’un chiffrement asymétrique et utilise donc un schéma utilisant deux clés: une clé privée et une clé publique. Le but de DNSSEC est de protéger contre l’empoisonnement de cache DNS (DNS cache poisoning)
Contrairement à d’autres protocoles comme TLS, il ne sécurise pas un canal de communication mais il protège les données, les enregistrements DNS, de bout en bout. Ainsi, il est efficace même lorsqu’un serveur intermédiaire trahit la réponse (ment).
Confidentialité
DoH et DoT établissent un tunnel sécurisé entre le client et le serveur DNS. Ils garantissent qu’un client reçoit des informations d’adresse IP précises, éliminant ainsi les opportunités pour les tiers de voir à quels sites Web un utilisateur tente d’accéder.
Pour assurer une confidentialité DNS maximale, DoH et DoT fonctionnent mieux en tandem avec DNSSEC et d’autres mesures de sécurité qui valident les autorités de certification SSL (CA) utilisées pour les connexions au site.
Différences entre DoT et DoH
DNS Over TLS comme son nom l’indique s’appuie sur le protocole TLS (Transport Layer Security).
De ce fait DoT fonctionne avec le protocole TCP avec comme port par défaut 853. Cela rend donc ce dernier assez facile à bloquer puisqu’il suffit d’interdire la connexion vers ce port sortant.
DNS Over HTTPs se base donc sur le chiffrement HTTPS qui fonctionnent en standard sur le port 443. Cela rend donc le blocage de ce dernier plus difficile puisqu’il se mélange avec le trafic HTTPS classique. Sachant qu’en plus, on peut le configurer sur le navigateur WEB, cela permet de contourner la configuration du poste.
En conclusion
Implémenter ces mesures de sécurité est incontournable pour la diffusion dans le DNS d’infomations comme des enregistrements SPF, des clés DKIM ou une politique DMARC.