[DNS Auditing Tool – Partie 1] Introduction à la sécurité du protocole DNS

Par Rédaction, secuobs.com
Le 19/12/2007


Résumé : DNS est utilisé dans la majeure partie des réseaux locaux cependant il a été développé avec des contraintes fortes de performance, au détriment de sa sécurité, afin de ne pas dégrader le trafic régulier de par le nombre conséquent de requêtes qui est associé à la nature de ce protocole.



DNS ( Domain Naming System - lien ) est un des protocoles clefs d'Internet, avec plusieurs grands protocoles de routage et notamment BGPv4 ( Border Gateway Protocol - lien ). Il est également utilisé dans la majeure partie des réseaux locaux actuels avec, selon la topologie retenue, un ou plusieurs serveur(s) DNS interne(s).

Cet ancien protocole n'a pas été développé avec des contraintes fortes de sécurité, mais principalement des contraintes de performances. Le critère retenu étant à l'époque l'optimisation des performances qui ne devaient globalement pas dégrader le trafic en raison de la fréquence importante de ces requêtes.

DNS étant au centre de toutes les communications IP (comment Internet pourrait-il fonctionner aujourd’hui sans la résolution des noms ?), il représente un pilier des communications et est donc une cible de choix pour des attaquants désireux de détourner du trafic afin de l’écouter, le modifier, ou directement en injecter.

DNS, dans sa version originale - celle qui est encore actuellement la plus utilisée - comporte plusieurs failles intrinsèques qui ne peuvent être corrigées, à moins d'utiliser DNSSec ( lien ) ou combiner différentes couches de sécurité à plusieurs niveaux différents ( IPSec lien , etc.).

Il est cependant possible de limiter considérablement les risques en adaptant la topologie du réseau (Local Area Network, zone démilitarisée DMZ, etc.). Les DNS secondaires (mis à jour avec les fameux « transferts de zone ») peuvent également être la cible d’attaques visant un réseau particulier.

La majeure partie des transactions DNS s’effectue sur le port 53/UDP, hormis les requêtes de tailles trop importantes ou les transferts de zone qui transitent sur le port 53/TCP. Tout au long de cet article, les attaques et contre-mesures décrites concernent quasi-exclusivement les paquets UDP ( lien ) du trafic DNS.

DNSA (DNS Auditing tool) est un "couteau suisse" de la sécurité du point de vue de la résolution de noms. Il peut être utilisé conjointement avec un scanner de vulnérabilités pour identifier les différents serveurs DNS (primaires et secondaires), identifier les types et versions des serveurs, etc.

Des outils tels que DIG ( Domain Information Groper - lien ), host, ou encore nslookup permettent d’interroger les serveurs DNS de façon interactive et ainsi récolter de nombreuses informations qui seront ensuite utiles au traitement avec DNSA.


Autres ressources dans ce dossier :

[DNS Auditing Tool – Partie 2] Mises en évidence des failles DNS – lien

[DNS Auditing Tool – Partie 3] Installation et configuration de DNSA – lien

[DNS Auditing Tool – Partie 4] Utilisation de DNSA – lien

[DNS Auditing Tool – Partie 5] Conclusion et webographie – lien