Contact Us
Head Banner

Sécurité DNS (Domain Name Systems)

Sécurité DNS

Dépourvus d'une sécurité appropriée, les serveurs DNS (Domain Name System) de beaucoup d'organisations ont été exposés de manière répétée à des menaces telles que la contamination de la mémoire cache (injection de données incorrectes ou frauduleuses dans la mémoire cache du serveur de noms qui sont ensuite servies aux utilisateurs), redirection d'appels téléphoniques, attaques man-in-the-middle pour voler des mots de passe, redirection de messages électroniques, attaques par déni de service, etc.

Le DNSSEC (Domain Name Systems Security Extensions) protège la hiérarchie de serveur DNS en signant numériquement les enregistrements DNS, s'assurant que les messages reçus sont bien ceux qui ont été envoyés.

Grâce au DNSSEC, les organisations peuvent :

  • Renforcer leur sécurité . La sécurité DNS peut contribuer à lutter contre la contamination du cache, les appels téléphoniques redirigés, les attaques man-in-the-middle, etc.

  • Respecter les réglementations. Le DNSSEC peut aider à obtenir la conformité ICANN, NSEC et à d'autres directives et réglementations.

  • Réduire leurs dépenses. En se protégeant des menaces réseau, les organisations évitent de consacrer du temps et de l'argent aux activités de défense, d'identification et de réparation après une attaque.


Sans protection fiable, la sécurité du DNS n'est pas établie

Clé de chiffrement verte

Le DNSSEC utilise principalement des infrastructures à clé publique (PKI) pour protéger les communications entre les serveurs DNS. En tant que PKI, le DNSSEC a besoin de nouvelles procédures telles que la génération et la gestion de clés et la signature. Toutefois, en dépit des avantages théoriques apportés par le DNSSEC, les bénéfices apportés ne sont pas garantis du fait que les enregistrements de ressources produits par un DNSSEC sont conservés dans un fichier non chiffré.

Ce n'est que lorsque toute l'infrastructure DNSSEC est complètement protégée que ces organisations peuvent commencer à tirer pleinement parti des avantages de DNSSEC. Pour y parvenir, elles doivent :

  • Protéger les signatures numériques. Les messages DNS doivent être signés numériquement pour garantir la validité des services DNS.

  • Contrôler l'accès. Les organisations doivent veiller à ce que seuls les clients et les employés autorisés puissent accéder aux applications et aux données sensibles.

  • Maintenir l'intégrité des applications. Tous les codes et processus associés aux applications doivent être protégés pour garantir l'intégrité et interdire toute exécution d'application non autorisée.

  • Évoluer pour gérer des traitements importants. Les mises à jour de DNS étant très fréquentes, les infrastructures DNSSEC doivent apporter les performances et l'évolutivité requises pour assurer en permanence un traitement rapide.

View DNSSEC avec des HSM Bibliothèque de données

La sécurité DNS à l'aide de modules matériels (HSM)

Icône Module matériel de sécurité

Pour garantir la validité des services DNS, les messages DNS doivent être signés numériquement. Les clés privées de signature doivent être efficacement protégées pour bénéficier du niveau de sécurité requis. Si les clés et certificats numériques correspondants sont compromis, la chaîne de certification de la hiérarchie DNS est brisée et tout le système devient obsolète. D'où l'importance des modules matériels de sécurité (HSM).

Les modules matériels de sécurité (HSM) sont des systèmes dédiés qui protègent de manière physique et logique les clés de chiffrement ainsi que le traitement qui est au coeur des signatures numériques. Les HSM apportent les fonctions suivantes :

  • Gestion du cycle de vie, y compris la génération, la distribution, la rotation, le stockage, l'abandon et l'archivage des clés.

  • Traitement du chiffrement, qui présente deux avantages : isoler et décharger les serveurs d'applications des opérations de traitement du chiffrement.

En conservant les clés de chiffrement dans un dispositif centralisé et renforcé, les HSM peuvent éliminer les risques associés à l'hébergement de ces éléments sur des plates-formes hétérogènes mal protégées. De plus, cette centralisation rationalise considérablement l'administration de la sécurité.

Schéma Sécurité DNS avec les HSM SafeNet


[Schéma] Mode de fonctionnement : Sécurité DNS avec les HSM SafeNet

HSM Safenet pour DNSSEC :

  • Compatibilité avec les systèmes de base de confiance DNSSEC

  • Sécurité des clés pour la source et toute la hiérarchie DNS - ZSK et KSK

  • Grâce au puissant moteur de chiffrement, le serveur DNS n'a plus à se charger des opérations de chiffrement

  • Large éventail de HSM adaptés aux multiples besoins de DNSSEC

  • API standard telles que PKCS#11, Java, MS CAPI

  • Modèles validés FIPS et certifiés Common Criteria

  • S'intègre aux principales plates-formes DNS, telles que OpenDNSSEC, BIND 9.7, FreeBSD

Voir le détails des produits SafeNet HSM

Demander plus d'info

View Comment acheter Bibliothèque de données

Utilisez ce formulaire afin de contacter le service commercial

Amérique
Téléphone: 866-251-4269
Remplissez ce court questionnaire
EMEA
Téléphone: +44-01276-608000
Remplissez ce court questionnaire
APAC
Téléphone: 66-251-4269
Remplissez ce court questionnaire

Etats Unis Fédéral Type 1
Téléphone: 443-327-1235
Remplissez ce court questionnaire

Position du bureau
Trouvez un partenaire
D’autres questions? Voici nos coordonnées
View Vue d'ensemble Bibliothèque de données
DNS Hierarchy
CTA HSM Critical Risk Mgmt WP