DNSSEC (Domain Name System Security Extensions) est une extension du système de noms de domaine (DNS) qui offre une sécurité supplémentaire aux requêtes DNS. Son objectif principal est de garantir l’authenticité, l’intégrité et la confidentialité des données DNS en les protégeant contre les attaques d’empoisonnement du cache et d’usurpation d’identité.
A la fin de l'article vous trouverez un petit tester cela vous permettra évaluer les connaissances acquises dans cette lecture
DNSSEC (extensions de sécurité du système de noms de domaine)
DNSSEC utilise la cryptographie à clé publique pour signer numériquement les enregistrements DNS, permettant aux utilisateurs de vérifier l'authenticité des données obtenues à partir d'un serveur DNS. Voici comment fonctionne DNSSEC :
1. Signatures de zones numériques
Dans DNSSEC, une clé de signature de zone (ZSK) est créée pour chaque zone DNS. Cette clé est utilisée pour générer les signatures numériques des enregistrements DNS de la zone. Les signatures numériques sont générées à l'aide d'algorithmes cryptographiques et attachées aux enregistrements DNS correspondants.
2. Clé de signature de zone (ZSK) et clé de signature de clé (KSK)
En plus du ZSK, une clé de signature de clé (KSK) est utilisée pour signer numériquement le ZSK et établir une chaîne de confiance. La KSK est séparée de la ZSK et est utilisée pour signer et renouveler périodiquement la ZSK.
3. Chaîne de confiance
Chaque serveur DNS qui implémente DNSSEC stocke les clés publiques nécessaires à la vérification des signatures numériques. Ces clés publiques sont utilisées pour établir une chaîne de confiance permettant aux utilisateurs de valider l'authenticité des données DNS.
4. Visite d'authentification
Lorsqu'un client effectue une requête DNS, le serveur DNS implémentant DNSSEC envoie les enregistrements demandés ainsi que les signatures numériques correspondantes. Le client peut vérifier l'authenticité des enregistrements à l'aide des clés publiques stockées dans sa configuration DNSSEC.
5. Signature de la chaîne de confiance
Pour établir la chaîne de confiance, la KSK est utilisée pour signer numériquement la ZSK et sa signature est ajoutée à la zone DNS. Cela garantit que les utilisateurs qui font confiance à la KSK peuvent également faire confiance à la ZSK et donc aux données de la zone DNS.
DNSSEC fournit une couche de sécurité supplémentaire au système de noms de domaine en garantissant que les données DNS n'ont pas été modifiées pendant le transit et proviennent de sources légitimes. Cela protège contre les attaques d’empoisonnement du cache DNS, où les attaquants usurpent les réponses DNS et redirigent le trafic vers des destinations malveillantes.
ICMPv6 sécurisé
Secure ICMPv6, également connu sous le nom de Secure ICMP pour IPv6, est une extension d'Internet Control Message Protocol version 6 (ICMPv6) qui offre une sécurité supplémentaire aux messages ICMPv6 sur IPv6.
Son objectif principal est de garantir l'authenticité et l'intégrité des messages ICMPv6, en évitant les attaques d'usurpation d'identité et en garantissant que les messages proviennent de sources légitimes et n'ont pas été modifiés pendant le transit.
Vous trouverez ci-dessous quelques fonctionnalités et mécanismes clés de Secure ICMPv6 :
1. Authentification des messages ICMPv6
Secure ICMPv6 utilise des techniques d'authentification pour vérifier l'identité de la source des messages ICMPv6. Il s'appuie sur l'utilisation de signatures numériques et de cryptographie à clé publique pour authentifier les messages ICMPv6 et garantir qu'ils proviennent de sources fiables.
2. Intégrité des messages ICMPv6
Secure ICMPv6 garantit l'intégrité des messages ICMPv6 en utilisant des signatures numériques. Chaque message ICMPv6 est signé numériquement avec une clé privée pour générer une signature numérique, et cette signature est jointe au message. Dès réception du message, le destinataire peut vérifier l'intégrité du message en utilisant la clé publique correspondante et en vérifiant la validité de la signature numérique.
3. Cryptographie à clé publique
Secure ICMPv6 s'appuie sur une infrastructure à clé publique (PKI) pour gérer les clés publiques et privées requises pour l'authentification et la signature numérique. Chaque entité participante possède sa propre paire de clés publique-privée, où la clé privée est utilisée pour signer les messages et la clé publique est utilisée pour vérifier les signatures.
4. Vérification de la signature numérique
Dès réception d'un message ICMPv6, le destinataire vérifie la signature numérique jointe à l'aide de la clé publique correspondante. Si la signature est valide, cela indique que le message ICMPv6 n'a pas été modifié pendant le transit et provient de la source attendue.
Secure ICMPv6 fournit une couche de sécurité supplémentaire aux messages ICMPv6 sur IPv6, garantissant que les messages sont authentiques et n'ont pas été modifiés. Cela permet d'éviter les attaques d'usurpation d'identité et garantit que les messages ICMPv6 sont fiables et proviennent de sources légitimes.
Il est important de noter que la mise en œuvre et la prise en charge de Secure ICMPv6 peuvent varier selon les systèmes et les périphériques réseau. Tous les appareils ou systèmes d'exploitation ne prennent pas en charge de manière native Secure ICMPv6, et des configurations et paramètres supplémentaires peuvent être nécessaires pour activer et utiliser cette extension de sécurité.
BGPsec (extensions de sécurité du protocole Border Gateway)
BGPsec (Border Gateway Protocol Security Extensions) est une extension du protocole de routage Border Gateway Protocol (BGP) qui offre une sécurité supplémentaire aux itinéraires annoncés sur Internet. Son objectif principal est de garantir l'authenticité et l'intégrité des routes BGP, en empêchant les attaques de routage malveillantes et en améliorant la sécurité de l'infrastructure Internet.
Vous trouverez ci-dessous quelques éléments fondamentaux de BGPsec :
1. Signature d'itinéraire numérique
BGPsec utilise des signatures numériques pour authentifier et valider les routes BGP. Chaque annonce de route BGP est signée numériquement à l'aide d'une cryptographie à clé publique. Cela permet aux routeurs BGP de vérifier l'authenticité des routes et de s'assurer qu'elles proviennent de sources fiables.
2. Chaîne de confiance
BGPsec établit une chaîne de confiance pour valider les routes BGP. Chaque signature numérique de route est vérifiée à l'aide de la clé publique de l'émetteur, et cette clé publique est à son tour authentifiée à l'aide d'une chaîne de certificats et de clés publiques de confiance. De cette manière, une chaîne de confiance est créée qui permet aux routeurs BGP de valider l'authenticité des routes.
3. Mises à jour du protocole
BGPsec introduit de nouvelles mises à jour et extensions du protocole BGP pour prendre en charge la signature et la vérification des routes. Cela implique des changements dans la manière dont les routeurs BGP échangent des informations et traitent les annonces de routage, afin d'inclure les informations nécessaires à l'authentification et à l'intégrité.
4. Infrastructure à clé publique (PKI)
BGPsec nécessite une infrastructure à clé publique (PKI) pour gérer et distribuer les clés publiques et les certificats requis pour la signature et la vérification des routes. La PKI est utilisée pour générer et distribuer des clés publiques et privées, ainsi que pour établir la confiance dans les clés publiques des émetteurs de routes.
5. Atténuation des attaques de routage malveillantes
BGPsec améliore la sécurité de l'infrastructure Internet en atténuant les attaques de routage malveillantes telles que l'empoisonnement de route et l'usurpation d'identité. En garantissant l'authenticité des routes BGP, BGPsec aide à empêcher les attaquants de manipuler le routage et de détourner le trafic vers des destinations malveillantes.
Il est important de garder à l’esprit que BGPsec nécessite l’adoption et la coopération des opérateurs de réseaux et des fournisseurs de services Internet pour être efficace à l’échelle mondiale. Tous les routeurs le long du chemin doivent prendre en charge BGPsec et être correctement configurés pour utiliser cette extension de sécurité.
Bref quiz de connaissances
Que pensez-vous de cet article?
Oserez-vous évaluer vos connaissances acquises ?
Livre recommandé pour cet article
Livre IPv6 avec MikroTik, RouterOS v7
Matériel d'étude pour le cours de certification MTCIPv6E mis à jour vers RouterOS v7