Toute l'actualité des noms de domaine et nouveaux gTLDs

Archives de mots clés: dns

La sécurité du DNS fâche la gouvernance d’Internet

La ccNSO (Country Code Name Supporting Organization of the lnternet Corporation), organisation de support technique de l’Icann (Internet Corporation for Assigned Names and Numbers), a vivement critiqué les déclarations de Rod Beckstrom, sur la faible sécurité de système de nom de domaine (DNS).

Lors d’un discours, tenu mardi à Nairobi pendant la session du comité consultatif de l’Icann, Rod Beckstrom a déclaré qu’il était nécessaire de concentrer les efforts pour protéger le DNS, car le système est soumis à des attaques, le rendant fragile et vulnérable, et pourrait «être mis hors de service à tout moment ». » Lors de cette séance, le dirigeant a souligné auprès des membres que plusieurs abus avaient été commis contre le DNS par certains pays, dont le nom n’a pas été dévoilé et a promis d’écrire aux membres du Comité consultatif pour s’enquérir de l’état du DNS chez eux. « Le système de nom de domaine, est, comme jamais auparavant, sous le feu d’attaques préoccupantes. J’ai personnellement consulté au niveau international plus de 20 responsables des registries et des registrars de premier niveau. Tous s’accordent à dire que les attaques contre les DNS ne cessent d’augmenter, de même que leur complexité. Ils sont extrêmement préoccupés par cette situation » a expliqué le responsable.

Inquiétude sur les acquis

Chris Disspain, président du conseil du ccNSO, a contesté cette déclaration, la qualifiant d’«incendiaire.» Selon lui, ces propos risquent de faire perdre aux gestionnaires des ccTLD (Country Code Top Level Domain) et aux représentants du comité consultatif les acquis obtenus en matière de sécurité des DNS. «Vos propos exprimés à des représentants gouvernementaux au sujet – selon vous – de l’état précaire de la sécurité du DNS, peuvent potentiellement remettre en cause les relations constructives et productives établies au sein de l’organisation de l’Icann et des participants tiers » souligne le responsable et d’ajouter « cela pourrait fortement inquiéter les gouvernements sur la manière dont des éléments sensibles concernant les ressources Internet sont exploités et gérés dans leur pays. »

Le conseil du ccNSO est également préoccupé des intentions de Rod Beckstrom de demander aux gouvernements un rapport sur l’état de leur DNS, afin notamment d’estimer s’il est en mesure de résister aux attaques. L’organisme technique estime en effet qu’un tel processus est de nature à compromettre la façon dont les gestionnaires de ccTLD (Country Code Top Level Domain) opèrent dans leur pays. Même si Chris Disspain a admis la légitimité de Rod Beckstrom de répondre à ces questions, il estime que sa déclaration a discrédité les énormes efforts déployés par la communauté de l’Icann pour assurer la sécurité et la stabilité du système de DNS.

S’adressant au président de l’Icann, Chris Disspain a déclaré : « Nous suggérons à l’Icann de travailler avec toutes les parties internes et externes pour faire une analyse détaillée des mécanismes actuellement en place pour assurer la sécurité permanente des DNS. En premier lieu, nous l’invitons à partager avec nous et d’autres intervenants les faits ou les études qui l’ont conduit à faire ces déclarations. »

Source: Lemondeinformatique.fr
Auteur: Jean Eylan

.ORG to Fully Deploy DNSSEC in June

.ORG, The Public Interest Registry to complete its final step of DNSSEC deployment by June 30, 2010

.ORG, The Public Interest Registry (PIR) today announced plans to complete the final step to realizing full DNSSEC deployment in the .ORG registry by accepting second level signed .ORG zones beginning in June of 2010. This positions .ORG as the first generic top-level domain (TLD) to offer full DNSSEC deployment.

All registrars can now plan to offer an additional security service to their customers. The benefits of DNSSEC include the ability to thwart the increasing predominance of attacks like pharming, cache poisoning, and DNS redirection that have been used to commit fraud, distribute malware, and/or identity theft. DNSSEC, an upgrade to the internet infrastructure, protects Internet resolvers (clients) from forged DNS data, such as that created by DNS cache poisoning.

« This announcement coupled with recent ones by Comcast, various ccTLDs and even ICANN, is an important signal not only for application providers, ISPs, and telcos, but also for registrars to begin planning for their implementation now, to address the need for enhanced security for their customers, » said Alexa Raad, CEO of PIR. « Ensuring Internet security and stability are among our highest priorities and being the first to fully deploy DNSSEC positions .ORG registrants to be amongst the first to safeguard their users from escalating security threats, especially as Internet usage continues to grow exponentially. »

Launching signed delegations, with the technical support of Afilias, is the final step in PIR’s phased approach to fully deploying DNSSEC within the .ORG zone. A rigorous « friends and family » testing phase, started in June of 2008 has enabled PIR not only to thoroughly test and address operational and deployment issues related to zone management, key distribution and rollover, but also to assist registrars in the development and deployment of the service.

« We applaud PIR’s leadership in the deployment of DNSSEC in the gTLD space, » said Rod Beckstrom, President and Chief Executive Officer of ICANN. « Opening up general registration of signed zones in .ORG is a major step forward. »

All interested registrars must pass a mandatory DNSSEC Certification Test

Source: Circle ID

L’AFNIC améliore les dns des sites en .fr

L’AFNIC déploie son propre cloud anycast afin d’accélérer les réponses du .fr et la qualité du service de résolution de noms de domaine.

L‘AFNIC modifie sa structure des DNS pour améliorer le temps de réponse des DNS .fr; il était temps.

Depuis plusieurs années, l’AFNIC utilise la technologie anycast, qui permet d’augmenter les performances et la sécurité des infrastructures DNS. Elle améliore en particulier, au fur et à mesure de l’extension de la couverture géographique, la qualité du service DNS en terme de temps de réponse et de solidité. En multipliant les serveurs, elle offre en effet une meilleure résistance aux attaques par saturation.

Tout en maintenant une couverture mondiale avec près de 60 noeuds, l’AFNIC a placé de nouveaux serveurs DNS à plusieurs endroits en France et en Europe, notamment Lyon qui est bien placé d’un point de vue réseau car proche de la Suisse et de l’Italie. C’est ainsi que depuis le 4 décembre dernier, l’AFNIC dispose d’un cloud anycast sur les infrastructures de Rézopole/Lyonix, le GIX de Lyon. Ce nuage entièrement géré par l’AFNIC couvre aussi La Réunion et prochainement d’autres villes comme Bruxelles et Paris.

L’objectif est double :

– acquérir la maîtrise de cette technologie afin de pouvoir ouvrir de nouveaux sites en complément de ceux gérés actuellement par ses prestataires.

– déployer les infrastructures DNS afin d’augmenter leur densité au plus près des utilisateurs sur le territoire français.

Source: Alouit-Multimedia.com

AFNIC : attention à la racine DNS !

Dès mai prochain, tous les serveurs de la racine sur lesquels reposent le fonctionnement des noms de domaine devront émettre des réponses DNS signés, selon le protocole DNSSEC. Cette modification, importante pour le réseau, doit fournir une meilleure sécurité et authentification. Mais l’afnic soulève aussi un problème gênant : les risques de coupure de connexion DNS ! Ainsi l’Afnic conseille vivement de vérifier si son réseau est potentiellement concerné , vérifier si la réponse dépasse 1500 octets, analyser l’ensemble du réseau et les équipements de type pare-feux. Les tests peuvent se faire avec l’outil dig… Il faudra aussi surveiller le comportenent des serveurs web (ceux des fournisseurs).
Techniquement, la racine du DNS sera signée par DNSSEC. Il s’agit donc d’une signature cryptée d’une taille de 5 à 10 fois plus grosses que les réponses DNS actuelles, pouvant dépasser la limite haute des 1500 octets.

Auteur: François Tonic
Source: www.solutions-logiciels.com

Google souhaite étendre le protocole DNS

Au mois de décembre, nous apprenions que Google avait lancé son propre service de résolution de domaines. Baptisé Google Public DNS ce dernier nous promet un Internet plus rapide, plus sûr et respectant les principes de neutralité du net. Rappelons que le serveur DNS se charge de traduire un nom de domaine (ex : google.com) et l’adresse IP du serveur sur laquelle ce site Internet est hébergé.

« Nous pensons qu’une infrastructure DNS plus rapide pourrait améliorer l’expérience de navigation pour tous les internautes de manière significative », avait alors affirmé Google. Aujourd’hui nous en savons un peu plus. En effet, la firme de Mountain View, accompagnée de plusieurs fournisseurs de service DNS, a envoyé une proposition au groupe de travail DNSext visant à modifier le protocole en question.

Lorsque la communication est établie entre la machine et le serveur, Google souhaite que plusieurs informations périphériques soient envoyées et notamment la localisation de l’internaute. Cette mesure s’appuie sur l’adresse IP de ce dernier. Cependant afin de garantir la vie privée de l’utilisateur, Carlo Contavalli et Wilmer van der Gaast expliquent : « notre proposition pour le protocole DNS permettrait aux serveurs de noms récursifs (NDLR : par exemple celui d’un FAI) d’inclure une partie de votre adresse IP lors d’une requête auprès d’un serveur racine ». Ils ajoutent que seuls les trois premiers octets ou les 24 premiers bits seraient ainsi envoyés et s’avéreraient suffisants pour déterminer la position géographique de l’internaute tout en conservant son anonymat. Il en résulterait alors un processus de communication beaucoup plus rapide.

Si elle venait à être acceptée par le groupe DNSext, cette proposition pourrait alors dessiner l’avenir du standard DNS.

Auteur: Guillaume Belfiore
Source: www.neteco.com

UltraDNS attaqué en DDoS : Amazon.com et walmart.com impactés

Le père fouettard est passé en avance pour UltraDNS, opérateur de services de résolution de noms (DNS) sur Internet : Ses serveurs en charge d’assurer la conversion des noms de machine en des adresses IP ont été la cible d’attaques en déni de service distribué (DDoS).

Cet assaut numérique a eu pour conséquence visible de rendre difficile, voire même impossible, l’accès à de grands sites de commerce online comme Amazon et Walmart.

Effectivement, on peut voir que les noms de domaine amazon.com et walmart.com sont gérés par les serveurs d’UltraDNS : Si ces derniers sont inacessibles, il sera impossible pour votre navigateur préféré de trouver l’adresse IP correspondante…

Le problème aurait duré environ 1h dans la journée du 24 décembre. La conséquence pour Amazon/Walmart ? Une perte directe de chiffre d’affaire.

Ce problème aurait aussi impacté indirectement des sites hébergés sur le Cloud d’Amazon.
Attaquer les serveurs DNS c’est un peu comme mettre un coup dans les genoux de votre adversaire : Sans résolution DNS, plus rien (ou presque) ne fonctionne.

Que faire pour se protéger de ce type d’attaques ?
– Répartir sa résolution DNS auprès de différents fournisseurs et non pas un seul.
– Utiliser plus de 2 serveurs DNS distribués géographiquement derrière des accès distincts.
– Protéger ses serveurs DNS contre les attaques en déni de service, c’est qu’UltraDNS aurait fait.
– Consulter son fournisseur/prestataire de connectivité Internet pour savoir ce qu’il peut proposer comme services de protection contre les attaques en déni de service.
– Vérifier le niveau de redondance des serveurs DNS de votre fournisseur. Il n’est jamais trop tard pour demander quelles précautions sont prises mais c’est mieux de se poser les questions avant l’attaque.
– Faites comme les cybercriminels : Utilisez des techniques de type Fast-Flux ou de double Fast-Flux… Certains pourront penser que cela peut sembler un peu « fou-furieux » mais pas tant que cela.

Auteur : Jean-François Audenard
source Orange-Business.com

Un député souhaite nationaliser Internet

S’inspirant du modèle chinois, le député UMP des Yvelines, Jacques Myard, souhaite nationaliser le réseau Internet. Il va déposer un projet de loi au début de l’année 2010.

Internet est aux mains des hackers et des Américains. Voilà en substance l’argumentaire développé par Jacques Myard, député-maire de Maisons-Laffitte, pour proposer la nationalisation du réseau Internet.

Jacques Myard
Jacques Myard
Le député-maire de Maisons-Laffitte va déposer une loi pour nationaliser les DNS.

Il s’appuie pour cela sur les conclusions d’un rapport parlementaire, qu’il a co-écrit avec un autre député, Jean-Michel Boucheron (1), sur les enjeux géostratégiques des proliférations.

« Les sites gouvernementaux ou sensibles comme ceux de la Bourse et des banques font couramment l’objet de cyberattaques. L’Allemagne, l’Estonie et même la France en ont fait les frais, explique le député. Si on ne veut pas que ces hackers parviennent à prendre le contrôle de centrales nucléaires ou à paralyser le système aérien, l’Etat doit être en mesure d’avoir la maîtrise du réseau en cas de problème. »

La solution pour éviter ce scénario catastrophe : nationaliser le réseau en confiant la gestion des DNS à un organisme public français ou européen. Car en plus du piratage, Jacques Myard pointe du doigt une autre menace : la suprématie américaine. « C’est l’Icann qui attribue les DNS (Domain Name System) aux différents opérateurs, or cet organisme est le faux nez du gouvernement américain », s’enflamme le député.

Il est vrai que l’organisme chargé de la gestion des noms de domaine entretient des liens étroits avec le ministère du Commerce américain, une influence que divers Etats et l’Europe tentent de minimiser.

Mais Jacques Myard en tire des conclusions un peu faciles, puisqu’il estime que cette maîtrise technique des DNS permet aux Etats-Unis d’espionner le monde entier, que ce soit pour assurer leur sécurité ou leurs intérêts économiques. Il égratigne au passage d’autres firmes emblématiques américaines, comme Google, qui permet de suivre les faits et gestes des internautes, ou encore Microsoft : « Windows est tout pourri. Ses multiples failles permettent aux hackers de s’infiltrer partout»

Préservation de la liberté de communication

Face aux arguments avancés sur la difficulté de nationaliser les DNS, le député cite l’exemple de la Chine. « Ce pays a réussi à mettre en place un réseau totalement indépendant, capable de filtrer l’accès aux contenus. » Une comparaison inquiétante pour la préservation de la liberté d’expression. Mais Jacques Myard précise ses intentions.

Il affirme qu’il n’y aurait aucun contrôle sur les contenus échangés. « On peut considérer que l’organisme national qui gérerait les DNS travaillerait comme La Poste. Il se chargerait uniquement de l’acheminement des données. » Et de conclure qu’aucun fonctionnaire de La Poste n’est chargé d’ouvrir les lettres.Il en ira de même avec les contenus échangés sur le réseau.

Il va même jusqu’à prétendre que la liberté de communication sera renforcée, puisque les Etats-Unis ne pourront plus avoir accès aux données échangées. Oubliant au passage que les renseignements américains ont d’autres moyens de savoir ce qui se passe dans le monde, comme le réseau Echelon.

Malgré tout, le député croit en son projet. Il va s’entretenir avec des équipes d’informaticiens au cours du mois de janvier 2010 pour peaufiner le dossier. Une proposition de loi devrait être déposée dans la foulée.

auteur : Coralie Cathelinais
Source 01Net.com

L’AFNIC étend ses infrastructures à Lyonix

L’AFNIC arrive sur Lyon, grâce à la mise en place d’un serveur DNS sur Lyonix, pour mieux servir les noms de domaines en .fr.
D’un côté, l’AFNIC (Association Française pour le Nommage Internet en Coopération), association loi 1901 qui gère les noms de domaine en « .fr ». De l’autre, Rezopole/Lyonix, le GIX de Lyon.
L’AFNIC a installé une plateforme redondante sur Lyonix 1 et Lyonix 2 pour annoncer les noms de domaine en .fr. « L’objectif principal est de renforcer notre infrastructure DNS afin d’améliorer le service que l’AFNIC offre à la communauté », explique Jean-Philippe Pick, ingénieur réseaux, responsable du service DNS de l’AFNIC .
En effet, jusqu’alors les serveurs opérés en métropole par l’AFNIC étaient tous situés en région parisienne. «  Nous avons choisi de placer de nouveaux serveurs DNS à plusieurs endroits en France et en Europe. En France, Paris était déjà très bien couvert, et afin d’inverser cette tendance, nous avons décidé de regarder du côté de Lyon ou de Marseille. Lyonix est alors apparue comme un très bon choix. De plus, il est bien placé d’un point de vue du réseau (proche de la Suisse et de l’Italie) », continue l’ingénieur réseaux, responsable du service DNS de l’AFNIC.
C’est pourquoi, afin d’améliorer le service DNS en .fr, l’AFNIC a mis en place un ensemble de nouveaux serveurs utilisant la technologie Anycast, dont le point principal est situé sur le point d’échange Lyonix et est connecté au reste d’Internet par Renater et Jaguar Network le tout en ipv4 et ipv6. Dans un premier temps, ce nuage couvrira aussi Paris et la Réunion puis sera étendu en 2010, à d’autres villes françaises ou européennes.
Du côté de Lyonix, son directeur Samuel Triolet confirme : « C’est un brillant exemple de décentralisation d’internet et nous sommes heureux et fiers d’accueillir des serveurs de DNS de l’AFNIC ». L’AFNIC a une politique ouverte de peering et pourra échanger du trafic internet localement sur Lyon avec l’ensemble des membres de Lyonix.

Source News-eco.com

L’Icann part en guerre contre la redirection des DNS en cas d’URL mal orthographiées

On a beau faire attention, et les navigateurs ont beau simplifier la notation d’URL, il arrive encore fréquemment que l’adresse Web tapée comporte des erreurs, et amène vers un site à vocation publicitaire (ou pire). C’est contre cette pratique de redirection des DNS (Domain name system) que l’Icann (Internet corporation for assigned names and numbers), qui gère le système mondial des noms de domaines sur Internet, part en guerre. L’institution a formellement condamné ces pratiques, et propose de les interdire à l’avenir.

Pour l’Icann, une URL mal tapée ou la tentative d’accéder à un domaine qui n’existe pas (renvoyant la propriété NXDOMAIN) devrait être très clairement indiquée à l’internaute. Or, certains opérateurs de DNS en profitent pour substituer à ces fausses adresses IP celles d’autres domaines (pratique appelée NXDOMAIN substitution).

L’Icann voit dans cette pratique de captation de trafic plusieurs risques. Pour l’utilisateur, d’abord, dont les temps de réponse peuvent s’allonger (dans le cas d’un courriel envoyé au domaine en question, il pourrait même ne jamais être averti que ce dernier n’existe pas), ou qui peut arriver sur un site mal famé. Ainsi, exemple concret, pour joindre la chaîne de magasins Boulanger, le fait de taper Boulanger.com à la place de Boulanger.fr renvoie vers Searchresultsdirect.com, un site « de mauvaise réputation », à en croire l’alerte générée par le plug-in de Web of Trust (voir l’image).

L’Icann pointe aussi les dangers que cela fait courir à l’architecture même. Une telle implémentation, explique l’institution, n’est pas neutre, et dès lors chaque mise en oeuvre devrait faire l’objet de tests poussés. Même alors, d’autres problèmes demeureraient : point de faiblesse unique, risque de fragmentation de l’écosystème DNS, ou de voir des données sensibles transiter par des pays aux législations différentes…

auteur : Olivier Rafal / IDG News Service
Source LeMondeInformatique.fr

Opération blindage pour l’adressage du Web

VeriSign et l’Icann ont posé les fondements pour une généralisation du protocole DNSSEC, permettant de sécuriser les noms de domaine sur le Web. Sur les serveurs racine de l’Internet, le déploiement débutera d’ici à la fin de l’année.

C‘est parti ! L’Icann, l’organisme qui gère les noms de domaine, et l’opérateur VeriSign ont décidé de mettre les bouchées doubles dans l’implémentation du protocole DNSSEC (DNS Security Extensions) avec, à la clé, une feuille de route précise pour le déploiement sur les serveurs racine. Ensuite, Verisign implémentera ce protocole sur les domaines .com et .net, dont il est responsable. 

DNSSEC est un protocole qui, grâce à un système de signature électronique, permet de vérifier l’authenticité de la réponse d’un serveur DNS. Son fonctionnement est hiérarchique. Chaque serveur d’une zone DNS (.fr, .com, inria.fr, etc.) disposera d’une paire de clés de signature à chiffrement asymétrique, appelée Zone Signing Keys (ZSK). L’une des clés est publique, l’autre privée. Cette dernière sert à signer les données DNS que délivre le serveur de zone. Un client DNS qui reçoit une réponse signée d’un de ces serveurs pourra déchiffrer la signature au moyen de la clé publique et vérifier, ainsi, la provenance et l’intégrité des données.

Pour autant, ce système de clés ne permet pas de savoir à 100 % si le serveur lui-même est réellement digne de confiance : un usurpateur pourrait se substituer à lui et diffuser ses propres ZSK. C’est pourquoi les serveurs de zone disposent d’une deuxième paire de clés asymétriques. Appelées Key Signing Keys (KSK), elles servent à signer les ZKS des zones inférieures (01net.com, afnic.fr, etc.), créant ainsi une chaîne de confiance sur l’ensemble des URL. Un navigateur n’obtiendra la confiance d’une zone de niveau n (01net.com), que s’il a obtenu la confiance des zones de niveau supérieur (.com).

Une paire de clés maître pour sécuriser tout l’Internet

La mise en œuvre de DNSSEC est discutée depuis longtemps, mais elle n’est envisagée sérieusement que depuis la découverte d’une grave faille dans le DNS en 2008 qui, justement, faisait apparaître la possibilité d’usurper un serveur DNS et de dévier un trafic Web vers des sites pirates. La grande difficulté dans l’implémentation de DNSSEC est la gestion hiérarchique des clés. Or, l’Icann et VeriSign sont maintenant tombés d’accord sur la manière d’introduire ce protocole au niveau des serveurs racine, afin de créer la base de cette chaîne de confiance. 

Ainsi, les ZSK des serveurs racine seront générées et détenues par VeriSign, qui les renouvellera tous les trois mois. Ces ZSK seront signés par une paire de clés maître KSK, qui sera générée et détenue par l’Icann. Toute la sécurité de DNSSEC s’appuiera in fine sur cette fameuse paire de clés KSK, sur laquelle l’organisme veillera comme sur un véritable trésor. Sauvegardée et dupliquée sur deux sites physiques distincts, cette paire est renouvellée tous les deux à cinq ans. Sa gestion – création, activation, signature, renouvellement, sauvegarde, etc. – est répartie sur sept personnes de la communauté Internet qui devront se coordonner. Ainsi, une procédure de génération ou de signature nécessitera la présence physique d’au moins trois d’entre eux.  

Les principes techniques sont décrits dans un document de travail, disponible sur le site du NTIA (National Telecommunications and Information Administration).

Les domaines .com et .et opérationnels d’ici à mars 2011

Le déploiement mondial de DNSSEC

Le déploiement mondial de DNSSEC

Côté déploiement, le planning est serré. La génération des premières clés maître KSK se fera en décembre prochain. Le déploiement des clés ZSK sur les 13 serveurs racine se fera dans la foulée, mais de manière progressive, jusqu’en mai ou juin 2010. VeriSign s’attaquera ensuite aux domaines .com et .net. Sur ces deux zones, DNSSEC devrait être opérationnel d’ici à la fin du premier trimestre 2011. L’opérateur va aider les bureaux d’enregistrement dans leur migration vers DNSSEC. Il a également mis en place un laboratoire d’interopérabilité pour tester la conformité des équipements et logiciels réseaux avec ce protocole.

Les .com et .net ne seront pas les premiers domaines à adopter DNSSEC, comme le montre la carte du fournisseur Xelerance. Les .org et .gov ont déjà passé le cap, ainsi que certains domaines de pays (Suède, République tchèque, Bulgarie, Brésil, Porto Rico, Namibie, Thaïlande, Turkmenistan). Pour le .fr, le déploiement de DNSSEC est géré au sein du projet IDSA

Il faut préciser, toutefois, que ce protocole n’est pas une solution magique. « DNSSEC est une composante importante de la sécurité sur Internet, mais ne résout pas tous les problèmes, explique Ken Silva, directeur technique de VeriSign, dans un communiqué. C’est pourquoi il faut mettre en place d’autres couches de protection, comme l’Extended Validation SSL ou l’authentification à double facteur. »

Auteur : Gilbert Kallenborn
Source 01Net.com