Missing or misconfigured DNSSEC

DNSSEC manquant ou mal configuré

Risk: medium

Description

DNSSEC ajoute des signatures cryptographiques aux enregistrements DNS existants, permettant aux résolveurs de vérifier l'authenticité et l'intégrité des réponses DNS. Lorsque DNSSEC est manquant ou mal configuré, cela peut entraîner :

1. Un manque d'authentification d'origine pour les données DNS
2. L'incapacité d'assurer l'intégrité des données des réponses DNS
3. Une vulnérabilité accrue aux attaques de l'homme du milieu (man-in-the-middle)
4. Un potentiel de redirection malveillante du trafic réseau

L'absence ou la mauvaise configuration de DNSSEC peut avoir des conséquences importantes. Les attaquants peuvent acquérir la capacité d'intercepter et de manipuler les requêtes DNS, redirigeant potentiellement les utilisateurs vers des sites Web frauduleux qui imitent des services légitimes. Cela peut conduire à diverses activités malveillantes, notamment le vol d'identifiants, la distribution de logiciels malveillants ou l'interruption de service. De plus, si de telles attaques se produisent ou sont connues, cela peut entraîner une perte de confiance dans les services en ligne du domaine, ce qui peut nuire à la réputation de l'organisation et à la confiance des utilisateurs.

Recommandation

Pour résoudre le problème, assurez-vous de faire ce qui suit :

1. Implémenter DNSSEC : Activez DNSSEC sur tous les serveurs DNS de référence pour le domaine, assurez-vous de tester minutieusement votre implémentation.

2. Configurer correctement les enregistrements DNSSEC :

3. Générer et publier des enregistrements DNSKEY
4. Créer et signer des enregistrements RRSIG pour tous les ensembles d'enregistrements DNS

5. Publier les enregistrements DS dans la zone parente

6. Gestion des clés :

7. Mettre en œuvre un processus de gestion sécurisée des clés
8. Effectuer une rotation régulière des clés DNSSEC (ZSK et KSK)

9. Mettre à jour les enregistrements DS avec la zone parente après le renouvellement des clés

10. Validation et surveillance :

11. Utiliser des outils de validation DNSSEC en ligne pour vérifier l'implémentation correcte

12. Configurer une surveillance pour les problèmes liés à DNSSEC et les dates d'expiration

13. Infrastructure DNS :

14. S'assurer que tous les serveurs DNS prennent en charge DNSSEC

15. Configurer les résolveurs récursifs pour effectuer la validation DNSSEC

16. Révision et mise à jour :

17. Réviser régulièrement la configuration DNSSEC pour les meilleures pratiques
18. Maintenir à jour les logiciels DNS et les outils DNSSEC

Liens

• Demonstrate DNSSEC in a Test Lab (Microsoft Learn)
• How DNSSEC Works (CloudFlare)
• DNSSEC explained
• feedbackDNS Security Extensions (DNSSEC) overview (Google Cloud)

Normes

• SOC2_CONTROLS:
  • CC_6_1
  • CC_6_6
  • CC_6_7
  • CC_7_1
• GDPR:
  • ART_32
• CCPA:
  • CCPA_1798_150
• HIPAA_CONTROLS:
  • SECURITY212
  • SECURITY213