Bien qu’il soit possible de déployer les protocoles DNSSEC dans un logiciel, les attaquants peuvent accéder aux clés de signature et compromettre le processus de requête DNS.

Les DNS sont le carnet d’adresses d’Internet ; ils permettent aux noms de sites Web d’être mis en correspondance avec leurs adresses IP enregistrées. Cependant, la modification illicite des requêtes Web peut diriger les utilisateurs finaux ou les services vers des adresses IP non autorisées. Ils sont alors acheminés vers des serveurs illégitimes afin de voler leurs données. Les protocoles DNSSEC (extensions de sécurité du système des noms de domaine) ont été créées en réponse à cette menace. Les DNSSEC constituent un mécanisme qui fait appel aux signatures numériques pour permettre aux serveurs d’authentifier et de vérifier l’intégrité des réponses DNS aux requêtes.

Illustration DNSSEC

    Défis

    Risques associés aux protocoles DNSSEC

    • Les attaquants qui accèdent à votre processus DNS peuvent attirer les clients vers un site qui ressemble au vôtre, ce qui les incite à fournir des renseignements confidentiels.
    • Bien qu’il soit possible de déployer les protocoles DNSSEC dans un logiciel, les attaquants peuvent accéder aux clés de signature et compromettre le processus de requête DNS.

    Solutions

    DNSSEC : Solutions HSM Entrust nShield

    Les produits et services d’Entrust vous permettent de déployer un processus DNSSEC haute sécurité qui protège votre entreprise et vos informations client, tout en fournissant les performances dont votre entreprise a besoin. Les modules matériels de sécurité (HSM) nShield permettent aux domaines de premier niveau (TLD), aux bureaux d’état civil, aux registres et aux entreprises de sécuriser les processus de signature critiques utilisés pour valider l’intégrité des réponses DNSSEC sur Internet et protéger le DNS de ce que l’on appelle communément « l’empoisonnement du cache » et les « attaques de l’homme du milieu ». Les solutions Entrust offrent des avantages de sécurité éprouvés et vérifiables, permettant une génération et un stockage appropriés des clés de signature afin d’assurer l’intégrité du processus de validation des DNSSEC.

    Avantages

    Avantages des HSM Entrust nShield

    • Assurez l’intégrité du processus de validation des DNSSEC avec des HSM certifiés indépendamment (FIPS 140-2, niveau 3 et Critères Communs EAL4 +).
    • Maintenez une limite matérielle robuste et inviolable, ainsi qu’un mécanisme éprouvé et auditable pour protéger les clés de signature précieuses, même lorsqu’elles sont archivées.
    • Optez pour la séparation des tâches grâce à des contrôles d’accès robustes afin d’atténuer la menace de « super-utilisateurs » uniques et faciliter la conformité réglementaire.
    • Assurez une haute disponibilité et renforcez les performances des serveurs DNS grâce à un stockage illimité des clés, une sauvegarde et une restauration sécurisées et une accélération cryptographique puissante.

    Ressources

    Présentations de solutions : Sécuriser des clés de signature pour les déploiements des DNSSEC

    Les modules matériels de sécurité (HSM) nShield permettent aux domaines de premier niveau (TLD), aux bureaux d’état civil, aux registres et aux entreprises de sécuriser les processus de signature critiques utilisés pour valider l’intégrité des réponses DNSSEC sur Internet et protéger le DNS de ce que l’on appelle communément « l’empoisonnement du cache » et les « attaques de l’homme du milieu ». Téléchargez la présentation de la solution pour en savoir plus.