.png){kind=avatar}
Le protocole DNS a été développé il y a longtemps et la sécurité ne faisait pas partie du processus. De nos jours, la sécurité est un enjeu majeur et les développeurs redéfinissent les anciens protocoles pour ajouter plus de sécurité. Pour le DNS, deux approches différentes sont proposées, DNS sur TLS et DNS sur HTTPS. Approfondissons ces deux propositions ...
Le protocole DNS a été conçu en 1983 et la sécurité n'était pas présente à l'époque. Ainsi, il a été développé pour utiliser des requêtes en clair utilisant les protocoles TCP / UDP. Cependant, dans la réalité d'aujourd'hui, la sécurité doit être prise en compte et mise en œuvre partout lorsque cela est possible. Les requêtes DNS, qui sont utilisées par tous ceux qui surfent sur Internet, peuvent être modifiées par des utilisateurs malintentionnés grâce au détournement DNS ou aux attaques Man In The Middle et conduire à la collecte de données sensibles, à la redirection de site Web...
Suite aux éléments mentionnés ci-dessus, les chercheurs ont trouvé une solution (DNSSEC) pour minimiser ces problèmes. DNSSEC est un protocole de sécurité utilisé pour se protéger contre les attaques en signant numériquement les données afin de garantir leur validité. Cependant, cette solution n'était pas pleinement satisfaisante et d'autres solutions ont été développées. DNS sur TLS et DNS sur HTTPS.
Avec quelles différences ?
Les deux normes mentionnées ci-dessus chiffrent les requêtes DNS mais :
- DNS over TLS utilise le protocole TCP pour établir la connexion et il utilise le port TCP 853, un port dédié. Les paquets DNS ne sont pas modifiés, ils sont cryptés grâce au protocole TLS avant d'être transmis.
- DNS over HTTPS utilise le protocole HTTPS pour établir la connexion et il utilise le port TCP 443, un port par défaut. Les données DNS sont encapsulées dans des paquets HTTP, qui sont encapsulés grâce au protocole TLS avant d'être transmis.
Lequel mettre en œuvre ?
Il est actuellement difficile de trouver une réponse correcte à cette question car chaque entreprise ou même chaque professionnel de la sécurité informatique aura sa propre opinion à ce sujet. De plus, ces deux protocoles sont toujours en phase de test. Cependant, voici déjà quelques faits que nous pouvons mettre en évidence :
- DOT utilise un port dédié, qui peut être bloqué sur certains réseaux. D'une part, c'est bien car nous pouvons contrôler un DNS sécurisé dans les réseaux d'entreprise comme nous le faisons actuellement avec un trafic DNS non sécurisé. D'autre part, le trafic DNS sécurisé pourrait être bloqué sur certains réseaux, empêchant les utilisateurs d'accéder aux ressources Web.
- DOH utilise HTTPS pour le trafic DNS et Web. Dans ce cas, bloquer le trafic DNS sans affecter l'expérience Web des utilisateurs serait beaucoup plus difficile.
Actuellement, nous ne savons pas lequel sera mis en œuvre dans le monde entier, mais gardez à l'esprit que des changements se produiront au niveau DNS dans les prochains mois.
