45 lines
1.8 KiB
Markdown
45 lines
1.8 KiB
Markdown
Recommandations
|
||
---------------
|
||
|
||
Nouvelle page de publicité, l'ANSSI publie également un guide de bonnes
|
||
pratiques sur l'aquisition et l'exploitation de noms de domaines :
|
||
<https://www.ssi.gouv.fr/uploads/2014/05/guide_dns_fr_anssi_1.3.pdf>
|
||
|
||
{width=20%}
|
||
|
||
Vous n'avez pas de recommandations à tirer de ce guide, mais dans le cas où
|
||
vous auriez la responsabilité d'un domaine, c'est un guide à prendre en compte.
|
||
|
||
|
||
### DNSSEC (bonus)
|
||
|
||
Le DNS est un vieux protocole, particulièrement important sur Internet. Il
|
||
souffre malheureusement de son âge, en particulier de part le manque de
|
||
plusieurs mécanismes de sécurité. Citons notamment le fait que les paquets
|
||
transitent en clair, souvent via UDP, sans mécanisme d'authentification ni de
|
||
signature.
|
||
|
||
Pour améliorer la situation, DNSSEC est une extension du protocole DNS qui
|
||
permet de publier des signatures pour chaque enregistrement.
|
||
|
||
Pour ce faire, et toujours parce que l'on se trouve dans le cadre d'une
|
||
structure arborescente, les clefs publiques permettant de valider les
|
||
enregistrements d'un domaine en particulier, sont à publier dans la zone
|
||
parente. C'est pourquoi, vous disposez sur Maatma, d'une interface vous
|
||
permettant d'indiquer vos clefs publiques.
|
||
|
||
::::: {.exercice}
|
||
|
||
Vous devriez sécuriser les réponses envoyées par votre serveur DNS en
|
||
configurant DNSSEC.
|
||
|
||
De nombreux articles sont disponibles sur Internet pour vous permettre de
|
||
configurer DNSSEC en fonction du serveur faisant autorité que vous aurez
|
||
choisi.
|
||
|
||
Prenez garde, les signatures doivent être regénérées régulièrement. Ne
|
||
choisissez pas une méthode ancestrale qui n'utiliserait pas les fonctionnalités
|
||
de signature autonome du programme !
|
||
|
||
:::::
|