Le 1er octobre de cette année, ce sera à nouveau le DNS Flag Day. L'idée sous-jacente est la suivante : rendre le protocole DNS (Domaine Name System) plus fiable et plus robuste grâce à un effort coordonné des acteurs DNS participants. Cette année, le DNS Flag Day vise à prévenir la fragmentation IP.
Pourquoi le DNS devrait-il évoluer ?
Le système de noms de domaine DNS remonte à l'époque d'un internet encore jeune. Les anciens protocoles étaient basés sur la confiance, et la sécurité ne jouait qu’un rôle secondaire. Mais peu à peu, on s’est rendu compte que le DNS devait être renforcé et contenir plus de fonctions dans les messages échangés.
C'est ainsi qu'en 1999, les mécanismes d'extension du DNS (EDNS – Extension mechanisms for DNS) ont vu le jour. L'avènement EDNS a également permis la mise en place de la DNSSEC , de la géolocalisation DNS et d'autres mesures de sécurité, comme les cookies dans les messages DNS classiques. Cependant, toute transition est difficile. Certains pare-feux ou implémentations DNS existants n'ont pas été mis à jour ou la norme EDNS a été mal installée. Pour continuer à apporter un support, les résolveurs récursifs ont fourni des contournements et des correctifs.
Le mécanisme d'extension du DNS (EDNS) est une extension du protocole DNS qui permet d'envoyer les réponses DNS les plus importantes et de donner de nouveaux paramètres. Cela était nécessaire parce que le protocole DNS est limité à 512 octets et que des techniques plus récentes telles que DNSSEC nécessitent de nouveaux paramètres et des paquets plus grands.
L'EDNS introduit un nouveau registre de ressources, l'OPT, mais conserve la rétrocompatibilité. L'enregistrement OPT offre à DNS la possibilité d'ajouter des flags supplémentaires, des codes de réponse et des labels. Il indique également la taille du paquet UDP DNS. |
---|
Nécessité d'une normalisation
Ces patchs se sont empilés pendant plus de 20 années. Il devient de plus en plus complexe de maintenir ce logiciel patché, ce qui entraîne des bogues (parfois dangereux). Les patchs sont des outils, mais ils signifient aussi un temps de réponse (plus) lent et entravent l'innovation. C'est pourquoi il est urgent que chacun suive les normes.
Ces préoccupations ont conduit à la création du premier DNS Flag Day en 2019. Il s'agit d'une initiative annuelle visant à rendre le protocole DNS (Domaine Name System) plus sûr, plus fiable et plus robuste. Chaque année, la communauté DNS s'attaque à une faille spécifique du protocole DNS. Ainsi, à la suite du Flag Day 2019, les serveurs et les opérateurs DNS du monde entier ont correctement standardisé leurs mises en œuvre de serveurs DNS, un résultat très positif.
Fragmentation IP
Cette année, le DNS Flag Day est consacré à la prévention de la fragmentation IP. La fragmentation IP signifie qu’un paquet IP est divisé en plus petits morceaux parce qu'il est trop grand pour être envoyé sur des réseaux qui ne peuvent gérer que des petits paquets. Sur l'internet actuel, la fragmentation IP peut provoquer des erreurs de transmission. En outre, les paquets fragmentés sont moins sûrs.
Le Flag Day 2020 propose d'éviter la fragmentation IP :
- D'une part, en limitant la taille des réponses DNS. Ce qui est possible en fixant la taille de la mémoire tampon EDNS à une valeur maximale de 1232 octets, tant sur les serveurs de résolution DNS que sur les serveurs DNS faisant autorité.
- D'autre part, en s’assurant que les serveurs DNS prennent également en charge DNS over TCP, sur lequel la communication DNS peut s'appuyer si la réponse DNS est malgré tout supérieure à la valeur tampon définie.
DNS Belgium vise à créer une expérience internet qualitative et sûre pour tous en luttant contre la cybercriminalité de toutes les manières possibles. Ainsi, nous avons examiné dans quelle mesure nos agents d'enregistrement sont conformes. Nous nous engageons donc à célébrer comme il se doit le Flag Day 2020.