Zone de politique de réponse
Une zone de politique de réponse ( RPZ ) est un mécanisme permettant d'introduire une politique personnalisée dans les serveurs du système de noms de domaine, afin que les résolveurs récursifs renvoient des résultats éventuellement modifiés. En modifiant un résultat, l'accès à l'hôte correspondant peut être bloqué.
La mise en forme de cet article est à améliorer ().
La mise en forme du texte ne suit pas les recommandations de Wikipédia : il faut le « wikifier ».
Cet article est orphelin. Moins de trois articles lui sont liés ().
Vous pouvez aider en ajoutant des liens vers [[Zone de politique de réponse]] dans les articles relatifs au sujet.
.png)
L'utilisation d'une zone de protection contre les intrusions est basée sur des flux de données DNS, connus sous le nom de transfert de zone, d'un fournisseur de zone de protection contre les intrusions vers le serveur de déploiement. En ce qui concerne les autres méthodes de liste de blocage, telles que Google Safe Browsing, la liste de blocage proprement dite n'est pas gérée, ni même vue, par l'application cliente. Les navigateurs Web et toutes les autres applications clientes qui se connectent aux serveurs sur Internet ont besoin de l'adresse IP du serveur pour ouvrir la connexion. Le résolveur local est généralement un logiciel système qui, à son tour, soumet la requête à un résolveur récursif, qui se trouve souvent chez le fournisseur de services Internet. Si ce dernier serveur déploie RPZ et que le nom demandé ou l'adresse résultante se trouve dans la liste de blocage, la réponse est modifiée de manière à empêcher l'accès.
Histoire modifier
Le mécanisme RPZ a été développé par l'Internet Systems Consortium dirigé par Paul Vixie en tant que composant du serveur de noms de domaine BIND (DNS). Il a été disponible pour la première fois dans la version 9.8.1 de BIND publiée en 2010 et annoncé publiquement pour la première fois à Black Hat en juillet 2010[1]. Il est également disponible dans le logiciel Unbound à partir de la version 1.14.0[2].
Le mécanisme RPZ est publié en tant que norme ouverte et neutre du fournisseur pour l'échange d'informations de configuration du pare-feu DNS, permettant à d'autres logiciels de résolution DNS de l'implémenter[3],[4].
RPZ a été développé comme une technologie pour lutter contre l'utilisation abusive du DNS par des groupes et/ou des personnes ayant des intentions malveillantes ou ayant d'autres objectifs néfastes. Il fait suite au projet Mail Abuse Prevention System qui a introduit les données de réputation comme mécanisme de protection contre les spams. RPZ étend l'utilisation des données de réputation au système de noms de domaine.
Fonction modifier
RPZ permet à un résolveur récursif DNS de choisir des actions spécifiques à effectuer pour un certain nombre de zones de noms de domaine.
Pour chaque zone, le service DNS peut choisir d'effectuer une résolution complète (comportement normal) ou d'autres actions, notamment déclarer que le domaine demandé n'existe pas (techniquement, NXDOMAIN) ou que l'utilisateur doit visiter un domaine différent (techniquement, CNAME), entre autres actions potentielles.
Comme les informations sur les zones peuvent être obtenues de sources externes (via un transfert de zone), cela permet à un service DNS d'obtenir des informations d'une organisation externe sur les informations relatives aux domaines et de choisir ensuite de traiter ces informations d'une manière non standard.
Objectifs modifier
RPZ est essentiellement un mécanisme de filtrage, qui empêche les internautes de visiter des domaines Internet ou les oriente vers d'autres sites en manipulant les réponses DNS de différentes manières.
RPZ permet aux opérateurs de résolveurs récursifs DNS d'obtenir des organisations externes des données sur la réputation des domaines susceptibles d'être nuisibles, puis d'utiliser ces informations pour éviter que les ordinateurs qui utilisent le résolveur récursif ne subissent des dommages en empêchant ces ordinateurs de visiter les domaines potentiellement nuisibles.
Mécanisme et données modifier
RPZ est un mécanisme qui a besoin de données pour réagir.
Certains organismes de sécurité Internet ont proposé des données décrivant les domaines potentiellement dangereux dès le début du développement du mécanisme RPZ. D'autres services proposent également RPZ pour des catégories de domaines spécifiques (par exemple pour les domaines à contenu adulte). Un opérateur de résolveur récursif est également capable de définir ses propres données de noms de domaine (zones) à utiliser par RPZ.
Exemple d'utilisation modifier
Considérons qu'Alice utilise un ordinateur qui utilise un service DNS (résolveur récursif) configuré pour utiliser RPZ et ayant accès à une source de données de zone qui répertorie les domaines considérés comme dangereux.
Alice reçoit un courrier électronique contenant un lien qui semble renvoyer à un endroit auquel elle fait confiance, et elle souhaite cliquer sur ce lien. Elle le fait, mais l'emplacement réel n'est pas la source fiable qu'elle a lue, mais un emplacement dangereux connu du service DNS.
Lorsque le service DNS se rend compte que l'emplacement web résultant est dangereux, au lieu d'informer son ordinateur sur la manière d'y accéder (réponse non modifiée), il envoie des informations qui mènent à un emplacement sûr. Selon la manière dont le service DNS configure ses actions de retour, la réponse modifiée peut être une page fixe sur un site web qui l'informe de ce qui s'est passé, ou un code d'erreur DNS tel que NXDOMAIN ou NODATA, ou encore ne pas envoyer de réponse du tout.
Articles connexes modifier
Références modifier
- Andrew Fried et Victoria Risk, « Tutorial on Configuring BIND to use Response Policy Zones (RPZ) », Internet Systems Consortium,
- « Response Policy Zones », Unbound Docs, NLnet Labs
- Paul Vixie et Vernon Schryver, « DNS Response Policy Zones (DNS RPZ) », Internet Systems Consortium,
- (en) Paul A. Vixie et Vernon Schryver, « Draft-ietf-dnsop-DNS-RPZ-00 - DNS Response Policy Zones (RPZ) », Ietf Datatracker, (lire en ligne)
