Et demain ?

dont
DNSSEC et TSIG, peuvent aider à  sécuriser
le service DNS. A l’heure actuelle
FMESHD (Fault-Tolerant Mesh of Trust
Applied to DNSSEC), un projet DARPA
(Defense Advanced Research Projects
Agency) avec l’objectif de déployer
DNSSEC sur Internet, construit un
banc d’essai DNSSEC utilisable par les
entreprises. (Pour plus d’informations
sur ce banc d’essai, visiter http://fmeshd.
nge.isi.edu.) On peut également
utiliser DNSSEC dans l’intranet existant
sans être obligé d’établir une relation
de confiance avec d’autres sociétés.

TSIG permet de sécuriser des transactions avec des hôtes ne supportant
pas encore DNSSEC, et plusieurs
autres protocoles IETF peut améliorer
les possibilités de TSIG. Le RR TKEY
(Secret Key Establishment for DNS),
que l’IETF RFC 2930 décrit, automatise
la génération et l’échange des clés secrètes
TSIG. Les DNS Requests and
Transaction Signatures, ou SIG(0),
qu’IETF RFC 2931 décrit, utilisent des
clés publiques pour authentifier les requêtes
et transactions DNS. Les versions
BIND 9.1.0 à  9.1.3 possèdent
quelques fonctions TKEY et SIG(0) limitées
mais sans documentation correspondante.
J’espère que TKEY et
SIG(0) figureront à  part entière dans
une future version BIND.

Au moment où nous écrivons ces
lignes, le service DNS de Win2K ne
supporte pas DNSSEC mais supporte
TSIG de façon limitée. Win2K DNS supporte
les mises à  jour dynamiques sécurisées
dans une zone DDNS dynamique
intégrée à  AD (Active
Directory). Microsoft fonde l’implémentation
par Win2K DNS des mises à 
jour dynamiques sécurisées sur le draft
IETF proposé par la société « GSS
Algorithm for TSIG (GSS-TSIG) » ; au
moment de l’écriture de cet article,
vous pouvez examiner le draft le plus
récent à  http://search.ietf.org/internetdrafts/
draft-ietf-dnsext-gss-tsig-03.txt.
Pour étendre TSIG, GSS for TSIG applique
la Generic Security Service API.