Actualités Actualités

L'AFNIC invite les responsables techniques réseaux à se préparer à la signature de la racine DNS en mai 2010

Accueil > Observatoire & ressources > Actualités > L'AFNIC invite les responsables techniques réseaux à se préparer à la signature de la racine DNS en mai 2010
Le 28/01/10

 Cette évolution qui vise à accroître la confiance dans les réponses DNS (en authentifiant leur origine), peut néanmoins provoquer des troubles contre lesquels les administrateurs des réseaux, connectés à l’Internet doivent se prémunir.
En effet, un changement de la configuration des serveurs de la racine pourrait aller jusqu’à entraîner un risque de coupure DNS, et par conséquent du service Internet dans certains cas.
Conseils de l’AFNIC
1. Vérifiez si votre réseau est concerné par ce potentiel dysfonctionnement ainsi que la fonctionnalité de la résolution DNS, sur une machine où le logiciel dig est installé :
dig +short rs.dns-oarc.net txt

2. Vérifiez si la réponse indique plus de 1500 octets, comme ici :

« 203.0.113.1 DNS reply size limit is at least 4023 bytes »
3. Analysez l’ensemble du réseau et les équipements intermédiaires (pare-feux), puis assurez vous de leur bonne configuration, dans le cas où le test indique que les paquets de plus de 1500 octets ne peuvent pas passer.
4. Autre alternative possible, si vous ne disposez pas d’un client DNS simple comme dig :

Cet outil, développé par le RIPE-NCC, nécessite Java.
5. Pour les utilisateurs finaux (dans une entreprise, dans un campus ou abonnés d’un FAI), veuillez vous adresser à votre fournisseur direct d’accès à l’Internet.

Contexte technique
La racine du DNS est signée avec la technologie DNSSEC. Dans le courant de l’année 2010, les serveurs de la racine commenceront à émettre des réponses signées et ce déploiement s’étalera de janvier à mai prochain. Dès le mois de mai, les 13 serveurs DNS de la racine enverront les informations DNSSEC. Celles-ci, des signatures cryptographiques, sont de taille cinq à dix fois plus importante que les réponses DNS classiques. Elles dépasseront l’ancienne limite de 512 octets du DNS, et parfois même la limite des 1500 octets de la MTU Ethernet (« Maximum Transmit Unit », la plus répandue sur l’Internet).

En effet, le RFC 2671 qui étendait la limite des 512 octets a été publié en août 1999, soit il y a plus de dix ans maintenant. Il existe toujours un certain nombre de pare-feux ou d’autres équipements réseaux mal conçus ou mal configurés, qui refusent les réponses DNS de plus de 512 octets.

Parmi les équipements qui les acceptent, certains ne gèrent pas correctement la fragmentation des paquets IP (par exemple, car ils bloquent tous les paquets ICMP) et ne peuvent donc pas recevoir des paquets DNS de taille supérieure à la MTU, en général 1500 octets.

Certains des réseaux qui rejettent les paquets DNS de plus de 512 octets, ou même seulement ceux de plus de 1500 octets, ne pourront plus « parler » à la racine du DNS après mai 2010 (en effet, ils ne recevront plus les réponses) et n’auront donc quasiment plus d’accès Internet en pratique.

Glossaire :
DNS : http://fr.wikipedia.org/wiki/Domain_Name_System
DNSSEC : http://fr.wikipedia.org/wiki/Domain_Name_System_Security_Extensions
ICMP : http://fr.wikipedia.org/wiki/Internet_Control_Message_Protocol
MTU : http://fr.wikipedia.org/wiki/Maximum_Transmission_Unit

RACINE : ensemble de serveurs répartis dans le monde et sur lesquels repose le bon fonctionnement des noms de domaine, ces serveurs jouant un rôle clef dans l’orientation des requêtes vers les serveurs de noms pertinents pour les domaines de premier niveau (Top-Level Domains) tels que le .fr ou le .com.

Quelques références utiles :
– L’annonce du plan de signature de la racine
 
– Le site officiel du projet de signature
, avec le calendrier de déploiement
– Les instructions d’un serveur racine

– Votre serveur DNS peut-il faire passer des paquets de toutes les tailles ?

– Une liste de diffusion francophone sur le DNS, où vous pouvez solliciter de l’aide de vos pairs

À propos de l’AFNIC
(Association Française pour le Nommage Internet en Coopération)
Association à but non lucratif, l’AFNIC est l’organisme chargé de la gestion administrative et technique des noms de domaine .fr et .re, suffixes internet correspondant à la France et à l’Île de la Réunion.
L’AFNIC est composée d’acteurs publics et privés : représentants des pouvoirs publics, utilisateurs et prestataires de services Internet (bureaux d’enregistrement).
En savoir plus