Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Protection contre les registres de délégation suspendu dans Route 53
Avec Route 53, vous pouvez acheminer le trafic vers un sous-domaine en créant des enregistrements NS. Lorsque ces enregistrements NS pointent vers des serveurs de noms Route 53, on s'attend à ce que les serveurs de noms correspondent à ceux de l'ensemble de délégations d'une zone hébergée faisant autorité pour le sous-domaine. Si ces enregistrements NS ne pointent pas vers les bons serveurs de noms, un pirate risque d'en profiter et de prendre le contrôle du sous-domaine. C'est ce qu'on appelle des enregistrements NS suspendus.
Par exemple, lorsqu'une zone hébergée Route 53 d'un sous-domaine est supprimée, ses enregistrements NS peuvent rester en suspens dans le domaine parent. Dans ce cas, un pirate pourrait pirater le sous-domaine en créant une nouvelle zone hébergée sur les serveurs de noms de la zone supprimée. Route 53 tente d'empêcher cela en gardant une trace des paires d'ensemble de délégations de sous-domaines et en n'autorisant pas la création de nouvelles zones du sous-domaine sur ces serveurs de noms avant de supprimer les enregistrements NS suspendus.
Cependant, des enregistrements NS suspendus peuvent toujours se produire en raison d'une mauvaise configuration des enregistrements NS. Pour atténuer ce risque, nous vous recommandons de prendre les mesures suivantes :
Assurez-vous que les enregistrements Apex NS de la zone hébergée Route 53 faisant autorité du sous-domaine correspondent à la délégation définie pour la zone hébergée. Vous pouvez trouver l'ensemble de délégations d'une zone hébergée via la console Route 53 ou AWS CLI. Pour plus d’informations, consultez Liste des enregistrements ou get-hosted-zone
. Activez DNSSEC la signature pour la zone hébergée Route 53. DNSSECauthentifie que les DNS réponses proviennent d'une source faisant autorité, prévient efficacement le risque. Pour plus d'informations, voir Configuration de DNSSEC la signature dans Amazon Route 53.
Supprimez les serveurs de noms qui n'hébergent pas le sous-domaine des enregistrements NS du sous-domaine dans la zone hébergée parent.
- ou -
Remplacez les serveurs de noms par les quatre serveurs de noms de l'ensemble de délégations de la zone hébergée Route 53 faisant autorité du sous-domaine. Cela permet également d'atténuer efficacement le risque.
Exemples
Dans les exemples suivants, nous supposons que vous avez un domaine parent, parent-domain.com, et un sous-domaine, sub-domain.parent-domain.com, et nous montrons trois scénarios dans lesquels des enregistrements NS sont suspendus et comment atténuer le risque.
- Scénario 1:
Dans la zone hébergée parent
parent-domain.com, vous créez des enregistrements NS poursub-domain.parent-domain.comavec quatre serveurs de noms <ns1><ns2>,<ns3> et<ns4>. Les serveurs de noms du sous-domaine faisant autorité sont <ns5>, <ns6>, <ns7> et <ns8>. Par conséquent, <ns1>, <ns2>, <ns3> et <ns4> sont tous des enregistrements NS suspendus, et il existe un risque qu'un pirate puisse prendre le contrôle du sous-domaine.parent-domain.com. Pour atténuer le risque, remplacez l'enregistrement NS du sous-domaine par <ns5>, <ns6>, <ns7> et <ns8>.- Scénario 2:
parent-domain.compossède des enregistrements NSsub-domain.parent-domain.compointant vers <ns1>, <ns2>,<ns3>,<ns4>,<ns5>,<ns6>,<ns7> et<ns8>. Les serveurs de noms pour la zone hébergée du sous-domaine faisant autorité sont <ns5>, <ns6>, <ns7> et <ns8>. Par conséquent, <ns1>, <ns2><ns3> et <ns4> sont de nouveau des enregistrements NS suspendus. Pour atténuer le risque, supprimez <ns1>, <ns2>,<ns3> et <ns4> des enregistrements NS.- Scénario 3 :
Vous disposez d'un ensemble de délégations réutilisable <ns1>, <ns2>, <ns3> et <ns4>. Vous créez un enregistrement NS dans la zone parent et déléguez le sous-domaine à ces serveurs de noms dans le jeu de délégations réutilisable. Cependant, vous n'avez pas créé la zone de sous-domaine dans le jeu de délégations réutilisable. Par conséquent, <ns1>, <ns2>, <ns3> et <ns4> sont des enregistrements NS suspendus. Pour atténuer le risque, créez la zone hébergée du sous-domaine avec le jeu de délégations réutilisable.
