Protection contre les registres de délégation suspendu dans Route 53

Avec Route 53, un client peut créer une zone hébergée, par exemple example.com pour héberger ses enregistrements DNS. Chaque zone hébergée est fournie avec un « ensemble de délégations », qui est un ensemble de quatre serveurs de noms qu'un client peut utiliser pour configurer les enregistrements NS dans le domaine parent. Ces enregistrements NS peuvent être appelés « enregistrements NS de délégation » ou « enregistrements de délégation ».

Pour que la zone hébergée example.com Route 53 fasse autorité, le propriétaire légitime du example.com domaine doit configurer les enregistrements de délégation dans son domaine parent « .com » via le bureau d'enregistrement de domaines. Dans les cas où un client perd l'accès aux quatre serveurs de noms configurés dans le domaine parent, par exemple parce que la zone hébergée associée est supprimée, cela peut créer un risque qu'un attaquant peut exploiter. C'est ce que l'on appelle le risque de « pendaison des dossiers de délégation ».

Route 53 protège contre le risque lié aux records de délégation en cas de suppression d'une zone hébergée. Après la suppression, si une nouvelle zone hébergée est créée avec le même nom de domaine, Route 53 vérifiera si les enregistrements de délégation pointant vers la zone hébergée supprimée sont toujours présents dans le domaine parent. Si tel est le cas, Route 53 empêchera l'attribution de serveurs de noms qui se chevauchent. Il s'agit du scénario 1 dans les exemples suivants.

Cependant, il existe d'autres risques liés aux dossiers de délégation, contre lesquels Route 53 ne peut pas se protéger, comme le décrivent les scénarios 2 à 6 dans les exemples suivants. Pour vous protéger contre cet ensemble plus large de risques, assurez-vous que les enregistrements NS du parent correspondent à la délégation définie pour la zone hébergée Route 53. Vous pouvez trouver l'ensemble de délégations d'une zone hébergée via la console Route 53 ou AWS CLI. Pour plus d’informations, consultez Liste des enregistrements ou get-hosted-zone.

En outre, l'activation de la signature DNSSEC pour une zone hébergée Route 53 peut constituer une couche de protection supplémentaire au-delà des meilleures pratiques mentionnées ci-dessus. Le protocole DNSSEC certifie que les réponses DNS proviennent d'une source faisant autorité, ce qui permet de se protéger efficacement contre ce risque. Pour de plus amples informations, veuillez consulter Configuration de la signature DNSSEC dans Amazon Route 53.

Exemples

Dans les exemples suivants, nous supposons que vous avez un domaine example.com et son domaine enfantchild.example.com. Nous expliquerons comment, dans différents scénarios, des enregistrements de délégation suspendus peuvent être créés, comment Route 53 protège votre domaine contre les abus et comment atténuer efficacement les risques associés aux enregistrements de délégation suspendus.

Scénario 1:: Vous créez une zone hébergée child.example.com avec quatre serveurs de noms : <ns1><ns2>,<ns3>, et<ns4>. Vous configurez correctement la délégation dans la zone hébergéeexample.com, en créant des enregistrements NS child.example.com de délégation pour quatre serveurs de noms <ns1><ns2>,<ns3>, et<ns4>. Lorsque la zone child.example.com hébergée est supprimée sans supprimer les enregistrements NS de la délégation dans laquelle se trouvent les enregistrementsexample.com, Route 53 child.example.com protège contre le risque lié aux enregistrements de délégation en empêchant <ns1><ns2><ns3>, et <ns4>en empêchant leur attribution à des zones hébergées nouvellement créées avec le même nom de domaine.
Scénario 2:: Similaire au scénario 1, mais cette fois, vous supprimez la zone hébergée pour enfants ET les enregistrements NS de la délégation dans la zone hébergéeexample.com. Toutefois, vous pouvez réajouter des enregistrements NS de délégation <ns1><ns2>,<ns3>, <ns4>sans créer de zone hébergée pour enfants. Ici,<ns1>, <ns2><ns3>, et <ns4>sont en suspens les dossiers de délégation, car Route 53 supprime le blocage, qui empêchait<ns1>, <ns2><ns3>, et d'<ns4>être attribué et autorisera désormais les zones hébergées nouvellement créées à utiliser au-dessus des serveurs de noms. Pour atténuer les risques, supprimez, <ns1><ns2><ns3>, et des <ns4>enregistrements de délégation et ajoutez-les à nouveau uniquement une fois que la zone hébergée par l'enfant a été créée.
Scénario 3 :: Dans ce scénario, vous créez un ensemble de délégations réutilisables Route 53 avec des serveurs de noms <ns1><ns2>,<ns3>, et<ns4>. Vous déléguez ensuite le domaine example.com à ces serveurs de noms dans le domaine parent.com. Cependant, vous n'avez pas encore créé la zone example.com hébergée pour l'ensemble de délégations réutilisable. Voici,<ns1>, <ns2><ns3>, et <ns4>pendent des dossiers de délégation. Pour atténuer le risque, créez la zone hébergée à l'aide du jeu de délégation réutilisable avec les serveurs de noms <ns1><ns2><ns3>,, et<ns4>.
Scénario 4 :: Vous disposez d'une zone hébergée child.example.com avec quatre serveurs de noms : <ns1><ns2>,<ns3>, et<ns4>. Vous ajoutez une délégation à <ns1><ns2>,<ns3>, et <ns4>dans parent. Vous supprimez ensuite la zone, mais vous ne supprimez pas le<ns1>, <ns2><ns3>, et la <ns4>délégation. <ns8>Ensuite, vous créez une nouvelle child.example.com zone avec des serveurs de noms<ns5>,, <ns6><ns7><ns8>, et vous ajoutez une délégation à<ns5>, <ns6><ns7>, et. Vous disposez désormais d'une zone parent avec des délégations à la fois pour <ns1><ns2><ns3>, <ns4><ns5>, et<ns6>,<ns7>, et<ns8>. <ns4>Cela crée un risque de délégation important pour<ns1>, <ns2><ns3>, et. <ns5><ns6><ns7><ns8>Pour atténuer ce risque, supprimez les serveurs de noms inactifs<ns1>,,<ns2>, des <ns3><ns4>enregistrements de délégation, en ne laissant que les serveurs de noms actifs,,,. En général, assurez-vous toujours qu'il n'existe qu'une seule délégation de sous-domaine pour child.example.com et que les enregistrements NS correspondent example.com exactement aux quatre serveurs de noms de l'ensemble de délégations de la zone enfant actuelle.
Scénario 5 :: Vous créez des zones hébergées à la fois child.example.com avec des serveurs de noms <ns1><ns2><ns3>,<ns4>, et, et grandchild.child.example.com avec des serveurs de noms <ns5><ns6>,<ns7>, et<ns8>. Cependant, vous déléguez les deux directement dans la example.com zone, ce qui crée un risque de délégation important. Pour garantir que les délégations suivent une hiérarchie DNS appropriée, déléguez uniquement les sous-domaines par le biais de leurs zones parentes immédiates. Par exemple, si vous souhaitez déléguer grandchild.child.example.com : déléguez d'abord child.example.com avec les serveurs de noms <ns1><ns2><ns3>,, et <ns4>dans la example.com zone, puis déléguez grandchild.child.example.com avec les serveurs de noms <ns5><ns6><ns7>,, et <ns8>dans la child.example.com zone, et supprimez toute délégation directe pour grandchild.child.example.com depuis la example.com zone.
Scénario 6 :: Vous déléguez un domaine ou un sous-domaine aux serveurs de noms Route 53 avant de créer une zone hébergée correspondante, ce qui crée des enregistrements de délégation suspendus. Cela est similaire au cas dans le scénario 3, mais le risque s'applique également lorsqu'aucun ensemble de délégation réutilisable n'est créé. Par exemple, vous déléguez le domaine example.com à des serveurs de noms <ns1><ns2>,<ns3>, et <ns4>dans le domaine parent.com, mais aucun de ces serveurs de noms n'a jamais hébergéexample.com. Route 53 ne peut pas se protéger contre cela, car aucune zone hébergée n'a jamais existé pour bloquer ces serveurs de noms pour ce nom de domaine. Pour atténuer le risque, déléguez uniquement aux serveurs de noms Route 53 appartenant à une zone hébergée publique que vous contrôlez.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Protection des données

Gestion des identités et des accès