Foire aux questions : collision de noms pour les professionnels des TI
Introduction
Parties intéressées, effets et risques
Réduction du risque et dépannage
Rôle de l'ICANN
Interruption contrôlée et 127.0.53.53
Introduction
Qu'est-ce qu'une collision de noms ?
Une collision de noms se produit lorsqu'une tentative de résolution d'un nom utilisé dans un espace de noms privé (par exemple, en vertu d'un domaine de premier niveau (TLD) non délégué ou d'un nom court non qualifié) donne lieu à la résolution d'une requête DNS envoyée au système des noms de domaine (DNS) public. À titre de comparaison, imaginez appeler « Marie » au bureau où une seule personne s'appelle « Marie », puis en faire de même dans un centre commercial en espérant que la « Marie du bureau » vous répondra.
De telles circonstances, dans lesquelles les frontières administratives entre l'espace de noms privé et public se chevauchent et créent une résolution incertaine des noms, doivent, dans la mesure du possible, être évitées.
La collision de noms constitue-t-elle une nouvelle problématique ?
Les occurrences de collision de noms ne datent pas d'hier. Bien qu'elles aient été observées depuis le début d'Internet, les requêtes de TLD non délégués au niveau de la racine du DNS [PDF, 507 KB] ont fait l'objet d'un regain d'attention car certaines nouvelles chaînes de TLD faisant l'objet d'une candidature pourraient être identiques à des étiquettes de nom utilisées dans des réseaux privés.
Parties intéressées, effets et risques
Le réseau de mon organisation/ma société pourrait-il être affecté par la collision de noms ?
Des études ont révélé qu'il était peu probable que des collisions de noms affectent un grand nombre de réseaux d'entreprise ou d'internautes. Dans un environnement bien géré, il est peu probable que se produise une collision de noms, et il est encore moins probable qu'une collision de noms puisse entraîner un dommage matériel étant donné qu'il y a de bonnes chances que les perturbations soient immédiatement constatées. Toutefois, sans une gestion du réseau adéquate, le risque existe.
Les collisions de noms représentent-elles un risque important ?
Une étude sur les collisions d'espaces de noms dans l'espace de noms du système des noms de domaine (DNS) d'Internet, menée par JAS Global Advisors, a indiqué que l'ajout de nouveaux domaines de premier niveau (TLD) ne faisait pas augmenter considérablement ou ne changeait fondamentalement les risques associés aux collisions d'espaces de noms du DNS. Les modalités, les risques et les causes des collisions inévitables dans l'espace de noms du DNS seront similaires dans les espaces de noms des nouveaux TLD à celles qui se produisent déjà régulièrement ailleurs dans le DNS.
Réduction du risque et dépannage
Comment les gestionnaires de systèmes peuvent-ils prévenir la collision de noms ?
Le Guide pour l'identification et l'atténuation des collisions de noms pour les professionnels des TI (version 1.1) de l'ICANN [PDF, 855 KB] recommande que les organisations n'utilisant pas encore de noms de domaine pleinement qualifiés (FQDN) du DNS public prennent connaissance de la stratégie suivante :
- Suivi des services de nommage, création d'une liste des TLD privés ou des noms courts non qualifiés que vous utilisez en interne, et comparaison de ladite liste avec la liste de nouvelles chaînes de TLD faisant l'objet d'une candidature.
- Formulation d'un plan visant à limiter les causes de fuite ; vous pourriez par exemple changer la racine de votre espace de noms privé afin d'utiliser un nom que vous avez enregistré dans le DNS mondial ou changer les systèmes affectés afin d'utiliser des FQDN.
- Préparation des utilisateurs au changement imminent de l'utilisation des noms en les informant à l'avance ou en leur fournissant une formation.
- Mise en œuvre d'un plan visant à atténuer toute éventuelle collision.
- Poursuite du suivi de l'utilisation des anciens noms privés ainsi que de l'utilisation des nouveaux FQDN au niveau des serveurs de noms et sur le périmètre de votre réseau, et utilisation de ces données afin de limiter les causes que vous pourriez découvrir après avoir commencé à réduire les fuites.
Comment un gestionnaire de système doit-il lutter contre la collision de noms une fois qu'elle a été identifiée ?
Les gestionnaires de systèmes détectant une erreur de système liée à une collision de noms sont encouragés à suivre les étapes suivantes :
-
Signaler le problème à l'ICANN
Les cas laissant raisonnablement croire à l'existence d'un dommage grave et démontrable lié à une collision de noms doivent être signalés. - Lire le Guide pour l'identification et l'atténuation des collisions de noms pour les professionnels des TI (version 1.1) [PDF, 855 KB] et mettre en œuvre les mesures qui y sont prévues.
- En apprendre davantage sur la collision de noms en consultant la page suivante : https://www.icann.org/namecollision.
- Diffuser les informations relatives à l'occurrence et à l'atténuation des collisions de noms dans leur entourage professionnel.
Rôle de l'ICANN
Pourquoi l'ICANN est-elle impliquée dans l'atténuation des collisions de noms ?
Les occurrences de collision de noms ont fait l'objet d'un regain d'attention car de nombreuses nouvelles chaînes de domaine de premier niveau faisant l'objet d'une candidature via le programme des nouveaux gTLD de l'ICANN sont identiques à des étiquettes d'espace de noms utilisées dans des réseaux privés. L'objectif premier de l'ICANN est d'assurer la sécurité, la stabilité et la résilience d'Internet. Déterminer le risque et la gravité des éventuelles collisions de noms et proposer des moyens permettant de réduire les risques revêtent à présent une grande importance.
Dans une étude publiée en janvier 2013, le Comité consultatif sur la sécurité et la stabilité (SSAC) de l'ICANN a confirmé que certains espaces de noms privés étaient parfois coupables de « fuites » dans le DNS public (soit du fait d'une mauvaise configuration soit du fait de l'utilisation de logiciels obsolètes). Le Conseil d'administration de l'ICANN, son personnel et la communauté Internet se sont engagés à collaborer en matière de lutte contre la collision de noms. L'ICANN estime qu'il est de son devoir de faire tout son possible afin de minimiser l'impact potentiel des collisions et de proposer des conseils clairs eu égard à cette question.
Quelles actions l'ICANN a-t-elle menées dans sa lutte contre la collision de noms ?
L'ICANN a effectué plusieurs étapes afin de lutter contre la collision de noms. Elle a notamment commandé un rapport indépendant sur l'atténuation des collisions de noms, donné des avis aux professionnels des TI à travers le monde sur la façon d'identifier et de gérer de manière proactive les fuites d'espaces de noms privés dans le DNS public, et mené une campagne de sensibilisation à la question des collisions de noms.
De plus, en août 2014, l'ICANN a publié le cadre de gestion de l'occurrence de collision de noms [PDF, 634 KB] qui consiste en un ensemble d'exigences développées afin de gérer les occurrences de collision de noms entre les nouveaux gTLD et l'utilisation privée existante des mêmes chaînes. Le cadre a été mis au point en tenant compte de différents avis émanant notamment de la communauté Internet, d'un rapport publié par JAS Global Advisors LLC et du Comité consultatif sur la sécurité et la stabilité.
Pour de plus amples informations relatives à la façon dont l'ICANN a travaillé afin d'atténuer les collisions de noms, veuillez lire les documents suivants :
-
Rôle de l'ICANN dans la lutte contre la collision de noms
Voir la liste de mesures adoptées par l'ICANN et la communauté Internet afin d'atténuer les collisions de noms. -
Archives en matière de collisions de noms
Consulter un compte rendu détaillé des discussions et idées relatives à la collision de noms, échangées entre les membres de la communauté Internet et l'ICANN, remontant à 2010.
Interruption contrôlée et 127.0.53.53
Qu'est-ce que l'interruption contrôlée ?
L'interruption contrôlée est une méthode de notification aux gestionnaires de systèmes ayant procédé à une configuration erronée de leur réseau (sciemment ou non) d'une situation de collision d'espace de noms, et qui les aide à réduire les éventuels problèmes.
L'interruption contrôlée vise à détecter les requêtes DNS défaillantes. Lorsqu'une requête défaillante est détectée, un registre prend une action « contrôlée » afin de prévenir tout dommage et d'avertir l'utilisateur qu'une correction est nécessaire. Cette action prend la forme d'une réponse à la requête DNS avec une adresse IP spéciale (127.0.53.53). Le terme « interruption » se réfère à une activité qui semblait fonctionner en dépit de la requête défaillante mais qui ne peut à présent plus fonctionner.
Les gestionnaires de systèmes affectés par un registre de nouveaux gTLD effectuant une interruption contrôlée peuvent se trouver confrontés aux « drapeaux » suivants :
- * 3600 IN MX 10 votre-dns-requiert-attention-immédiate.<TLD>.
- * 3600 IN SRV 10 10 0 votre-dns-requiert-attention-immédiate.<TLD>.
- * 3600 IN TXT « Votre DNS requiert une attention immédiate, voir https://icann.org/namecollision »
Qu'est-ce que 127.0.53.53 ?
127.0.53.53 est une adresse IPv4 spéciale qui apparaîtra dans les journaux du système afin d'avertir les gestionnaires de systèmes d'un éventuel problème de collision de noms, permettant ainsi un rapide diagnostic et l'adoption de mesures correctives. Le « 53 » est utilisé comme mnémonique afin d'indiquer un problème lié au DNS dû à l'utilisation du port de réseau 53 pour le service du DNS. Les cas laissant raisonnablement croire à l'existence d'un dommage grave et démontrable lié à une collision de noms doivent être signalés via le formulaire suivant : https://forms.icann.org/fr/help/name-collision/report-problems. Pour en savoir plus sur la collision de noms, veuillez consulter la page suivante : https://www.icann.org/namecollision.
J'ai trouvé 127.0.53.53 (ou un autre drapeau) dans mes journaux du système, que dois-je faire à présent ?
Les gestionnaires de systèmes confrontés à une erreur du système lié à la collision de noms sont encouragés à suivre les étapes suivantes :
-
Signaler le problème à l'ICANN
Les cas laissant raisonnablement croire à l'existence d'un dommage grave et démontrable lié à une collision de noms doivent être signalés. - Lire le Guide pour l'identification et l'atténuation des collisions de noms pour les professionnels des TI (version 1.1) [PDF, 855 KB] et mettre en œuvre les mesures qui y sont prévues.
- En apprendre davantage sur la collision de noms en consultant la page suivante : https://www.icann.org/namecollision.
- Diffuser les informations relatives à l'occurrence et à l'atténuation des collisions de noms dans leur entourage professionnel.