Protection contre les registres de délégation suspendu dans Route 53

Avec Route 53, un client peut créer une zone hébergée, par exemple example.com pour héberger ses DNS dossiers. Chaque zone hébergée est fournie avec un « ensemble de délégations », qui est un ensemble de quatre serveurs de noms qu'un client peut utiliser pour configurer les enregistrements NS dans le domaine parent. Ces enregistrements NS peuvent être appelés « enregistrements NS de délégation » ou « enregistrements de délégation ».

Pour que la zone hébergée example.com Route 53 fasse autorité, le propriétaire légitime du example.com domaine doit configurer les enregistrements de délégation dans son domaine parent « .com » via le bureau d'enregistrement de domaines. Si un client perd l'accès aux quatre serveurs de noms configurés dans le domaine parent, par exemple parce que la zone hébergée associée est supprimée, cela peut créer un risque qu'un attaquant peut exploiter. C'est ce que l'on appelle le risque de « pendaison des dossiers de délégation ».

Route 53 protège contre le risque lié aux records de délégation en cas de suppression d'une zone hébergée. Après la suppression, si une nouvelle zone hébergée est créée avec le même nom de domaine, Route 53 vérifiera si les enregistrements de délégation pointant vers la zone hébergée supprimée sont toujours présents dans le domaine parent. Si tel est le cas, Route 53 empêchera l'attribution de serveurs de noms qui se chevauchent. Il s'agit du scénario 1 dans les exemples suivants.

Cependant, il existe d'autres risques liés aux dossiers de délégation, contre lesquels Route 53 ne peut pas se protéger, comme le décrivent les scénarios 2 et 3 dans les exemples suivants. Pour vous protéger contre cet ensemble plus large de risques, assurez-vous que les enregistrements NS du parent correspondent à la délégation définie pour la zone hébergée Route 53. Vous pouvez trouver l'ensemble de délégations d'une zone hébergée via la console Route 53 ou AWS CLI. Pour plus d’informations, consultez Liste des enregistrements ou get-hosted-zone.

En outre, l'activation de la DNSSEC signature pour une zone hébergée Route 53 peut constituer une couche de protection supplémentaire au-delà des meilleures pratiques mentionnées ci-dessus. DNSSECatteste que les DNS réponses proviennent d'une source faisant autorité, protégeant ainsi efficacement contre ce risque. Pour plus d'informations, voir Configuration de DNSSEC la signature dans Amazon Route 53.

Exemples

Dans les exemples suivants, nous supposons que vous avez un domaine example.com et son domaine enfantchild.example.com. Nous expliquerons comment, dans différents scénarios, des enregistrements de délégation suspendus peuvent être créés, comment Route 53 protège votre domaine contre les abus et comment atténuer efficacement les risques associés aux enregistrements de délégation suspendus.

Scénario 1:: Vous créez une zone hébergée child.example.com avec quatre serveurs de noms : <ns1><ns2>,<ns3>, et<ns4>. Vous configurez correctement la délégation dans la zone hébergéeexample.com, en créant des enregistrements NS child.example.com de délégation pour quatre serveurs de noms <ns1><ns2>,<ns3>, et<ns4>. Lorsque la zone child.example.com hébergée est supprimée sans supprimer les enregistrements NS de la délégation dans laquelle se trouvent les enregistrementsexample.com, Route 53 child.example.com protège contre le risque lié aux enregistrements de délégation en empêchant <ns1><ns2><ns3>, et <ns4>en empêchant leur attribution à des zones hébergées nouvellement créées avec le même nom de domaine.
Scénario 2:: Similaire au scénario 1, mais cette fois, vous supprimez la zone hébergée par l'enfant AND que le NS de la délégation enregistre dans la zone hébergéeexample.com. Toutefois, vous pouvez réajouter des enregistrements NS de délégation <ns1><ns2>,<ns3>, <ns4>sans créer de zone hébergée pour enfants. Ici,<ns1>, <ns2><ns3>, et <ns4>sont en suspens les dossiers de délégation, car Route 53 supprime le blocage, qui empêchait<ns1>, <ns2><ns3>, et d'<ns4>être attribué et autorisera désormais les zones hébergées nouvellement créées à utiliser au-dessus des serveurs de noms. Pour atténuer les risques, supprimez, <ns1><ns2><ns3>, et des <ns4>enregistrements de délégation et ajoutez-les à nouveau uniquement une fois que la zone hébergée par l'enfant a été créée.
Scénario 3 :: Dans ce scénario, vous créez un ensemble de délégations réutilisables Route 53 avec des serveurs de noms <ns1><ns2>,<ns3>, et<ns4>. Vous déléguez ensuite le domaine example.com à ces serveurs de noms dans le domaine parent.com. Cependant, vous n'avez pas encore créé la zone example.com hébergée pour l'ensemble de délégations réutilisable. Voici,<ns1>, <ns2><ns3>, et <ns4>pendent des dossiers de délégation. Pour atténuer le risque, créez la zone hébergée à l'aide du jeu de délégation réutilisable avec les serveurs de noms <ns1><ns2><ns3>,, et<ns4>.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Protection des données

Gestion des identités et des accès