Le Centre d’analyse et de recherche pour les opérations DNS (DNS-OARC) a été créé il y a presque une décennie, en reconnaissance du fait que la position clé du DNS dans l’architecture d’Internet le rend une cible potentielle pour différents types d’utilisations malveillantes. Le DNS-OARC a été conçu suivant l’idée que la coopération, ainsi que la collecte, l’analyse et le partage de données entre l’opérateur et les communautés de chercheurs pourraient protéger le DNS contre ces utilisations malveillantes tout en favorisant une meilleure compréhension du DNS et des opérations Internet.
Depuis la création de l’OARC en 2004, ces problèmes sont devenus encore plus critiques et l’organisation, née comme un projet au sein de l’ISC, a évolué jusqu’à devenir une organisation à but non lucratif indépendante, neutre, avec plus de 70 membres et des effectifs entièrement consacrés à leurs tâches. L’OARC a pour mission d’améliorer la sécurité, la stabilité et la compréhension de l’infrastructure DNS d’Internet.
Outre les séminaires organisés deux fois par an, les nombreux outils conçus au profit de l’intérêt public et les plateformes créées pour favoriser la coopération entre ses membres, l’OARC met en place un certain nombre d’initiatives de collecte de données à grande échelle, destinées à recueillir des informations à partir des infrastructures de ses membres. Parmi ces initiatives, figure « Un jour dans la vie de l’Internet » (DITL pour ses sigles en anglais), lancée en 2004 en coopération avec CAIDA et financée par la NSF. Dans le cadre de cette initiative, des ensembles détaillés de données concernant des requêtes envoyées aux opérateurs DNS de la racine et des noms de domaine de premier niveau sont collectées pendant une période de 48 heures, au moins une fois par an. L’objectif est de parvenir à créer un fichier de données de base pouvant être utilisé pour établir des comparaisons annuelles. Les données sont également collectées à des moments charnière pour le DNS mondial, tels que la délégation IPv6 et la signature DNSSEC de la racine. Au cours de la dernière décennie, l’OARC a cumulé un ensemble de données DITL qui dépasse les 40 Tb.
La disponibilité des données opérationnelles brutes est une composante clé de la capacité et des contributions de l’OARC. Un grand nombre des principes d’ingénierie sous-jacents et des modes de défaillance d’Internet sont mal connus et il est important de signaler que toutes les menaces qui pèsent sur la sécurité et la fiabilité des opérations d’Internet ne relèvent pas d’utilisations malveillantes du système. Des études menées par des partenaires de l’OARC tels que CAIDA ont démontré qu’une partie importante du trafic DNS indésirable et des problèmes opérationnels est liée à une mauvaise configuration du DNS ou des applications qui en dépendent. Le seul moyen pour améliorer cet état de choses est l’application de la méthode scientifique à l’étude de ce problème à grande échelle.
L’ICANN a été un partisan engagé du travail de l’OARC depuis son adhésion en tant que membre en 2008 et a travaillé avec l’OARC en tant qu’opérateur de la racine L, en fournissant des données relatives au DNS, en soutenant plusieurs événements conjoints et des infrastructures de service et, tout récemment, en lui donnant un membre du Conseil d’administration.
Au cours de l’année 2012, un nouvel obstacle potentiel pour le déploiement des nouveaux TLD de l’ICANN a été identifié par l’équipe du SSAC (Comité consultatif sur la sécurité et la stabilité) de l’ICANN. Le risque identifié concernait le fait qu’un certain nombre des nouveaux TLD proposés étaient déjà utilisés dans les réseaux à usage interne largement répandus dans les entreprises, et qui plus est, les certificats SSL qui étaient censés servir uniquement pour cette utilisation interne ont déjà été délivrés à ces organisations. Cela pourrait entraîner des risques de collision entre l’utilisation valable en interne de ces TLD et une potentielle utilisation malveillante de ces certificats sur l’Internet mondial.
Il s’agit clairement d’un problème potentiel important, qui implique une tension entre les intérêts des opérateurs des nouveaux TLD, qui plaident pour un déploiement de leurs nouveaux domaines dans les meilleurs délais, et certains risques très réels liés à des utilisations malveillantes ou tout simplement à des conséquences imprévues, susceptibles d’avoir un impact au niveau mondial.
Lorsque des politiques sont établies pour savoir comment procéder dans ce type de situations, il est important que celles-ci puissent se baser sur des données. Compte tenu du calendrier extrêmement serré prévu pour le déploiement des nouveaux TLD, la collecte de nouvelles données à partir de zéro aurait pu représenter un considérable effort de longue haleine. Heureusement, on a très vite compris que l’ensemble des données DITL de l’OARC pourrait contenir les preuves nécessaires pour déterminer si les craintes du SSAC étaient bien fondées et, le cas échéant, en évaluer la gravité. Le registre des requêtes envoyées aux serveurs racine et TLD contient non seulement des chaînes valables correspondant à des noms de domaine de premier niveau, mais aussi des « fuites », c’est à dire, des chaînes destinées à être utilisées uniquement en interne, qui se retrouvent cependant sur la Toile suite à un enchaînement de mauvaises configurations. Ce sont précisément ce type de conséquences inattendues qui peuvent entraîner les situations redoutées dans l’étude : les données collectées se sont ainsi avérées un échantillon utile pour savoir ce qui pourrait être perdu ou exploité.
Si l’ensemble de données DITL de l’OARC a été reconnu comme étant particulièrement pertinent pour ce besoin spécifique, il est toutefois important de comprendre qu’il ne s’agit que d’une vision du DNS qui n’est ni définitive ni complète : par exemple, elle inclut uniquement certaines requêtes vers certains opérateurs racine pendant une période de temps courte, mais n’inclut pas, par exemple, des requêtes vers bien d’autres opérateurs TLD ou vers des FSI qui proposent des services de résolution du DNS à leurs abonnés. Il est probablement impossible d’obtenir une vision complète du DNS par le biais de techniques de collecte de données de trafic, et on ne devrait pas perdre de vue la valeur de bien d’autres approches différentes.
Après avoir identifié le problème et l’ensemble de données qui pourrait servir à trouver une solution, l’ICANN a engagé Interisle et ses sous-traitants RTFM pour mener à bien l’analyse. Dans une première étape, l’équipe a emprunté à CAIDA des ressources informatiques situées dans les installations de l’OARC pour produire le rapport initial.
Or, un certain nombre de conditions devaient être respectées pour être en mesure de mettre en place une analyse plus approfondie des données :
- les données DNS remises à l’OARC par des juridictions du monde entier sont potentiellement sensibles et l’OARC les détient dans des conditions de stricte confidentialité. C’est ce qui permet d’ailleurs que les données proviennent d’une si vaste communauté. Ces conditions de confidentialité interdisent toute copie des données contenues dans les archives de l’OARC vers des systèmes d’une tierce partie.
- alors que les systèmes destinés à héberger l’ensemble croissant de données de l’OARC ont été régulièrement mis à jour au fil des années, une grande partie de l’infrastructure sous‑jacente, y compris les ordinateurs utilisés par les membres et les chercheurs pour faire des analyses de données sur place, ne l’ont pas été et en avaient désespérément besoin, dans la mesure où le financement de la NSF destiné à cette fin remonte à il y a dix ans.
- un grand nombre d’opérateurs de nouveaux TLD ont souhaité devenir des membres de l’OARC afin de pouvoir à la fois soutenir sa mission et mener leurs propres analyses des ensembles de données DITL chez l’OARC, indépendamment du travail parrainé par l’ICANN, réalisé par Interisle/RTFM.
- le tout dans le cadre du calendrier pressant prévu pour le déploiement des nouveaux TLD et pour l’analyse et les commentaires de l’ICANN.
Heureusement, à la suite d’un plan de développement prévu par le Conseil d’administration de l’OARC plus tôt en 2013, une importante mise à niveau du matériel et des logiciels était en cours, si bien qu’au moment où le besoin d’une étude sur le risque de collision de chaînes a été identifié, le nouvel ingénieur système William Sotomayor, était prêt à déployer les nouvelles ressources informatiques qui s’avéraient nécessaires.
Ainsi, l’OARC a été vite en mesure de réceptionner et de mettre en service les 4 serveurs Dell r820 donnés par l’ICAN, ainsi que d’autres serveurs similaires donnés par des membres intéressés de l’OARC. Il s’agit de machines extrêmement performantes, avec des processeurs à 64 cœurs et au moins 48 Gb de mémoire vive. Ces équipements placent définitivement la capacité d’analyse de l’OARC sous le signe de la modernité et seront fort utiles non seulement pour les études en cours sur les risques de collisions mais aussi pour les besoins généraux des membres et des chercheurs de l’OARC dans les années à venir.
L’OARC travaille dans les « données à grande échelle » quasiment depuis sa création, mais ce n’est que récemment que la valeur de cette collecte de données à grande échelle a été largement établie et reconnue. Avec cette contribution majeure, à la quelle s’ajouteront d’autres dons d’équipement et d’espace pour les héberger qui sont en cours, l’OARC espère participer à la révolution de l’innovation du cloud computing et des données à grande échelle (Big Data).
La capacité de l’OARC à fournir une solution à un problème qui n’avait pas été envisagé au moment de sa création met l’accent sur la valeur de la collecte neutre et universelle de données du DNS dans le contexte plus large de la « Science de l’Internet ».
Remerciements
L’OARC souhaite remercier sincèrement l’ICANN pour la générosité dont elle a fait preuve avec le don de ces équipements. Nous entendons poursuivre notre travail avec l’ICANN, nos autres membres, nos partenaires et la communauté de chercheurs en vue de continuer à satisfaire ce besoin.
Tout cela n’aurait pas été possible sans l’aide et l’engagement d’un grand nombre de parties à qui nous sommes très reconnaissants. Un grand merci à Terry Manderson, le nouveau directeur des opérations DNS de l’ICANN et à son équipe, qui nous ont facilité les serveurs ; à CAIDA, qui nous a permis d’utiliser sa capacité informatique pour que l’équipe d’Interisle/RTFM puisse progresser dans son travail ; et à l’équipe des opérations d’ISC, le fournisseur d’hébergement de l’OARC, qui nous a diligemment aidé à installer nos serveurs et à les rendre opérationnels.
Keith Mitchell
Président, DNS-OARC