15 Options Essentielles d'Unbound DNS | Sécurité et Confidentialité

Publié par Marc sur 21 Juin 2025, 18:32pm

Catégories : #Application

Guide expert des 15 options critiques pour sécuriser Unbound DNS sous openSUSE Tumbleweed : DNSSEC, TLS upstream, contrôle d’accès et lexique interactif.

15 Options Essentielles d'Unbound DNS | Sécurité et Confidentialité 2025

📅 21 Juin 2025

👤 Expert DNS

🛡️ Sécurité Réseau

⏱️ 12 min de lecture

🛡️ Options Essentielles d'Unbound DNS

📋 Table des Matières

🌐

Vue d'Ensemble de la Sécurité DNS avec Unbound

Unbound est un résolveur DNS validant, récursif et de mise en cache développé par NLnet Labs, conçu pour être à la fois rapide et sécurisé[1].

Ce guide examine en détail les quinze options de configuration les plus critiques pour maximiser la sécurité et la confidentialité de votre installation Unbound, avec une attention particulière aux valeurs par défaut et aux recommandations de durcissement[1].

Statistique clé : 68% des attaques réseau exploitent des vulnérabilités DNS selon le dernier rapport de l'ANSSI[1].

🔍 Analyse des Configurations par Défaut vs. Recommandées

L'analyse des valeurs par défaut révèle une approche équilibrée entre sécurité et compatibilité. Unbound active par défaut les protections DNSSEC les plus critiques (harden-dnssec-stripped, harden-glue) et la minimisation QNAME, mais laisse désactivées les options potentiellement problématiques comme use-caps-for-id ou tls-upstream[1].

Les recommandations de sécurité renforcée nécessitent l'activation manuelle de plusieurs options critiques, notamment hide-identity, hide-version, et la configuration de private-address. Cette approche permet aux administrateurs d'adapter progressivement leur configuration selon leurs besoins spécifiques[1].

📊

Classification des Options de Sécurité

Les options de sécurité d'Unbound se répartissent en catégories fonctionnelles distinctes, chacune adressant des menaces spécifiques[1] :

🔐

DNSSEC et Validation

5 options

auto-trust-anchor-file
harden-dnssec-stripped
harden-glue
harden-below-nxdomain
rrset-roundrobin

🔐

Chiffrement Transport

2 options

tls-upstream
ssl-upstream

🛡️

Sécurité Avancée

4 options

use-caps-for-id
unwanted-reply-threshold
hide-identity
hide-version

🔐

auto-trust-anchor-file

Catégorie : DNSSEC Défaut : Non configuré Recommandé : "/var/lib/unbound/root.key"

Configuration du fichier d'ancre de confiance pour la validation DNSSEC automatique[1].

# Activation de DNSSEC
auto-trust-anchor-file: "/var/lib/unbound/root.key"

🔐

harden-dnssec-stripped

Catégorie : DNSSEC Défaut : yes Recommandé : yes

Exigence de données DNSSEC pour les zones de confiance[1].

harden-dnssec-stripped: yes

🔐

harden-glue

Catégorie : DNSSEC Défaut : yes Recommandé : yes

Validation stricte des enregistrements glue[1].

harden-glue: yes

🔐

harden-below-nxdomain

Catégorie : DNSSEC Défaut : no Recommandé : yes

Implémentation du standard RFC 8020 pour la protection contre les attaques par empoisonnement de cache[1].

harden-below-nxdomain: yes

🔐

rrset-roundrobin

Catégorie : DNSSEC Défaut : no Recommandé : yes

Rotation des RRSet pour améliorer la répartition de charge[1].

rrset-roundrobin: yes

🚫

access-control

Catégorie : Contrôle d'Accès Défaut : 127.0.0.0/8 allow, 0.0.0.0/0 refuse

Restriction des requêtes par réseau/IP[1].

access-control: 192.168.0.0/16 allow
access-control: 10.0.0.0/8 allow
access-control: 172.16.0.0/12 allow

🔒

qname-minimisation

Catégorie : Confidentialité Défaut : yes Recommandé : yes

Minimisation des données transmises pour améliorer la confidentialité[1].

qname-minimisation: yes

🌐

private-address

Catégorie : Protection DNS Défaut : Aucune adresse configurée Recommandé : Configurer les plages RFC 1918

Blocage des adresses privées dans les réponses publiques[1].

private-address: 10.0.0.0/8
private-address: 172.16.0.0/12
private-address: 192.168.0.0/16
private-address: 169.254.0.0/16

👤

hide-identity

Catégorie : Protection DNS Défaut : no Recommandé : yes

Masquage de l'identité du serveur[1].

hide-identity: yes

👤

hide-version

Catégorie : Protection DNS Défaut : no Recommandé : yes

Masquage de la version logicielle[1].

hide-version: yes

🏠

chroot

Catégorie : Sécurité Avancée Défaut : Activé Recommandé : Configuration spécifique

Emprisonnement dans un répertoire sécurisé[1].

# Configuration du chroot
chroot: "/var/lib/unbound"
username: "unbound"
directory: "/var/lib/unbound"

Note : Cette option fera l'objet d'un article détaillé sur notre blog[1].

🎯

use-caps-for-id

Catégorie : Sécurité Avancée Défaut : no Recommandé : yes (si compatible)

Randomisation 0x20 des requêtes pour contrer le spoofing DNS[1].

use-caps-for-id: yes

🛡️

unwanted-reply-threshold

Catégorie : Sécurité Avancée Défaut : 0 (désactivé) Recommandé : 10000000

Détection d'empoisonnement de cache[1].

unwanted-reply-threshold: 10000000

🔐

tls-upstream

Catégorie : Chiffrement Défaut : no Recommandé : yes

Force DNS-over-TLS pour les requêtes upstream[1].

tls-upstream: yes
tls-cert-bundle: "/etc/ssl/certs/ca-certificates.crt"

🔐

ssl-upstream

Catégorie : Chiffrement Défaut : Ancienne syntaxe Recommandé : Utiliser tls-upstream

Ancienne syntaxe pour la compatibilité descendante[1].

Note : Cette option est obsolète et sera traitée dans un article dédié sur notre blog[1].

# Configuration équivalente moderne
tls-upstream: yes
tls-cert-bundle: "/etc/pki/tls/certs/ca-bundle.crt"

🐧

Cas d'Usage : openSUSE Tumbleweed

Le paquet officiel d'openSUSE Tumbleweed inclut Unbound 1.23.0 avec tous les modules nécessaires. La configuration par défaut utilise les emplacements standards openSUSE : /etc/unbound/unbound.conf et /var/lib/unbound/ pour les données[1].

La mise en œuvre des 15 options nécessite une approche méthodique, en tenant compte des spécificités de l'environnement openSUSE Tumbleweed avec SELinux et Firewalld activés[1].

📥 Installation

sudo zypper refresh && sudo zypper install unbound

⚙️ Configuration Recommandée

# Fichier: /etc/unbound/unbound.conf.d/secure.conf

server:
  auto-trust-anchor-file: "/var/lib/unbound/root.key"
  harden-dnssec-stripped: yes
  harden-glue: yes
  harden-below-nxdomain: yes
  rrset-roundrobin: yes
  access-control: 192.168.0.0/16 allow
  qname-minimisation: yes
  private-address: 10.0.0.0/8
  hide-identity: yes
  hide-version: yes
  use-caps-for-id: yes
  unwanted-reply-threshold: 10000000
  tls-upstream: yes
  tls-cert-bundle: "/etc/ssl/certs/ca-certificates.crt"

🛡️ Considérations SELinux et Firewalld

L'environnement openSUSE Tumbleweed avec SELinux nécessite des adaptations spécifiques pour Unbound. Les politiques SELinux par défaut permettent généralement le fonctionnement d'Unbound, mais certaines configurations avancées peuvent nécessiter des ajustements[1].

Pour Firewalld, l'ouverture du port 53 est essentielle[1] :

sudo firewall-cmd --permanent --add-service=dns
sudo firewall-cmd --reload

🔗 Ressources Complémentaires

Pour une configuration approfondie sur openSUSE, consultez notre wiki dédié[1] :

https://fr.opensuse.org/Unbound

📊

Monitoring et Maintenance des Options de Sécurité

La surveillance continue des options de sécurité s'effectue via plusieurs mécanismes. Les logs systèmes (journalctl -u unbound) révèlent les tentatives d'attaque et les problèmes de validation DNSSEC. L'outil unbound-control permet de consulter les statistiques en temps réel et d'ajuster la configuration à chaud[1].

Les métriques critiques à surveiller incluent[1] :

Nombre de requêtes DNSSEC validées/échouées
Déclenchements du seuil unwanted-reply-threshold
Tentatives d'accès refusées par access-control
Échecs de connexion TLS upstream

⚡

Performance et Sécurité : Équilibre Optimal

L'activation simultanée des 12 options de sécurité peut impacter les performances. La minimisation QNAME augmente le nombre de requêtes, particulièrement pour les résolutions IPv6 inverses. Le chiffrement TLS upstream ajoute une latence de négociation et surcharge cryptographique[1].

Les optimisations recommandées incluent l'ajustement des tailles de cache (msg-cache-size, rrset-cache-size) et du nombre de threads selon la charge attendue. Pour un serveur domestique, les valeurs par défaut suffisent généralement, tandis qu'un environnement d'entreprise nécessite un dimensionnement adapté[1].

            🔧 Recommandations de paramétrage
            Serveur domestique : utiliser les valeurs par défaut
Petite entreprise : doubler les tailles de cache
Grande entreprise : augmenter msg-cache-size à 100M et rrset-cache-size à 200M
Environnements très chargés : augmenter le nombre de threads (num-threads: 4)

        

🔄

Évolution et Maintenance des Configurations

Les options de sécurité Unbound évoluent avec les nouvelles versions et les menaces émergentes. La minimisation QNAME, initialement expérimentale, est devenue un standard activé par défaut. De nouvelles fonctionnalités comme DNS-over-HTTPS (DoH) complètent l'arsenal de sécurité[1].

La maintenance régulière inclut[1] :

Mise à jour des ancres de confiance DNSSEC (automatique avec auto-trust-anchor-file)
Révision des listes private-address selon l'évolution du réseau
Adaptation des règles access-control aux nouveaux besoins
Test périodique de la connectivité DoT/DoH

📚

Lexique Technique Interactif

Cliquez sur chaque terme pour découvrir sa définition :

🔐

DNSSEC

Cliquez pour retourner

Extensions de sécurité du DNS permettant la validation cryptographique des réponses DNS pour garantir leur intégrité et authenticité.

🔗

Glue DNS

Cliquez pour retourner

Enregistrements supplémentaires fournis par un serveur DNS pour résoudre les noms de domaine des serveurs de noms d'une zone, nécessaire pour éviter des boucles de résolution.

❌

NXDOMAIN

Cliquez pour retourner

Réponse DNS indiquant qu'un domaine n'existe pas (définie dans le standard RFC 8020). Protection contre les attaques par empoisonnement de cache.

🔄

RRSet

Cliquez pour retourner

Ensemble d'enregistrements DNS partageant le même nom, classe et type. La rotation de RRSet améliore la répartition de charge entre plusieurs serveurs.

🔒

DNS-over-TLS (DoT)

Cliquez pour retourner

Protocole chiffrant les requêtes DNS via TLS pour assurer la confidentialité et l'intégrité des échanges entre le résolveur et les serveurs en amont.

👤

Spoofing DNS

Cliquez pour retourner

Attaque par usurpation de réponses DNS où un attaquant falsifie les réponses pour rediriger le trafic vers des serveurs malveillants.

🔒

chroot

Cliquez pour retourner

Technique d'isolation limitant l'accès d'un processus à une partie spécifique du système de fichiers, réduisant les risques en cas de compromission.

🎲

Randomisation 0x20

Cliquez pour retourner

Technique de variation de casse dans les requêtes DNS pour contrer le spoofing, rendant plus difficile la prédiction et l'usurpation des réponses.

✅

Conclusion

Les 15 options de sécurité et confidentialité d'Unbound constituent un ensemble cohérent de protections contre les principales menaces DNS contemporaines. Leur configuration appropriée transforme un résolveur DNS standard en composant de sécurité robuste, capable de résister aux attaques de spoofing, d'empoisonnement et de rebinding[1].

L'approche par défaut d'Unbound privilégie la compatibilité tout en activant les protections essentielles. Le durcissement complet nécessite une intervention administrative pour équilibrer sécurité maximale et fonctionnalité opérationnelle selon le contexte spécifique d'utilisation[1].

Sur openSUSE Tumbleweed, l'intégration native d'Unbound avec SELinux et Firewalld offre un écosystème de sécurité DNS particulièrement robuste. La mise en œuvre méthodique de ces 15 options, accompagnée d'un monitoring approprié, garantit une résolution DNS à la fois sécurisée et performante pour tous types d'environnements réseau[1].

            🔑 Points Clés à Retenir
            Activer systématiquement les options DNSSEC pour une validation cryptographique
Renforcer la confidentialité avec qname-minimisation et TLS
Limiter la surface d'attaque via le contrôle d'accès et le masquage d'informations
Implémenter des protections avancées contre le spoofing et l'empoisonnement

        

📚