- Pratique exemplaire 1 : Utilisez un serveur principal caché
- Pratique exemplaire 2 : Désactiver la récursivité et utiliser des TSIG
- Pratique exemplaire 3 : Rapprochez les serveurs de noms des internautes
- Pratique exemplaire 4 : Rendez votre DNS résilient aux attaques par DDoS
- Pratique exemplaire 5 : Rendez votre DNS à l’épreuve des catastrophes
- Pratique exemplaire 6 : Utilisez un DNS anycast
- Apprenez-en davantage
Table des matières
- Pratique exemplaire 1 : Utilisez un serveur principal caché
- Pratique exemplaire 2 : Désactiver la récursivité et utiliser des TSIG
- Pratique exemplaire 3 : Rapprochez les serveurs de noms des internautes
- Pratique exemplaire 4 : Rendez votre DNS résilient aux attaques par DDoS
- Pratique exemplaire 5 : Rendez votre DNS à l’épreuve des catastrophes
- Pratique exemplaire 6 : Utilisez un DNS anycast
- Apprenez-en davantage
Pratique exemplaire 1 : Utilisez un serveur principal caché
Un serveur principal caché est un serveur non annoncé qui ne figure dans aucun registre de serveurs de noms. En d’autres mots, il n’est pas connu publiquement sur Internet et ne répond à aucune requête. Sa raison d’être consiste à effectuer des transferts de zone vers un ensemble de serveurs de noms secondaires connus publiquement et répondant aux requêtes.
TOLÉRANCE AUX FAILLES
Il peut subir une faille sans avoir d’incidence sur la résolution de votre domaine.
SÉCURITÉ
Comme l’adresse IP du serveur de noms n’est pas publiée, il est moins vulnérable au piratage.
SIMPLICITÉ D’ADMINISTRATION
Les recharges et les redémarrages du serveur principal caché n’ont aucune incidence sur la résolution de votre domaine.
Pratique exemplaire 2 : Désactiver la récursivité et utiliser des TSIG
Désactivez la récursion sur votre serveur principal caché et vos serveurs de noms externes faisant autorité. Ce faisant, la vulnérabilité aux attaques par déni de service et par empoisonnement de cache est amoindrie, et la performance s’en trouve améliorée.
RECOUREZ À UNE SIGNATURE DE TRANSACTION (TSIG) POUR SÉCURISER LES COMMUNICATIONS ENTRE SERVEURS DE NOMS
Les communications entre le serveur principal caché et les serveurs de noms secondaires devraient être authentifiées de manière cryptographique en recourant aux signatures de transactions (TSig). Les TSig sont de loin plus sûres que le filtrage des adresses IP sources qui sont facilement usurpées au moyen de connexions TCP.
Pratique exemplaire 3 : Rapprochez les serveurs de noms des internautes
La latence des consultations DNS est importante pour votre site Web. En se prolongeant, elle risque de se traduire par la perte de clients et de recettes. Vos serveurs de noms faisant autorité répondent aux requêtes provenant d’autres serveurs de noms sur Internet. Afin d’offrir une expérience utilisateur agréable et un accès rapide à votre site Web, rapprochez vos serveurs de noms de ceux qui les interrogent ou faites en sorte qu’ils leur soient plus rapidement accessibles. Dans le meilleur des mondes, les serveurs de noms devraient être situés dans des lieux propices à un bon accès à Internet, par exemple aux points d’échange Internet (IXP).
La solution la plus chaudement recommandée est sans nul doute d’impartir un service DNS secondaire Anycast. Grâce à Anycast, des serveurs de noms géographiquement dispersés partagent une même adresse IP, et les requêtes sont acheminées au plus rapproché de ceux-ci. Au moment de choisir un service DNS secondaire Anycast, veillez à ce que les serveurs de noms soient situés dans les IXP stratégiquement situés sur le plan géographique par rapport à votre clientèle.
Pratique exemplaire 4 : Rendez votre DNS résilient aux attaques par DDoS
Les attaques par DDoS qui exploitent le DNS comme vecteur augmentent toujours. Rehaussez la résilience aux attaques par DDoS grâce à la capacité supérieure de résolution et à la bande passante du nuage D-Zone Anycast DNS. Aux yeux de tous, le nuage Anycast apparaît en tant qu’adresse IP unique. En réalité, il s’agit d’un réseau de serveurs de noms géographiquement dispersés. Un nuage Anycast est de loin plus résilient aux attaques par DDoS que le sont les serveurs Unicast parce qu’il recourt à une fonction de géolocalisation pour déterminer le serveur qui doit répondre à une requête en particulier et parce qu’il dispose de la capacité et de la bande passante combinées de tous les serveurs. Grâce à Anycast, une attaque n’a d’incidence que sur le serveur de noms qui se trouve le plus près de la ou des sources de l’attaque.
La plupart des attaques par DDoS proviennent de l’étranger. Au moment de sélectionner un service DNS Anycast, il faut s’assurer de la présence de noeuds internationaux qui peuvent bloquer les attaques de l’étranger. Un noeud international dirigera vers un gouffre le trafic d’une attaque de l’étranger tout en protégeant les serveurs de noms locaux.
Pratique exemplaire 5 : Rendez votre DNS à l’épreuve des catastrophes
Faites appel à la redondance pour rendre votre DNS à l’épreuve des catastrophes. S’il s’agit de serveurs Unicast, alors il faudra à tout le moins deux serveurs de noms à différents endroits. Pour assurer la redondance, un nuage DNS Anycast constitue une meilleure solution. En cas de défaillance d’un serveur de noms dans un nuage Anycast, celui-ci est automatiquement retiré des tables de routage. C’est ainsi qu’Anycast augmente la redondance et la tolérance aux failles.
En Anycast, le degré de redondance le plus élevé est atteint au moyen de deux nuages distincts. Par comparaison avec la redondance en Unicast, cela équivaut à remplacer deux serveurs de noms Unicast par deux nuages Anycast. Assurez-vous que les nuages font appel à du matériel et à des fournisseurs de transit distincts. Ainsi, votre DNS est protégé de toute défaillance causée par un problème de routage ou une panne du réseau de transit.
Pratique exemplaire 6 : Utilisez un DNS anycast
Anycast est en usage depuis plus de 10 ans afin d’assurer la prestation de services de noms au serveur racine sur Internet, de même qu’à de nombreux domaines de premier niveau, y compris au .CA. Le DNS Anycast est la solution optimale pour la tolérance des failles, la résilience aux attaques par DDoS ainsi qu’afin de rapprocher les serveurs des utilisateurs. Pour la plupart des organisations, il est trop coûteux et complexe d’élaborer et de gérer leur propre infrastructure. Heureusement, il est facile de greffer un service DNS Anycast tel que D-Zone à votre infrastructure DNS.
Apprenez-en davantage
Pour obtenir plus de renseignements sur la façon d’obtenir le service, de trouver un revendeur ou d’en devenir un, veuillez écrire à[email protected] ou visiter acei.ca/d-zone.
