Le DNS constitue une technologie dont la plupart des gestionnaires des TI se préoccupent peu; elle fonctionne bien et ne nécessite habituellement que peu de soins pour soutenir les objectifs organisationnels. Alors que les entreprises comptent toujours davantage sur leur stratégie Web, l’infrastructure DNS mérite qu’on y accorde de l’attention, et ce, pour plusieurs raisons, notamment :
- La tendance à la hausse des attaques par DDoS contre les DNS a augmenté la sensibilisation aux faiblesses de l’architecture DNS patrimoniale traditionnelle facile à exploiter.
- La complexité croissante des sites et des applications Web et l’approvisionnement en contenu de plusieurs sites différents prolongent le temps de chargement des pages. Le temps de latence du DNS, bien qu’habituellement faible, vient s’ajouter à l’ensemble, et l’optimisation de votre infrastructure DNS améliorera l’expérience vécue par les internautes sur votre site Web.
- Pour plusieurs organisations, il est avantageux de conserver le trafic canadien entre les frontières canadiennes. Cette façon de faire renforce la sécurité de l’information, permet d’esquiver des attaques malveillantes provenant d’autres horizons géographiques et augmente la vitesse. Il est possible de configurer les architectures DNS de manière à optimiser le trafic régional tout en restant présent pour le trafic international.
Conçu pour démythifier la technologie du DNS, ce court préambule fournit des renseignements pour aider les gestionnaires des TI ou les décideurs en matière technique à se familiariser de nouveau avec cette technologie.
Comment le système de noms de domaine (DNS) fonctionne-t-il?
Le système de noms de domaine (domain name system [DNS]) fournit le réseau de base d’Internet en tenant lieu de traducteur des adresses IP (192.228.29.1) en noms de site aisément lisibles (c.-à-d., www.acei.ca), et cela, au moyen d’enregistrements de ressource. Il est essentiel au fonctionnement d’Internet, puisqu’il permet le recours à des noms logiques et lisibles plutôt qu’aux adresses IPv4 ou IPv6 complexes. De plus, il assure la mise en correspondance des serveurs de courriel et des serveurs SIP, des redirections et des signatures numériques et plus encore.
Le DNS est une base de données répartie organisée sous forme d’arborescence de noeuds interconnectés (serveurs ou grappes de serveurs) dans laquelle chaque noeud est une partition de la base de données. Les noeuds sont attribués à des autorités désignées, et un noeud ou un groupe de noeuds ne peut avoir plus d’une autorité.
Comment les nœuds sont-ils délégués
Le DNS est une base de données répartie descendante, et la Société pour l’attribution des noms de domaine et des numéros sur Internet (Internet Corporation for Assigned Names and Numbers [ICANN]) y joue le rôle de « racine », au sommet de la base de données. Les TLD, ou domaines de premier niveau, sont délégués à la fois aux entités commerciales et aux gouvernements, lesquels à leur tour délèguent les domaines de deuxième niveau aux registraires. Par exemple, l’ICANN/IANA délèguent l’autorité sur le .CA à l’Autorité canadienne pour les enregistrements Internet (ACEI), laquelle délègue l’autorité sur le gc.ca au gouvernement canadien, puis ce dernier est en mesure de déléguer l’autorité sur les sous-domaines du gc.ca à ses ministères, ce qu’il fait évidemment.
Qu’est-ce qu’un fichier de zone?
Un fichier de zone est une liste d’enregistrements de ressources pour la zone en question. La responsabilité du maintien de ce fichier de zone incombe à l’organisation ou au particulier auquel l’autorité sur la zone a été déléguée.
L’organisation ou le particulier responsable doit aussi vérifier la disponibilité de serveurs de noms DNS pour répondre aux requêtes DNS pour les enregistrements de ressources dans la zone. Certaines organisations impartissent cette fonction à une autre entreprise, et ce modèle est particulièrement courant chez les petites sociétés qui optent pour un forfait d’hébergement offert par un registraire ou un autre prestataire de service du domaine de l’hébergement. En règle générale, les SOHO (bureaux domestiques ou de petite entreprise) ne disposent pas de l’expertise requise pour gérer leurs propres serveurs de noms DNS. En ce qui concerne les moyennes et les grandes entreprises, les résultats de la recherche menée par l’ACEI révèlent que les responsables du DNS recourent à une infrastructure DNS en interne ainsi qu’à des tiers en la matière.
Quelles sont les étapes typiques d’une requête DNS
Étape 1
Les dispositifs (résolveurs) connectés au réseau envoient une demande (ou requête) à un serveur de noms récursif. Si le serveur récursif n’a pas la réponse en antémémoire, la requête passe à l’étape deux.
Étape 2
Le serveur de noms récursif envoie une requête aux serveurs de noms racines afin qu’ils se chargent de résoudre l’adresse pour le domaine de premier niveau. Ensuite, les serveurs de noms racines pour le domaine de premier niveau effectuent un renvoi de référence au serveur de noms récursif.
Étape 3
Le serveur de noms récursif envoie une requête aux serveurs de nom du premier niveau (dans ce cas, le .CA), lequel effectue un renvoi de référence aux serveurs de noms du deuxième niveau.
Étape 4
Le serveur de noms récursif envoie une requête aux serveurs de nom du premier niveau (dans ce cas, le .gc.ca), lequel effectue un renvoi de référence aux serveurs de noms du troisième niveau.
Étape 5
Le serveur de noms récursif envoie une requête aux serveurs de nom du troisième niveau (dans ce cas, le .CA), lequel effectue un renvoi de référence aux serveurs de noms récursifs.
Architecture du serveur de noms
La pratique exemplaire en matière d’architecture de serveurs de noms consiste à recourir à un serveur principal (primaire) caché et à des serveurs de noms secondaires. Cette démarche a l’avantage de garder un serveur principal (primaire) caché dans l’infrastructure d’entreprise aux fins de l’administration des zones. Une fois cette structure en place, la gestion du serveur ou des temps d’arrêt n’auront pas d’incidence sur l’accès aux sites Web de l’organisation. Sur le plan de la sécurité, le pare-feu doit être configuré de façon à ne permettre que les communications vers et à partir des serveurs secondaires.
Une fois cette architecture en place, les choix et la portée de l’infrastructure secondaire sont fondés sur la tolérance au risque et les besoins organisationnels.
Méthodes d’adressage du serveur de noms DNS
Comme c’est le cas pour toute infrastructure de serveur, la pratique exemplaire consiste à disposer d’une redondance intégrée dans l’infrastructure DNS. Deux méthodes existent pour l’adressage des serveurs DNS :
-
Unicast (diffusion individuelle)
Appliquée à grande échelle, la diffusion unicast correspond à la communication entre un seul expéditeur et un seul destinataire sur un réseau. Appliquée au DNS, il s’agit d’une association exclusive entre une adresse réseau et le point final. En d’autres mots, si le DNS unicast dispose de deux enregistrements (ns1 et ns2) alors chacun correspond exactement à un serveur. Cela n’empêche pas la redondance intégrée aux nœuds unicast ni la disposition de plus d’un nœud en ligne pour répondre aux requêtes. Par contre, ce type de diffusion ne procure pas le vaste éventail d’avantages qu’offrent les solutions anycast (unidiffusion aléatoire) pour la résolution DNS externe.
-
Anycast (unidiffusion aléatoire)
Anycast constitue l’un des nombreux schémas de routage qu’il est possible d’utiliser pour maîtriser le flux de trafic à l’échelle d’un réseau, habituellement au moyen d’un Border Gateway Protocol (BGP). Avec un DNS anycast, plusieurs nœuds, soit des copies les uns des autres, sont disséminés sur le plan géographique. De cette façon, plusieurs serveurs se trouvent derrière des adresses IP identiques, et la réponse aux requêtes se trouve prise en charge par le nœud le plus rapproché. Les avantages de tout réseau anycast sont les suivants : un temps de latence plus faible, une redondance accrue et une résilience supérieure du DNS aux attaques par DDoS.
Anycast pour le service DNS secondaire
Comme c’est le cas à l’égard des autres décisions organisationnelles, la question de la prestation de services DNS secondaire revient à choisir entre « l’élaboration, l’achat ou les deux”. Peu importe lequel on choisit, le recours à un service DNS secondaire anycast augmente la vitesse et la résilience des sites Web et des services en ligne de toute organisation.
Si une architecture de service DNS secondaire est déjà en place, qu’elle soit interne ou qu’elle appartienne à un prestataire de services, cela n’empêche pas l’ajout d’autres services DNS secondaires. Ce faisant, les gestionnaires des TI sont en mesure d’augmenter la vitesse et la résilience de leurs sites Web tout en profitant des avantages de services axés sur la situation géographique. Par exemple, le .CA exploite le service DNS Anycast D-Zone, lequel est pourvu de nœuds secondaires mondiaux et locaux. Les nœuds locaux en question sont destinés au trafic canadien et protègent ce dernier contre les attaques par DDoS de l’étranger. Dans la perspective des affaires, la solution D-Zone permet de protéger la clientèle et de servir les objectifs commerciaux d’une entreprise canadienne tout en améliorant sa portée mondiale grâce à des nœuds situés dans les plaques tournantes d’Internet partout sur la planète.
Les attaques par DDoS du DNS sont une menace de premier plan aux opérations alors « qu’un bon tiers des opérateurs de DNS ont fait état d’une attaque de ce type ayant une incidence sur la clientèle. » ‒ Worldwide Infrastructure Security Report, Arbour, 2016.
Pour apprendre plus, lisez le glossaire du DNS
