De tous les protocoles Internet, DNS est l’un des plus anciens et des plus répandus. Hélas, c’est aussi l’un des plus mal compris et mal configurés. C’est un mécanisme de base de données distribuée hiérarchique, dont l’efficacité dépend d’une bonne configuration. Par conséquent, la performance et la sécurité de tout le réseau dépendent en grande partie de l’infrastructure DNS de votre entreprise.Quel est le meilleur moyen de configurer DNS dans un scénario d’entreprise ? Le secret d’un DNS efficace et sûr – particulièrement dans de vastes réseaux – consiste à isoler les serveurs DNS dans des rôles distincts, chacun se consacrant exclusivement à un rôle. Dans ce scénario idéal, la configuration, les fonctions et les données de zone de chaque serveur le distinguent de son voisin. Voici comment procéder.
Séparer les serveurs DNS
Avant de nous plonger dans les divers rôles DNS, il faut savoir comment agissent les diverses fonctions du serveur DNS. Ces fonctions sont là pour fournir les réponses autorisées (authoritative responses), la récursion (recursion), la retransmission (forwarding) et le cache (caching).
Réponses autorisées.
La fonction première d’un serveur DNS est de fournir une réponse autorisée à une consultation de noms d’hôtes. Quand un serveur fournit une réponse autorisée, il confirme par là que la réponse qu’il donne est la réponse finale et qu’il est inutile de chercher plus loin. Quand vous enregistrez un nom de domaine sur Internet, vous devez fournir le registre avec les noms de serveurs qui sont autorisés pour votre domaine. Ces serveurs fourniront toujours des réponses autorisées pour votre domaine. La difficulté est de trouver le serveur approprié pour chaque domaine.
Récursion
La récursion est ce qui fait de DNS un mécanisme de base de données hiérarchique. Quand un serveur DNS ne connaît pas un nom d’hôte particulier, il envoie des requêtes à d’autres serveurs pour savoir lequel d’entre eux connaît la réponse. Le serveur DNS commence par prendre l’information qu’il connaît déjà puis il avance dans le système global jusqu’à ce qu’il trouve le serveur autorisé pour un nom d’hôte particulier. Pour cela, le serveur DNS envoie des requêtes au travers de la hiérarchie DNS jusqu’à ce qu’il trouve le bon serveur. La récursion pourrait commencer sur l’un des serveurs racine bien connus disséminés sur Internet. Supposons que votre navigateur doive examiner l’adresse IP pour trouver www.example.com.
Si votre serveur DNS ne connaît pas cette adresse, il interroge l’un des serveurs racine. Celui-ci ne connaît probablement pas davantage cette adresse d’hôte particulière, mais il connaît l’adresse IP du serveur DNS qui gère le domaine de niveau supérieur com et donc il vous y envoie. A son tour, votre serveur DNS interroge le serveur DNS com, qui ne connaît probablement pas l’adresse IP de cet hôte particulier, mais sait quel serveur DNS gère example.com, aussi il vous envoie à l’adresse IP de ce serveur DNS. Comme il se trouve que le serveur DNS example.com est autorisé pour tout ce domaine, il renvoie une réponse autorisée pour www.example.com.
Bien que la requête qu’un utilisateur envoie au serveur DNS de votre entreprise soit une requête récursive, les requêtes que votre serveur DNS envoie sont non récursives, ou itératives. L’envoi de requêtes itératives signifie que chaque serveur DNS à distance interrogé, soit renverra une réponse autorisée, soit vous dirigera vers un serveur qui vous rapprochera d’une telle réponse. Mais ce serveur à distance n’essaiera jamais de contacter d’autres serveurs DNS pour votre compte. Votre serveur DNS local effectuera tout le travail nécessaire pour trouver une réponse et renvoyer la réponse finale à votre navigateur – en fait, il effectuera lui-même la récursion.
Téléchargez cette ressource
Sécuriser votre système d’impression
Longtemps sous-estimée, la sécurisation d’un système d’impression d’entreprise doit être pleinement prise en compte afin de limiter le risque de fuite d’informations sensibles. Voici les 3 principales précautions à prendre.