- Pratique exemplaire 1 : Utilisez un serveur principal caché
- Best Practice 3: Place nameservers close to users
- Best Practice 5: Make your DNS disaster-proof
- Best Practice 6: Use Anycast DNS
- Pratique exemplaire 5 : Rendez votre DNS à l’épreuve des catastrophes
- Pratique exemplaire 6 : Utilisez un DNS anycast
- Apprenez-en davantage
Table des matières
- Pratique exemplaire 1 : Utilisez un serveur principal caché
- Pratique exemplaire 2 : Désactiver la récursivité et utiliser des TSIG
- Pratique exemplaire 3 : Rapprochez les serveurs de noms des internautes
- Pratique exemplaire 4 : Rendez votre DNS résilient aux attaques par DDoS
- Pratique exemplaire 5 : Rendez votre DNS à l’épreuve des catastrophes
- Pratique exemplaire 6 : Utilisez un DNS anycast
- Apprenez-en davantage
Pratique exemplaire 1 : Utilisez un serveur principal caché
Un serveur principal caché est un serveur non annoncé qui ne figure dans aucun registre de serveurs de noms. En d’autres mots, il n’est pas connu publiquement sur Internet et ne répond à aucune requête. Sa raison d’être consiste à effectuer des transferts de zone vers un ensemble de serveurs de noms secondaires connus publiquement et répondant aux requêtes.
SÉCURITÉ
Comme l’adresse IP du serveur de noms n’est pas publiée, il est moins vulnérable au piratage.
Pratique exemplaire 2 : Désactiver la récursivité et utiliser des TSIG
Désactivez la récursion sur votre serveur principal caché et vos serveurs de noms externes faisant autorité. Ce faisant, la vulnérabilité aux attaques par déni de service et par empoisonnement de cache est amoindrie, et la performance s’en trouve améliorée.
RECOUREZ À UNE SIGNATURE DE TRANSACTION (TSIG) POUR SÉCURISER LES COMMUNICATIONS ENTRE SERVEURS DE NOMS
Les communications entre le serveur principal caché et les serveurs de noms secondaires devraient être authentifiées de manière cryptographique en recourant aux signatures de transactions (TSig). Les TSig sont de loin plus sûres que le filtrage des adresses IP sources qui sont facilement usurpées au moyen de connexions TCP.
Pratique exemplaire 5 : Rendez votre DNS à l’épreuve des catastrophes
Faites appel à la redondance pour rendre votre DNS à l’épreuve des catastrophes. S’il s’agit de serveurs Unicast, alors il faudra à tout le moins deux serveurs de noms à différents endroits. Pour assurer la redondance, un nuage DNS Anycast constitue une meilleure solution. En cas de défaillance d’un serveur de noms dans un nuage Anycast, celui-ci est automatiquement retiré des tables de routage. C’est ainsi qu’Anycast augmente la redondance et la tolérance aux failles.
En Anycast, le degré de redondance le plus élevé est atteint au moyen de deux nuages distincts. Par comparaison avec la redondance en Unicast, cela équivaut à remplacer deux serveurs de noms Unicast par deux nuages Anycast. Assurez-vous que les nuages font appel à du matériel et à des fournisseurs de transit distincts. Ainsi, votre DNS est protégé de toute défaillance causée par un problème de routage ou une panne du réseau de transit.
Pratique exemplaire 6 : Utilisez un DNS anycast
Anycast est en usage depuis plus de 10 ans afin d’assurer la prestation de services de noms au serveur racine sur Internet, de même qu’à de nombreux domaines de premier niveau, y compris au .CA. Le DNS Anycast est la solution optimale pour la tolérance des failles, la résilience aux attaques par DDoS ainsi qu’afin de rapprocher les serveurs des utilisateurs. Pour la plupart des organisations, il est trop coûteux et complexe d’élaborer et de gérer leur propre infrastructure. Heureusement, il est facile de greffer un service DNS Anycast tel que D-Zone à votre infrastructure DNS.
Apprenez-en davantage
Pour obtenir plus de renseignements sur la façon d’obtenir le service, de trouver un revendeur ou d’en devenir un, veuillez écrire à[email protected] ou visiter acei.ca/d-zone.
