pratiques exemplaires pour l`amélioration de la résilience et

PRATIQUES EXEMPLAIRES POUR L’AMÉLIORATION DE
LA RÉSILIENCE ET DE LA PERFORMANCE DU DNS EXTERNE
PROTÉGEZ VOTRE ENTREPRISE
Pratiques exemplaires pour l’amélioration de la résilience et la performance du DNS externe
12-07-2016
PRATIQUES EXEMPLAIRES POUR L’AMÉLIORATION
DE LA RÉSILIENCE ET DE LA PERFORMANCE DU
DNS EXTERNE
Votre DNS externe est une ressource essentielle à votre entreprise. Sans lui, personne
ne peut se rendre sur votre site Web ni accéder à votre adresse électronique ou à vos
applications Web. De plus, une performance médiocre de votre DNS signifie que l’accès
à votre site est lent, ce qui vous fait perdre des clients. Selon l’envergure de votre
commerce électronique, les défaillances ou les temps d’attente inacceptables peuvent
provoquer le mécontentement de quelques utilisateurs, mais également engendrer des
coûts pouvant atteindre jusqu’à des millions de dollars l’heure. De récentes attaques très
médiatisées qui exploitent le DNS pour rendre inaccessibles les sites Web d’entreprises
ont sensibilisé les gens aux interruptions de service du DNS. Mais les attaques par DDoS
ne sont pas la seule menace qui plane. Les serveurs de noms fonctionnent dans un
environnement hostile et peuvent être rendus inaccessibles de diverses façons. En
effet, des défaillances du serveur ou du réseau, des catastrophes naturelles, des
pannes de courant et des infractions à la sécurité peuvent survenir. Vous trouverez cidessous quelques pratiques exemplaires visant à aider les organisations à augmenter la
performance et la résilience de leur DNS externe ainsi que sa tolérance aux pannes.
Pratique exemplaire 1
UTILISEZ UN SERVEURPRINCIPAL CACHÉ
Un serveur principal caché est un serveur non annoncé qui ne figure dans aucun registre
de serveurs de noms. En d’autres mots, il n’est pas connu publiquement sur Internet
et ne répond à aucune requête. Sa raison d’être consiste à effectuer des transferts
de zone vers un ensemble de serveurs de noms secondaires connus publiquement et
répondant aux requêtes.
Les avantages du serveur principal caché sont les suivants :
!
TOLÉRANCE AUX FAILLES
Il peut subir une faille sans avoir
d’incidence sur la résolution de
votre domaine.
2
PROTÉGEZ VOTRE ENTREPRISE
SÉCURITÉ
SIMPLICITÉ D’ADMINISTRATION
Comme l’adresse IP du serveur Les recharges et les redémarrages du
de noms n’est pas publiée, il serveur principal caché n’ont aucune
est moins vulnérable
incidence sur la résolution de
au piratage.
votre domaine.
Pratiques exemplaires pour l’amélioration de la résilience et la performance du DNS externe
Pratique exemplaire 2
DÉSACTIVEZ LA RÉCURSION SUR VOS SERVEURS DE NOMS EXTERNES
RÉSEAU
D‘ENTREPRISE
administrateur
PUBLIC INTERNET
DNS primaire
DNS externe
DNS interne
Zone File
DNS secondaire
Désactivez la récursion
sur votre serveur principal
caché et vos serveurs de
noms externes faisant
autorité. Ce faisant, la
vulnérabilité aux attaques
par déni de service et par
empoisonnement de cache
est amoindrie, et la
performance s’en trouve
améliorée.
Pratique exemplaire 3
RECOUREZ À UNE SIGNATURE DE TRANSACTION (TSIG) POUR
SÉCURISER LES COMMUNICATIONS ENTRE SERVEURS DE NOMS
Les communications entre le serveur principal caché et les serveurs de noms secondaires
devraient être authentifiées de manière cryptographique en recourant aux signatures
de transactions (TSig). Les TSig sont de loin plus sûres que le filtrage des adresses IP
sources qui sont facilement usurpées au moyen de connexions TCP.
Pratique exemplaire 4
RAPPROCHEZ LES SERVEURS DE NOMS DES INTERNAUTES
La latence des consultations DNS est importante pour votre site Web. En se prolongeant,
elle risque de se traduire par la perte de clients et de recettes. Vos serveurs de noms
faisant autorité répondent aux requêtes provenant d’autres serveurs de noms sur
Internet. Afin d’offrir une expérience utilisateur agréable et un accès rapide à votre site
Web, rapprochez vos serveurs de noms de ceux qui les interrogent ou faites
en sorte qu’ils leur soient plus rapidement accessibles. Dans le meilleur des mondes, les
serveurs de noms devraient être situés dans des lieux propices à un bon accès à Internet,
par exemple aux points d’échange Internet (IXP).
La solution la plus chaudement recommandée est sans nul doute d’impartir un service
DNS secondaire Anycast. Grâce à Anycast, des serveurs de noms géographiquement
dispersés partagent une même adresse IP, et les requêtes sont acheminées au plus
rapproché de ceux-ci. Au moment de choisir un service DNS secondaire Anycast, veillez à
ce que les serveurs de noms soient situés dans les IXP stratégiquement situés sur le plan
géographique par rapport à votre clientèle. IXPs that map geographically to
your customers.
3
PROTÉGEZ VOTRE ENTREPRISE
Pratiques exemplaires pour l’amélioration de la résilience et la performance du DNS externe
Pratique exemplaire 5
RENDEZ VOTRE DNS RÉSILIENT AUX ATTAQUES PAR DDOS
Les attaques par DDoS qui exploitent le DNS comme vecteur augmentent toujours.
Rehaussez la résilience aux attaques par DDoS grâce à la capacité supérieure de
résolution et à la bande passante du nuage D-Zone Anycast DNS. Aux yeux de tous, le
nuage Anycast apparaît en tant qu’adresse IP unique. En réalité, il s’agit d’un réseau
de serveurs de noms géographiquement dispersés. Un nuage Anycast est de loin plus
résilient aux attaques par DDoS que le sont les serveurs Unicast parce qu’il recourt à une
fonction de géolocalisation pour déterminer le serveur qui doit répondre à une requête
en particulier et parce qu’il dispose de la capacité et de la bande passante combinées
de tous les serveurs. Grâce à Anycast, une attaque n’a d’incidence que sur le serveur de
noms qui se trouve le plus près de la ou des sources de l’attaque.
Unicast
Anycast
La plupart des attaques
par DDoS proviennent de
l’étranger. Au moment de
sélectionner un service DNS
Anycast, il faut s’assurer
de la présence de noeuds
internationaux qui peuvent
bloquer les attaques de
l’étranger. Un noeud
international dirigera vers
un gouffre le trafic d’une
attaque de l’étranger tout en
protégeant les serveurs de
noms locaux.
Pratique exemplaire 6
RENDEZ VOTRE DNS À L’ÉPREUVE DES CATASTROPHES
Zaites appel à la redondance pour rendre votre DNS à l’épreuve des catastrophes.
S’il s’agit de serveurs Unicast, alors il faudra à tout le moins deux serveurs de noms à
différents endroits. Pour assurer la redondance, un nuage DNS Anycast constitue une
meilleure solution. En cas de défaillance d’un serveur de noms dans un nuage Anycast,
celui-ci est automatiquement retiré des tables de routage. C’est ainsi qu’Anycast
augmente la redondance et la tolérance aux failles.
4
PROTÉGEZ VOTRE ENTREPRISE
Pratiques exemplaires pour l’amélioration de la résilience et la performance du DNS externe
Anycast augmente la redonance
et la tolérance aux failles
En Anycast, le degré de redondance le
plus élevé est atteint au moyen de deux
nuages distincts. Par comparaison avec la
redondance en Unicast, cela équivaut à
remplacer deux serveurs de noms Unicast
par deux nuages Anycast. Assurez-vous que
les nuages font appel à du matériel et à des
fournisseurs de transit distincts. Ainsi, votre
DNS est protégé de toute défaillance causée
par un problème de routage ou une panne
du réseau de transit.
Pratique exemplaire 7
UTILISEZ UN DNS ANYCAST
Anycast est en usage depuis plus de 10 ans afin d’assurer la prestation de services de
noms au serveur racine sur Internet, de même qu’à de nombreux domaines de premier
niveau, y compris au .CA. Le DNS Anycast est la solution optimale pour la tolérance des
failles, la résilience aux attaques par DDoS ainsi qu’afin de rapprocher les serveurs des
utilisateurs. Pour la plupart des organisations, il est trop coûteux et complexe d’élaborer
et de gérer leur propre infrastructure. Heureusement, il est facile de greffer un service
DNS Anycast tel que D-Zone à votre infrastructure DNS.
5
PROTÉGEZ VOTRE ENTREPRISE
Pratiques exemplaires pour l’amélioration de la résilience et la performance du DNS externe
SERVICE DNS ANYCAST D-ZONE – POUR CONTRIBUER À LA
PROTECTION DE VOTRE ENTREPRISE
Le Service DNS Anycast D-Zone consiste en un réseau DNS Anycast secondaire conçu
pour les organisations canadiennes ou celles qui exercent des activités sur le
marché canadien.
Principaux avantages
üü Une disponibilité à 100 % et un
contrat de niveau de service (CNS).
üü La capacité excédentaire de 100 fois
de l’équipement à la fine pointe et la
redondance à chaque noeud.
üü Des noeuds DNS globaux au
Canada et aux plaques tournantes
internationales d’Internet.
üü Des noeuds DNS locaux
géographiquement rapprochés du
trafic régional et le protégeant des
activités malveillantes contre le DNS.
üü Une forte présence canadienne qui
réduit la latence pour les visiteurs
canadiens.
üü Deux nuages pour la redondance de
basculement et la protection contre
les attaques par DDoS du DNS visant
les noeuds locaux.
üü La facilité de l’ajouter à une
infrastructure existante pour améliorer
sa résilience et sa performance
globales.
üü La prise en charge des DNSSEC.
üü La prise en charge de l’IPv6.
APPRENEZ-EN DAVANTAGE
Pour obtenir plus de renseignements sur la façon d’obtenir le service, de trouver un
revendeur ou d’en devenir un, veuillez écrire à [email protected] ou visiter acei.ca/d-zone.
À PROPOS DE L’ACEI
L’Autorité canadienne pour les enregistrements Internet (ACEI) gère le registre des noms
de domaine .CA du Canada à titre de service disponible à 100 % pour la population et les
organisations canadiennes. En plus d’assumer l’intendance du .CA, l’ACEI élabore et met
en oeuvre des politiques qui appuient les internautes canadiens ainsi que le registre .CA
sur le plan international.
6
PROTÉGEZ VOTRE ENTREPRISE
Pratiques exemplaires pour l’amélioration de la résilience et la performance du DNS externe