L’utilisation de TSIG pour des communications sécurisées entre les serveurs DNS

L’utilisation de TSIG pour des communications sécurisées entre les serveurs DNS

Les signatures de transaction (TSIG) fournissent un moyen sécuritaire de communiquer d’un système DNS primaire à un secondaire. Elles permettent aux organisations de renforcer la sécurité de leur système de façon simple et efficace. Les TSIG ne sont pas obligatoires et plusieurs organisations choisissent de déterminer des autorisations fondées sur les adresses IP entre les DNS. Toutefois, comme le DNS est de plus en plus la cible d’actes malveillants sur Internet, les TSIG font partie des éléments de conception qu’il convient de prendre en compte.

Les TSIG sont utilisées (de manière facultative) par le service DNS Anycast D-Zone pour communiquer avec le DNS primaire d’une organisation. Le présent document fournit aux administrateurs des TI un aperçu d’une bonne configuration d’un DNS externe au moyen de D-Zone, de la façon dont sont utilisées les TSIG, et des renseignements requis relatifs à la configuration. Pour en savoir plus, consultez la documentation sur le soutien technique concernant D-Zone.

Implantation d’un DNS externe résilient

L’implantation d’une infrastructure DNS secondaire pour la résolution externe des noms de domaine améliore sa résilience et sa performance, et permet de se conformer aux pratiques exemplaires de l’industrie. La meilleure façon de créer un réseau secondaire consiste à conserver un serveur DNS primaire anonyme, utilisé pour assurer l’administration et la gestion du DNS. Le DNS secondaire est composé d’un ou de plusieurs serveurs de noms à la disposition pour répondre aux requêtes sur Internet; il peut s’agir d’un serveur unicast ou anycast. La technologie anycast repose sur de nombreux serveurs distribués qui partagent la même adresse IP.

Architecture DNS typique : architecture d’un DNS faisant autorité illustrant le réseau d’entreprise, le DNS primaire et un transfert de zone au DNS secondaire.

La combinaison d’un DNS primaire anonyme et d’une solution DNS Anycast secondaire évoluée confère les avantages suivants :

  1. Facilite la maintenance du DNS primaire sans incidence sur les sites Web publics;

  2. Améliore la sécurité, car le DNS primaire est anonyme;

  3. Augmente la performance grâce à un réseau mondial de serveurs à proximité des clients;

  4. Renforce la résilience, car les noeuds hors d’usage sont retirés de la table de routage;

  5. Améliore la capacité d’absorber les attaques par déni de service (DDoS) visant le DNS au noeud le plus près de la source de l’attaque.