Résolveurs DNS ouverts ? Kesako ?

Quel résolveur DNS choisir ? Méfiez-vous des réponses !

Préambule

Pour naviguer sur Internet, vous utiliserez le nom de domaine (par exemple : cisco.com) et non pas son adresse IPV4, à savoir 72.163.4.185 ou IPV6 2001:420:1101:1::185.
A moins que vous ayez une mémoire hors du commun, et si comme moi qui visite une bonne centaines de sites par jour, celà pourrait devenir lassant. En revanche il y a un mécanisme qui « traduit » l’adresse IP en nom de domaine et vice versa, ce sera un DNS (Domain Name System). Et que vous pouvez intéroger avec des outils tels que dig ou whois et encore nslookup (entre-autres). Vous utilisez un DNS en toute transparence car votre FAI a déjà configuré au moins 2 NS (name server) sur votre box. Ces fameux NS se chargent de faire la « traduction » du serveur demandé en adresse IP (selon l’exemple plus haut).
Mais attention, un DNS menteur (DNS RPZ) peut soit vous envoyer vers une page d’erreur ou une page sponsorisée telle que des Casinos, sexe etc… Le genre des autres sites bloqués (intentionnellement) sont : pornographie, terrorisme, armes, sites malveillants, sites de phising, sites de jeux/paris etc.

Une solution qui veut mieux vous protéger

Il existe des solutions payantes et d’autres open source. La stratégie que nous avons mis en place lors de nos réunions mensuelles est basée sur du DNS RPZ car nous ne souhaitons pas que notre bande passante soit utilisée par nos visiteurs pour télécharger des sites pas très clean. Ou alors infecter toutes les machines en réseau en consultant des sites disons ‘adultes’. Car comme nous renvoyons les demandes vers plus de neuf millions de sites (vous avez bien lu, 9M) vers une page bidon. Car, tout virus ou gremlins ont *besoin* d’Internet, et comme les conditions ne sont pas réunies pour vous nuire, vous êtes ‘protégés.
Les NS utilisent un système de réplication pyramidale, il y a des NS root qui sont en cluster pour parer à un problème matériel ou pouvoir continuer à fonctionner en cas de surcharge, donc du load balancing etc. Ensuite un mécanisme de réplication vers des NS « multi-maîtres » dans d’autres pays, puis des DNS secondaires en régions, villes. Ca peut être différent selon l’implantation. Il y également la notion de SOA qui se proclame Maître. Certaines entreprises répliquent des ‘zones DNS’ en interne et qui fonctionnent comme un cache. En mélangeant DNS cache, proxy, le protocole DNSSEC, TSIG, on peut se protéger de certaines attaques comme empoisonnement de cache DNS. En ne routant pas le port TCP 53 vers Internet, on laisse la résolution de noms de domaines à des serveurs DNS en interne. Les mises à jour se font par rsync ou scp, voire sur Git.
Dans les entreprises à l’internationale, des NS existent pour leur propres réseaux internes. Si un utilisateur a une application qui tourne sur, disons le serveur Hermes, il/elle n’a pas besoin de connaître son adresse IP (interne et NON routable sur Internet). Quand il/elle invoquera Hermes, le NS l’enverra sur le bon serveur Hermes. Souvent ces entreprises ont des NS sous Unix/Linux ainsi qu’un Active Directory qui réunit plusieurs services dont le DNS voire DDNS etc. Le but de ce billet n’est pas de couvrir l’AD, ni d’entrer dans toute la technique/architecture autour de DNS.

Réplication effective

Vous venez d’installer un serveur web ? Vous changez de prestataire ? Vous voulez intégrer un CDN ? Vous intégrez des éléments réseaux tels que des proxies ? Votre adresse IP d’origine va changer et il faut informer les DNS selon le cas, internes ou externes ! Certaines de ces démarches se font par vos divers prestataires. Mais en interne, ce sera votre rôle. Concentrons nous sur les DNS externes. Le serveur le plus courant est un serveur BIND tournant sous Linux (SUSE, openSUSE, Debian, CentOS, RedHat etc.)
C’est bon à savoir qu’une réplication totale peut prendre 24 heures, parfois jusqu’à 48 heures ou plus.
Il y a plusieurs outils tels que https://dnschecker.org/ , whois, dig, nslookup etc. pour suivre/diagnostiquer la réplication. Donc, ce billet était de vous faire découvrir le DNS et notre solution de DNS RPZ. Nous n’avons pas couvert DNS Spoofing et qui serait un chapitre à lui tout seul. Pour mémoire, nous utilisons en NS1 1.1.1.3 et en NS2 1.0.0.3 et qui sont très performants.

Dès que le temps nous permet, nous complèterons avec un petit lexique.

Have a lot of fun!

Tags , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,