SÉCURITÉ DNS : PRÉVENEZ LES RISQUES DE COUPURE EN DOUBLANT VOTRE RÉSEAU

By April 27, 2022Cybersécurité

 

Le réseau ne répond plus, aucune connexion n’est possible, votre site web est totalement inaccessible, tout trafic est interrompu. Quelle qu’en soit la raison, rupture de câble sous-marin, défaillance technique, sabotage ou cyber-attaque, c’est la catastrophe ! Il est cependant possible de minimiser ce risque en doublant le réseau DNS de votre entreprise.

 

Lorsqu’un utilisateur visite votre site, le service DNS contrôle sur quel serveur il se connecte. Le Domain Name System (DNS) transforme votre nom de domaine en adresse IP. Chaque adresse IP (Internet Protocol) étant unique, chaque nom de domaine est lui aussi unique et la correspondance de l’un à l’autre peut s’établir dans les deux sens grâce à la « résolution DNS ». Celle-ci s’effectue à l’intérieur d’un serveur dédié à cette fonction, dit serveur DNS. Le DNS est donc le premier point de contact entre les utilisateurs finaux et les services en ligne. Si le contact ne peut s’établir, il y a rupture de trafic !

 

L’IMPORTANCE DE LA RÉSILIENCE DU DNS

 

Rappelons qu’aujourd’hui encore, certains hébergeurs n’offrent pas le niveau de sécurité que tout client professionnel est en droit d’attendre. Il est probable qu’ils ne respectent pas suffisamment les recommandations de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) en termes de résilience du DNS. L’ANSSI préconise en effet :

  • d’utiliser au moins deux serveurs faisant autorité, « organisés de manière à ne pas être tous dépendants des mêmes installations, afin de limiter l’impact d’incidents techniques ou liés à des aléas naturels (coupures électriques, coupures de fibres optiques, inondations…) » ; il s’agit là du “service minimum”. La norme actuelle est plutôt de 4 serveurs ;
  • de répartir les serveurs de noms dans plusieurs préfixes réseau, à savoir plusieurs blocs d’adresses IP ou d’utiliser la technique de routage anycast ;
  • de répartir géographiquement les serveurs, « par exemple en les plaçant dans différents centres de données, afin de mieux résister aux aléas naturels et aux incidents techniques » ;
  • de prendre en charge TCP (Transmission Control Protocol) comme protocole de transport du DNS : « configurer les infrastructures dans leur ensemble, notamment les serveurs, les répartiteurs de charge et les équipements de filtrage, pour prendre en charge TCP, en complément d’UDP (User Datagram Protocol) » ;
  • de prendre en charge l’extension DNS EDNSO : celle-ci « permet notamment d’accroître la taille maximale des réponses DNS » et, également, de prendre en charge le protocole DNSSEC (Domain Name System Security Extensions). Celui-ci vérifie les enregistrements DNS associés à un nom de domaine via un système de signature digitale afin de garantir que les internautes ne sont pas dirigés vers un site trompeur (voir notre acticle : DNSSEC un rempart contre la fraude).

Si vous utilisez les serveurs EBRAND par exemple, vous bénéficiez de fait du service Anycast DNS. Anycast est une technique d’adressage et de routage permettant de rediriger les données vers le serveur informatique le « plus proche » et/ou le « plus efficace ». Cette architecture dispose ainsi de 30 PoPs (points de présence) répartis sur 5 continents, ce qui atténue les attaques DDoS (déni de service) et permet de router le trafic vers le serveur le plus efficace en cas de défaillance. Ainsi, les réponses DNS sont plus rapides à travers le monde et une panne géographique localisée n’occasionnera pas, théoriquement, d’interruption de service même si un léger temps de latence peut être constaté.

 

POURQUOI DOUBLER LES RÉSEAUX DNS ?

 

Dans un contexte géopolitique tendu, mieux vaut prévoir le pire et rehausser le niveau de sécurité du DNS. Ainsi, afin de parer aux éventuelles défaillances graves (rupture de câble sous-marin par exemple), nous conseillons de doubler le réseau DNS initial en faisant appel à un second fournisseur de réseau DNS. Ceci permet d’augmenter la fiabilité de la résolution DNS (amélioration de la redondance) en multipliant le nombre de points de présence (PoPs) sur des réseaux distincts.

 

UTILISATEURS EBRAND : COMMENT METTRE EN PLACE CETTE OPTION DE SÉCURITÉ ?

 

Cette option de sécurité s’appelle Anycast DNS Plus. Elle offre une performance plus rapide, une meilleure disponibilité du site Web et rehausse le niveau de sécurité :

  • Les requêtes des utilisateurs sont dirigées vers le serveur DNS le plus proche via le réseau mondial en s’appuyant sur deux fournisseurs distincts ;
  • Vos enregistrements DNS sont synchronisés automatiquement sur le réseau DNS. Aucun point de faille, pas de possibilité de défaillance ;
  • L’infrastructure est hébergée au sein de data centers fiables et redondants dispersés aux quatre coins du monde. Ceci réduit considérablement les possibilités d’attaques par déni de service (DDoS).

 

EBRAND Anycast DNS

EBRAND Anycast DNS Plus

Fournisseurs DNS

1

2

Type de réseau

Anycast

Anycast

Nombre de PoPs

30

50

Nombre de serveurs

4

4

utilisant des noms de domaine distincts afin de garantir une plus grande résilience en cas de défaillance d’une extension (TLD)

DNSSEC auto-sign

Redirection d’URL & transfert d’email

Versioning (back-up)

Compatible IPv4 & IPv6

SLA

99.999 %

 

Utilisateurs EBRAND : vous permet d’activer Anycast DNS Plus en quelques clics

1. Connectez-vous à l’interface d’administration des noms de domaine EBRAND1800 à l‘aide de vos identifiant et mot de passe ;
2. Dans le menu situé en haut de l’écran, cliquez sur « Produits » puis sur « Premium DNS » dans le bandeau rouge ;
3. Ajoutez au panier l’option « Anycast DNS Plus » et sélectionnez le nom de domaine qui en bénéficiera ;
4. Cliquez sur le bouton « Récapitulatif et paiement » et validez votre commande.

Pas encore utilisateur EBRAND ?
Demandez la création de votre compte en contactant nos équipes, en cliquant ici.

CONSEIL D’EXPERT

 

Nous préconisons la mise en place de cette option de sécurité pour les domaines les plus critiques de votre entreprise :

  • noms de vos sites web principaux,
  • noms utilisés pour vos emails,
  • noms utilisés pour des applications connectées.

Si vous souhaitez davantage d’informations sur cette option, n’hésitez pas à contacter votre conseiller EBRAND.

 

banner - ANYCAST DNS + EBRAND

 

Par Raphaël TESSIER et Sophie AUDOUSSET pour EBRAND France.

EBRAND

Author EBRAND

More posts by EBRAND

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.