Neoryuki
Grand Maître
DNS : Domain Name System… ou Dernier de Nos Soucis ?
Par Bruno Rasle, l'un des précurseurs en France de la qualité de service sur IP au travers de la société IPerformances (aujourd'hui au sein d'IB Group), dont il fut l'un des fondateurs. Il est aussi à l'origine de plusieurs initiatives destinées à accélérer la prise de conscience des entreprises sur la sécurité des serveurs DNS ou la lutte contre le spam.
Savez-vous que plus de 68 % des serveurs DNS sur Internet sont mal configurés ? Pourtant le rôle du DNS est crucial, comme celui d'un annuaire téléphonique : il associe un nom à une adresse IP. Malgré tout, cette clé de voûte du réseau des réseaux reste trop souvent ignorée.
Un serveur DNS mal configuré, une version non mise à jour, et tout se détraque. Au mieux, l'utilisateur attend plusieurs secondes sa connexion.
Au pire, un site ou un service devient totalement inaccessible. Ou même, par la technique dite du DNS spoofing, des internautes qui tapent pourtant sur leur clavier la bonne adresse URL sont reroutés vers un pseudo-site bancaire ressemblant à s'y méprendre au site réel, avec une invite à saisir leur code secret… On peut noter à ce propos que la version sécurisée, DNS Sec, qui existe depuis plusieurs années, n'a pas réussi à s'imposer. Sans doute à cause de sa complexité.
L'un des cas les plus fréquents de mauvaise configuration est le "Spof" (Single Point of Failure). L'erreur d'architecture consiste à mettre tous ses œufs dans le même panier… et ses DNS sur un seul et même serveur, ou sur le même sous-réseau ! Par ailleurs, on note un manque flagrant de connaissances et d'expérience de la part des exploitants. En fin d'année, l'un des trois DNS du site Web d'une grande administration française vous retournait une adresse IP privée ! Ce qui équivaut tout simplement pour le site à répondre aux abonnés absents. De plus, comme le système du DNS est mal connu, il est rarement suspecté et ce genre d'incident met en général très longtemps à être résolu.
La défaillance des DNS peut aussi perturber le courrier électronique. Début 2003, un grand FAI français avait cru pouvoir protéger ses abonnés du spam en éliminant sans pitié les messages issus de domaines auxquels il aurait été impossible techniquement de répondre (une commande permet cette vérification). Mais du fait du grand nombre de DNS mal configurés, des milliers d'e-mails légitimes ont ainsi été rejetés. Devant la levée de boucliers des internautes mécontents, le FAI a dû faire rapidement marche arrière.
Le DNS est aussi concerné par IPv6, successeur du protocole IPv4, qui offre un adressage sur 128 bit, et donc un plus grand nombre d'adresses, qu'il faudra gérer avec encore plus de rigueur. Même si une période de transition qui fera cohabiter les deux versions est prévue, les infrastructures des réseaux, serveurs DNS compris, devront être modifiées. Pour la France, il est à noter que l'Afnic dispose de serveurs DNSv6 depuis novembre 2001, que ses formations intègrent cette nouvelle donne et que son outil de validation DNS Check a été mis à jour.
Signalons enfin que depuis son intégration dans l'annuaire Active
Directory de Microsoft, le DNS gagne de l'importance en entreprise. La moindre indisponibilité ou erreur de configuration rend impossible l'accès aux ressources au sein d'un intranet. Or, selon une étude de Microsoft, environ 70 % des incidents Active Directory ont pour origine le DNS. Alors, le DNS, mal aimé des ingénieurs réseau ? Il est en tout cas frappant de constater que les contrats définissant les SLA (Service Level Agreement) ne l'intègrent que très rarement dans leur périmètre. Le DNS assure pourtant une fonction vitale au sein de tout réseau IP. Faut-il attendre qu'il fasse défaut pour s'apercevoir de sa présence et de son utilité ?
Source :
Par Bruno Rasle, l'un des précurseurs en France de la qualité de service sur IP au travers de la société IPerformances (aujourd'hui au sein d'IB Group), dont il fut l'un des fondateurs. Il est aussi à l'origine de plusieurs initiatives destinées à accélérer la prise de conscience des entreprises sur la sécurité des serveurs DNS ou la lutte contre le spam.
Savez-vous que plus de 68 % des serveurs DNS sur Internet sont mal configurés ? Pourtant le rôle du DNS est crucial, comme celui d'un annuaire téléphonique : il associe un nom à une adresse IP. Malgré tout, cette clé de voûte du réseau des réseaux reste trop souvent ignorée.
Un serveur DNS mal configuré, une version non mise à jour, et tout se détraque. Au mieux, l'utilisateur attend plusieurs secondes sa connexion.
Au pire, un site ou un service devient totalement inaccessible. Ou même, par la technique dite du DNS spoofing, des internautes qui tapent pourtant sur leur clavier la bonne adresse URL sont reroutés vers un pseudo-site bancaire ressemblant à s'y méprendre au site réel, avec une invite à saisir leur code secret… On peut noter à ce propos que la version sécurisée, DNS Sec, qui existe depuis plusieurs années, n'a pas réussi à s'imposer. Sans doute à cause de sa complexité.
L'un des cas les plus fréquents de mauvaise configuration est le "Spof" (Single Point of Failure). L'erreur d'architecture consiste à mettre tous ses œufs dans le même panier… et ses DNS sur un seul et même serveur, ou sur le même sous-réseau ! Par ailleurs, on note un manque flagrant de connaissances et d'expérience de la part des exploitants. En fin d'année, l'un des trois DNS du site Web d'une grande administration française vous retournait une adresse IP privée ! Ce qui équivaut tout simplement pour le site à répondre aux abonnés absents. De plus, comme le système du DNS est mal connu, il est rarement suspecté et ce genre d'incident met en général très longtemps à être résolu.
La défaillance des DNS peut aussi perturber le courrier électronique. Début 2003, un grand FAI français avait cru pouvoir protéger ses abonnés du spam en éliminant sans pitié les messages issus de domaines auxquels il aurait été impossible techniquement de répondre (une commande permet cette vérification). Mais du fait du grand nombre de DNS mal configurés, des milliers d'e-mails légitimes ont ainsi été rejetés. Devant la levée de boucliers des internautes mécontents, le FAI a dû faire rapidement marche arrière.
Le DNS est aussi concerné par IPv6, successeur du protocole IPv4, qui offre un adressage sur 128 bit, et donc un plus grand nombre d'adresses, qu'il faudra gérer avec encore plus de rigueur. Même si une période de transition qui fera cohabiter les deux versions est prévue, les infrastructures des réseaux, serveurs DNS compris, devront être modifiées. Pour la France, il est à noter que l'Afnic dispose de serveurs DNSv6 depuis novembre 2001, que ses formations intègrent cette nouvelle donne et que son outil de validation DNS Check a été mis à jour.
Signalons enfin que depuis son intégration dans l'annuaire Active
Directory de Microsoft, le DNS gagne de l'importance en entreprise. La moindre indisponibilité ou erreur de configuration rend impossible l'accès aux ressources au sein d'un intranet. Or, selon une étude de Microsoft, environ 70 % des incidents Active Directory ont pour origine le DNS. Alors, le DNS, mal aimé des ingénieurs réseau ? Il est en tout cas frappant de constater que les contrats définissant les SLA (Service Level Agreement) ne l'intègrent que très rarement dans leur périmètre. Le DNS assure pourtant une fonction vitale au sein de tout réseau IP. Faut-il attendre qu'il fasse défaut pour s'apercevoir de sa présence et de son utilité ?
Source :
Vous devez être connecté pour voir les liens.
