Le DNS Externe Authoritatif représente un point névralgique des architectures DMZ (Zone Démilitarisée), exposé à un environnement public. En effet, il possède l’ensemble des informations de connexion et des services mis à disposition sur Internet (Serveur Web, Serveur de Fichiers, Serveur de Messagerie, etc …). Sa disponibilité est déterminante pour l’accessibilité à ces services et la disponibilité de l’information. Il entre véritablement dans une stratégie de « Network Services » pour les sociétés, faisant partie intégrante d’une véritable politique globale de sécurité.
Pourquoi les clients souhaitent gérer leur propre DNS Externe
Nous avons vu au cours de ces années les FAI (Fournisseur d’Accès à Internet) proposer la gestion des DNS Externe sous formes de services managés externalisés, offrant ainsi des solutions d’administrations, répondant aux problèmes de compétences, de sécurité et de gestion. Aujourd’hui, par l’implémentation d’outils plus performants, incluant une meilleure administration et garantissant une meilleure sécurité, les sociétés procèdent à un phénomène inverse: intégrer le DNS Externe au sein de leur entreprise pour une administration locale.
La gestion du changement, la disponibilité, la sécurité, les performances et la visibilité des activités, sont des critères décisifs qui ont poussé les clients à basculer vers la gestion de leur propre DNS.
La gestion du changement. La lourdeur des processus administratifs demandés par les opérateurs, les erreurs effectuées par le changement de configuration, les confirmations par fax ou les processus de vérifications d’identités, les délais demandés pour l’implémentation de la modification, les demandes spécifiques ou les mauvaises interprétations des demandes, sont autant d’éléments qui incitent les administrateurs réseaux à gérer eux-mêmes leur DNS. Ces opérations deviennent fastidieuses lorsqu’elles sont effectuées par un tiers, lors de changement d’architecture ou lors de migration d’applications au sein de l’entreprise. Phénomène d’autant plus amplifié par l’ouverture des systèmes d’information au monde extérieur qui nécessite des modifications permanentes.
La disponibilité.
La garantie des temps de rétablissement de service doit être un engagement rigoureux par les opérateurs pour répondre aux impératifs définis dans les plans de secours et les plans de continuités d’activités. Les applications liées au service DNS acceptent mal un disfonctionnement du service. Bien qu’il subsiste des serveurs DNS secondaire, la disponibilité du serveur DNS primaire demande une rigueur dans le mode opérationnel de l’infrastructure réseau.
La sécurité.
Moins publicitées et moins intégrées dans les veilles technologiques, les vulnérabilités des DNS persistent comme une réalité. Comme nous le démontre la dernière vulnérabilité en date découverte par Dan Kaminsky (Directeur du Penetration Testing Group chez IO Active) en Juillet 2008 (CERT Advisory VU800113).
Le DDOS (Distributed Denial Of Service), le DNS ID Spoofing, l’Open DNS (DNS récursifs ouverts, répondant à tout le monde et pouvant être servi de relais dans les attaques DOS), et le Cache Poisoning, sont identifiés comme les attaques les plus courantes sur la toile Internet. Couramment une mauvaise configuration des serveurs (En 2007, 31% des serveurs DNS sur Internet autorisent les transferts de zones) engendre des faiblesses majeures. Toutefois, comment contrôler le niveau de sécurité fournis par les hébergeurs Comment être conforme à sa politique de sécurité en externalisant ces services Difficile de répondre à ces questions sans avoir le contrôle et la gestion parfaite de ces serveurs de noms. D’autant plus que la gestion et l’application des patchs sont difficilement contrôlables au sein des FAI.
Les performances.
Couramment les serveurs DNS sont mutualisés au sein des ISP. Les mêmes serveurs sont utilisés à la fois pour l’hébergement des zones, et au cache DNS, ceci à l’encontre des préconisations d’architectures. Or, les requêtes et les temps de latence associés doivent répondre à des critères exigeants pour offrir une qualité de services acceptable. Les performances seront un point de réflexion sérieux en vue de l’unification IP des applications et de l’information.
La visibilité des activités.
Il est quasi impossible d’obtenir des informations de reporting de la part des Opérateurs. Ces informations sont importantes pour avoir la visibilité de ces activités DNS, en termes de: requêtes par seconde, types de requêtes avec adresses IP source, nombre de requêtes par adresses IP source, disponibilité du service, performances du serveur. Autant d’informations nécessaires à la validation du fonctionnement du service et pour être en conformité avec les politiques de corrélations de logs et d’événements, voir de réglementation.
Les freins à l'intégration
Une fois ces réflexions menées par les administrateurs, le frein principal évoqué par ces derniers, pour l’implémentation du DNS Externe, est l’installation du serveur en lui-même. La sécurisation de l’Operating System, la complexité du paramétrage des logiciels comme Microsoft DNS Server ou BIND, peuvent engendrer une réticence au déploiement des logiciels de serveurs DNS. C’est pourquoi nous voyons apparaître une implémentation massive des DNS sous forme d’Appliances offrant de nombreux avantages. La complexité de l’administration et le contrôle des modifications sont également des facteurs temporisateurs à l’implémentation locale des serveurs. La granularité d’administration pour une meilleure définition des rôles des administrateurs et la traçabilité des modifications sont des fonctions clés pour le choix d’une solution.
De plus, les applications telles que la Téléphonie sur IP, la Vidéo sur IP, et les systèmes RFID, réparties au sein des agences nécessitent une architecture DNS distribuée pour répondre à la disponibilité du service. Et créer ainsi une réduction de l’engorgement des réseaux. Cette architecture distribuée demande une rigueur dans l’administration des infrastructures DNS.
Solutions Infoblox
Les solutions Infoblox se présentent sous forme d’Appliance et répondent parfaitement aux besoins des clients. Aucune installation d’Operating System, une interface graphique intuitive, des performances élevées, une souplesse d’administration, une haute disponibilité absolue font de ces produits un maillon fort des infrastructures réseaux. Un système de gestion centralisé unique: le Grid Infoblox, permet de gérer un ensemble d’appliances comme un seul système unifié tout en intégrant des fonctions de délégation d’administration avancées. Habilement imaginé, par une écoute attentive de ses clients, Infoblox a conçut une intelligence d’administration simplifiant la configuration, les migrations et la remise en exploitation des services, en offrant une haute disponibilité des architectures DNS, unique sur le marché. Le management unifié et une application simple et rapide des patchs sont les atouts forts de la solution permettant un déploiement rapide des mises à jour sur l’ensemble des appliances d’un même Grid.
La sécurité.
Pour Infoblox, et ses membres fondateurs, comme Cricket Liu (co-auteur du livre « DNS and BIND »), la sécurité a toujours été une stratégie combinatoire dans le développement des solutions. Aussi, Infoblox a rejoint le groupe « BIND Forum » pour apporter sa valeur ajoutée. L’appliance d’Infoblox répond à de nombreuses problématiques de sécurité: Pas d’accès à l’OS, stack TCP/IP optimisé et renforcé, pas d’autres services ouverts, pas de routage entre les interfaces, protection contre le DDOS pour absorption de requêtes, signature des exécutables au démarrage de l’appliance, accès physique et logique à la machine limités, communication chiffrée (AES 128 bits) et authentifiée entre les Grids.
Infoblox bénéficie d’un reporting en temps réel, facilitant une analyse fine des problèmes rencontrés La gestion des DNS Externes devient un confort d’implémentation pour un lien unifié entre le réseau et les applications.
 Pour aller plus loin sur ce sujet
|
|
