Qu'est-ce que la redirection DNS ?

La redirection DNS contribue à accélérer votre réseau et vous devriez la mettre en œuvre si vos utilisateurs demandent votre nom de domaine mais que leur serveur DNS ne trouve pas l'adresse IP correspondante dans le cache. Ce processus est généralement utilisé par les entreprises disposant d'espaces de noms étendus.

Continuez à lire le blog pour savoir ce qu'est la redirection DNS et comment elle est utilisée pour les adresses externes et internes. 

Qu'est-ce que la redirection DNS ?

Le transfert DNS est un processus par lequel un autre serveur désigné (serveur d'indices racine) traite les adresses non résolvables ou les requêtes DNS parce que le serveur initialement contacté n'a pas la réponse. En général, tous les serveurs destinés à convertir les noms de domaine en adresses IP se voient attribuer un forwarder spécifique pour transmettre toutes les requêtes qu'ils ne peuvent pas résoudre. 

Cette technique est utilisée par les entreprises ayant de très grands espaces de noms ou par les entreprises qui collaborent car elles peuvent résoudre les espaces de noms des autres. 

Comment fonctionne la redirection DNS ?

Maintenant, voyons la procédure de fonctionnement de la redirection DNS.

Lorsque les informations DNS internes sont privées, elles peuvent être transmises en ligne si le serveur d'indices racine est exposé au public car aucun transitaire DNS n'est utilisé dans le réseau interne. Vous pouvez également l'utiliser si les charges du FAI de votre réseau sont lourdes ou si la connexion n'est pas rapide en raison de l'absence d'un transitaire DNS interne. En effet, un transitaire DNS interne augmente le trafic externe, ce qui complique sa gestion. 

L'utilisation d'un redirecteur DNS permet de créer un cache interne pour les données DNS externes afin de réduire le trafic DNS externe. 

Comment configurer les redirecteurs DNS sur Microsoft Windows Server 2008 R2 et 2016 ?

Avant de commencer la procédure de configuration de la redirection DNS, notez l'adresse IP des serveurs DNS récursifs SIA et assurez-vous qu'un fichier racine est configuré. Vous pouvez utiliser la recherche d'adresse IP pour trouver l'adresse IP de votre domaine. Le fichier d'indices racine répertorie les serveurs DNS racine que le domaine Active Directory contacte pour les requêtes de récursivité. Cette opération peut être effectuée à l'aide de l'interface utilisateur graphique de Windows Server ou de la ligne de commande.

Interface utilisateur graphique

Suivez ces étapes pour configurer les forwarders DNS sous Windows à l'aide de l'interface utilisateur graphique.

1. Cliquez sur Démarrer > Outils d'administration > DNS.
2. Cliquez avec le bouton droit de la souris sur le serveur DNS que vous souhaitez configurer en tant que transitaire.
3. Allez dans le menu Action et sélectionnez Propriétés.
4. Sélectionnez l'onglet Transporteurs.
5. Cliquez sur Modifier.
6. Dans la boîte de dialogue Edit Forwarders, saisissez l'adresse IP primaire du serveur DNS récursif du SIA et appuyez sur Entrée.
7. Ajoutez l'adresse IP secondaire du serveur DNS récursif du SIA et appuyez sur Entrée.
8. Supprimez les autres serveurs qui sont répertoriés en tant que transitaires. Ne gardez que les serveurs DNS récursifs primaires et secondaires dans la liste des forwarders.
9. Ajoutez une valeur dans la section Number of seconds before the forward queries times out (Nombre de secondes avant l'expiration des requêtes de transfert) pour attribuer le nombre de secondes pendant lesquelles un serveur DNS attend une réponse.
10. Cliquez sur OK.
11. Activez l'option Use Root Hints if no forwarders are available. Cette option garantit que les serveurs DNS d'un fichier d'indices de racine résolvent le nom localement.
12. Dans la boîte de dialogue des propriétés, cliquez sur OK.

Interface de ligne de commande

Suivez ces étapes pour configurer le transfert DNS sous Windows à l'aide de l'interface de ligne de commande. 

1. Ouvrez une invite de commande et exécutez-la en tant qu'administrateur. 
2. Type dnscmd <ServerName> /ResetForwarders <PrimaryIPaddress …> [/TimeOut <Time>] /noslave and press Enter.

 Où : 

• <ServerName> is the DNS server’s domain name or IP address.
• <PrimaryIPaddress> are IP addresses of the DNS servers where you forward queries. Separate each IP address with a space.
• <Time> is the time in seconds for time-out settings.

Transfert conditionnel

Le transfert conditionnel DNS est effectué à l'aide de serveurs DNS qui transfèrent les requêtes pour certains noms de domaine au lieu de transférer toutes les requêtes. Ils envoient les requêtes à des transitaires spécifiques en fonction des noms d'hôtes mentionnés dans la requête. 

Le transfert conditionnel DNS améliore le transfert conventionnel en mettant en place une condition basée sur le nom dans le processus de transfert.

La redirection conditionnelle DNS est bénéfique car elle permet d'établir une connexion Internet plus sûre, plus rapide et plus fiable. Dans ce cas, le serveur DNS envoie des requêtes récursives au transitaire.

Redirection DNS pour les adresses externes

La redirection DNS est importante car s'il n'y a pas de serveur DNS désigné comme redirecteur pour toutes les requêtes externes, tous les serveurs DNS internes doivent traiter les demandes. Cette situation n'est pas souhaitable pour les raisons suivantes

1. Les données du DNS interne peuvent être divulguées sans qu'il soit possible de distinguer le DNS externe du DNS interne. Il s'agit d'une vulnérabilité potentielle inquiétante en matière de sécurité et de confidentialité.
2. La charge de trafic augmente si vous n'avez pas impliqué la redirection DNS. Lorsque vous désignez un serveur DNS en tant que transitaire, il gère toutes les résolutions DNS externes et crée un cache d'adresses externes afin de minimiser le nombre de requêtes récursives, réduisant ainsi le trafic. 

Si votre entreprise est petite et dispose d'une bande passante limitée, le recours à la redirection DNS peut rendre le réseau plus efficace et plus rapide.

Redirection DNS pour les adresses internes

Les experts recommandent qu'un sous-ensemble d'adresses internes soit géré par la redirection DNS. De même, pour les intranets étendus, comprenant plusieurs domaines et sous-domaines, il est pratique de faire contrôler les requêtes DNS pour un sous-ensemble de ces domaines par un serveur dédié. Ces demandes sont généralement transmises selon le principe de la redirection DNS conditionnelle.

Meilleures pratiques pour le transfert de DNS

Le DNS est crucial dans le monde d'aujourd'hui, axé sur l'Internet. Si vous n'avez qu'un seul serveur DNS, il doit être configuré comme un transitaire. Si vous en avez plus d'un, vous pouvez en configurer un, quelques-uns ou tous les serveurs en tant que transitaires. En outre, vous pouvez suivre les pratiques énumérées ci-dessous pour vous assurer que les transitaires DNS fonctionnent de manière optimale. 

Désactiver la récursion

La récursion permet aux serveurs DNS d'interroger d'autres serveurs pour le compte du client. Cela facilite le processus de transfert des DNS, mais expose également votre réseau à des risques de sécurité. Donc, si vous la désactivez, la possibilité de se faire attaquer diminue. Cela réduira également la charge de trafic, et votre réseau deviendra plus rapide. 

Activer la validation DNSSEC

DNSSEC ou Domain name System security Extensions sont des protocoles de sécurité qui protègent contre l'usurpation du DNS et attaques par empoisonnement du cache. S'il est activé, les transitaires DNS vérifient les signatures numériques. La réponse est rejetée si la signature ne correspond pas, et un message d'erreur est envoyé au client.

Toutefois, vous ne devez l'utiliser que par le biais d'une connexion sécurisée. Sinon, les pirates peuvent intercepter et modifier les données échangées.

Surveiller les serveurs DNS

La surveillance régulière des serveurs DNS vous avertit des problèmes techniques potentiels, ce qui vous permet de prendre des mesures rapides. Vous réduisez ainsi les temps d'arrêt qui, autrement, pourraient lourdement peser sur votre activité. 

Vous devriez également vérifier les journaux des transitaires DNS afin de repérer les activités suspectes ou les comportements irresponsables des utilisateurs, afin de garder une longueur d'avance sur les risques de sécurité potentiels. 

Créer et tester une configuration alternative

Une configuration alternative vous permettra de passer à un autre transitaire en cas de panne. Cela permettra de réduire les temps d'arrêt et de garder vos ressources accessibles. Ne négligez pas de tester la configuration de rechange avant de mettre en place une nouvelle configuration. 

Sauvegarder régulièrement les données du serveur DNS

Des acteurs malveillants attaquent votre serveur et tentent de modifier ou de supprimer des données. La sauvegarde des données du serveur DNS permet de les restaurer rapidement sans perturber le flux de trafic sur votre réseau. Sans sauvegardes, il faudra des heures, voire des jours, pour tout restaurer, ce qui aura un impact important sur votre activité.

• À propos de
• Derniers messages

Ahona Rudra

Ahona est la responsable du marketing chez PowerDMARC, avec plus de 5 ans d'expérience dans l'écriture sur des sujets de cybersécurité, spécialisée dans la sécurité des domaines et des courriels. Ahona est titulaire d'un diplôme de troisième cycle en journalisme et communication, solidifiant sa carrière dans le secteur de la sécurité depuis 2019.

Derniers messages de Ahona Rudra (voir tous)

• La blockchain peut-elle contribuer à améliorer la sécurité des courriels ? - 9 mai 2024
• Proxy pour centres de données : Dévoiler le cheval de bataille du monde des proxys - 7 mai 2024
• Kimsuky exploite les politiques DMARC "None" dans de récentes attaques de phishing - 6 mai 2024