PRATIQUES EXEMPLAIRES POUR L AMÉLIORATION DE LA RÉSILIENCE ET DE LA PERFORMANCE DU DNS EXTERNE

Documents pareils
DNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet

(Third-Man Attack) PASCAL BONHEUR PASCAL 4/07/2001. Introduction. 1 Domain Name Server. 2 Commandes DNS. 3 Hacking des serveurs DNS

Un concept multi-centre de données traditionnel basé sur le DNS

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS

Les Content Delivery Network (CDN)

Gérer son DNS. Matthieu Herrb. tetaneutral.net. Atelier Tetaneutral.net, 10 février

Multicast & IGMP Snooping

Installation Windows 2000 Server

TCP/IP, NAT/PAT et Firewall

Mesures DNS à l ère du Big Data : outils et défis. JCSA, 9 juillet 2015 Vincent Levigneron, Afnic

Adresse directe fichier : Adresse url spécifique sur laquelle le lien hypertext du Client doit être

Groupe Eyrolles, 2006, ISBN : X

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

Réseaux IUP2 / 2005 IPv6

RECTORATC / AC

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

La continuité de service

La payement par Carte Bancaire sur Internet

Réseau : Interconnexion de réseaux, routage et application de règles de filtrage.

Le service IPv4 multicast pour les sites RAP

Fonctions Réseau et Télécom. Haute Disponibilité

Ce Livre Blanc vise ainsi à vous expliquer concrètement tous les bénéfices d un standard téléphonique pour votre entreprise et vos collaborateurs :

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

Trusteer Pour la prévention de la fraude bancaire en ligne

L annuaire et le Service DNS

Daniel POULIN DRT 3808 (version 2010) Faculté de droit, Université de Montréal

Introduction aux Technologies de l Internet

Sécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr

Présentation du système DNS

Améliorer les performances du site par l'utilisation de techniques de Web Mining

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Artica Proxy Appliance Haute disponibilite

Rôle des FAI et des Datacenters dans les dispositifs de cyber-sécurité Ou comment tenter de rendre l Internet plus sûr.

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

LE DOMAIN NAME INDUSTRY BRIEF VOLUME 8 - NUMERO 2 - MAI 2011

COTISATIONS VSNET 2015

1 LE L S S ERV R EURS Si 5

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

Menaces et sécurité préventive

Internet haute vitesse - Guide de l utilisateur. Bienvenue. haute vitesse

Marketing. en 12 étapes clés. Une introduction au Marketing Automation Comment délivrer le bon contenu au bon moment à son interlocuteur

Présentation du modèle OSI(Open Systems Interconnection)

POLITIQUE D UTILISATION SERVICES D ACCÈS INTERNET

Voix et Téléphonie sur IP : Architectures et plateformes

Solutions réseaux pour. la vidéosurveillance ip

Gamme d appliances de sécurité gérées dans le cloud

EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall

Configuration des routes statiques, routes flottantes et leur distribution.

Sécurité. Tendance technologique

TABLE RONDE DES MINISTRES AFRICAINS CHARGÉS DES TIC EN PRÉLUDE À LA 42 ÈME RÉUNION DE L ICANN. Hôtel Méridien Dakar, SENEGAL.

Gérer la répartition des charges avec le load balancer en GLSB

Colt VoIP Access Colt Technology Services Group Limited. Tous droits réservés.

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

Sécurité et Firewall

7.1.2 Normes des réseaux locaux sans fil

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Architecture Principes et recommandations

Groupe Eyrolles, 2004, ISBN :

Votre Réseau est-il prêt?

Revue d article : Dynamic Replica Placement for Scalable Content Delivery

CONFIGURATION DE BASE

RISK INDEX 2014 SUISSE

Cisco Certified Network Associate

Critères d évaluation pour les pare-feu nouvelle génération

Domain Name System. F. Nolot

Chapitre 11 : Le Multicast sur IP

E4R : ÉTUDE DE CAS. Durée : 5 heures Coefficient : 5 CAS TRACE ÉLÉMENTS DE CORRECTION

VoIP ( H323,SIP) et sécurits. curité. Kamel HJAIEJ SUP COM

Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria

Service Level Agreement (SLA)

Approche Hybride de la Diffusion OTT. Julien Privé / Senior Solutions Engineer

Configuration du driver SIP dans ALERT. V2

Les réseaux du future

VoIP : Introduction à la sécurité. VoIP : Introduction à la sécurité

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Catalogue «Intégration de solutions»

Solutions de sécurité des données Websense. Sécurité des données

Prérequis. Résolution des problèmes WMI. Date 03/30/2010 Version 1.0 Référence 001 Auteur Antoine CRUE


Proxy et reverse proxy. Serveurs mandataires et relais inverses

Chapitre 6 -TP : Support Réseau des Accès Utilisateurs

Groupe de travail Gestion des identités Les usages et les services ATELIER 2

Optimisation WAN de classe Centre de Données

Il est recommandé de fermer les serveurs DNS récursifs ouverts

Réalisation d un portail captif d accès authentifié à Internet

IDEC. Windows Server. Installation, configuration, gestion et dépannage

Livre Blanc Trois façons simples d'optimiser votre gestion de la bande passante pour la vidéosurveillance

Administration réseau Résolution de noms et attribution d adresses IP

Cours 6. Sécurisation d un SGBD. DBA - M1ASR - Université Evry 1

Comprendre et anticiper les attaques DDoS

2009/2010 DESCRIPTIF DES UNITES D ENSEIGNEMENT OPTIONNELLES SPECIALITE RIM

Citrix ShareFile Enterprise : présentation technique

Extrait de Plan de Continuation d'activité Octopuce

Windows Internet Name Service (WINS)

Présentation de l'iana Notes de présentation

CONFIGURATION DE BASE

MARKETING MIX. Politique Produit. Les composantes d un produit POLITIQUE PRODUIT

Transcription:

PRATIQUES EXEMPLAIRES POUR L AMÉLIORATION DE LA RÉSILIENCE ET DE LA PERFORMANCE DU DNS EXTERNE 12-07-2016

PRATIQUES EXEMPLAIRES POUR L AMÉLIORATION DE LA RÉSILIENCE ET DE LA PERFORMANCE DU DNS EXTERNE Votre DNS externe est une ressource essentielle à votre entreprise. Sans lui, personne ne peut se rendre sur votre site Web ni accéder à votre adresse électronique ou à vos applications Web. De plus, une performance médiocre de votre DNS signifie que l accès à votre site est lent, ce qui vous fait perdre des clients. Selon l envergure de votre commerce électronique, les défaillances ou les temps d attente inacceptables peuvent provoquer le mécontentement de quelques utilisateurs, mais également engendrer des coûts pouvant atteindre jusqu à des millions de dollars l heure. De récentes attaques très médiatisées qui exploitent le DNS pour rendre inaccessibles les sites Web d entreprises ont sensibilisé les gens aux interruptions de service du DNS. Mais les attaques par DDoS ne sont pas la seule menace qui plane. Les serveurs de noms fonctionnent dans un environnement hostile et peuvent être rendus inaccessibles de diverses façons. En effet, des défaillances du serveur ou du réseau, des catastrophes naturelles, des pannes de courant et des infractions à la sécurité peuvent survenir. Vous trouverez cidessous quelques pratiques exemplaires visant à aider les organisations à augmenter la performance et la résilience de leur DNS externe ainsi que sa tolérance aux pannes. Pratique exemplaire 1 UTILISEZ UN SERVEURPRINCIPAL CACHÉ Un serveur principal caché est un serveur non annoncé qui ne figure dans aucun registre de serveurs de noms. En d autres mots, il n est pas connu publiquement sur Internet et ne répond à aucune requête. Sa raison d être consiste à effectuer des transferts de zone vers un ensemble de serveurs de noms secondaires connus publiquement et répondant aux requêtes. Les avantages du serveur principal caché sont les suivants :! TOLÉRANCE AUX FAILLES Il peut subir une faille sans avoir d incidence sur la résolution de votre domaine. SÉCURITÉ Comme l adresse IP du serveur de noms n est pas publiée, il est moins vulnérable au piratage. SIMPLICITÉ D ADMINISTRATION Les recharges et les redémarrages du serveur principal caché n ont aucune incidence sur la résolution de votre domaine. 2

Pratique exemplaire 2 DÉSACTIVEZ LA RÉCURSION SUR VOS SERVEURS DE NOMS EXTERNES RÉSEAU D ENTREPRISE administrateur DNS interne PUBLIC INTERNET DNS primaire Zone File DNS secondaire DNS externe Désactivez la récursion sur votre serveur principal caché et vos serveurs de noms externes faisant autorité. Ce faisant, la vulnérabilité aux attaques par déni de service et par empoisonnement de cache est amoindrie, et la performance s en trouve améliorée. Pratique exemplaire 3 RECOUREZ À UNE SIGNATURE DE TRANSACTION (TSIG) POUR SÉCURISER LES COMMUNICATIONS ENTRE SERVEURS DE NOMS Les communications entre le serveur principal caché et les serveurs de noms secondaires devraient être authentifiées de manière cryptographique en recourant aux signatures de transactions (TSig). Les TSig sont de loin plus sûres que le filtrage des adresses IP sources qui sont facilement usurpées au moyen de connexions TCP. Pratique exemplaire 4 RAPPROCHEZ LES SERVEURS DE NOMS DES INTERNAUTES La latence des consultations DNS est importante pour votre site Web. En se prolongeant, elle risque de se traduire par la perte de clients et de recettes. Vos serveurs de noms faisant autorité répondent aux requêtes provenant d autres serveurs de noms sur Internet. Afin d offrir une expérience utilisateur agréable et un accès rapide à votre site Web, rapprochez vos serveurs de noms de ceux qui les interrogent ou faites en sorte qu ils leur soient plus rapidement accessibles. Dans le meilleur des mondes, les serveurs de noms devraient être situés dans des lieux propices à un bon accès à Internet, par exemple aux points d échange Internet (IXP). La solution la plus chaudement recommandée est sans nul doute d impartir un service DNS secondaire Anycast. Grâce à Anycast, des serveurs de noms géographiquement dispersés partagent une même adresse IP, et les requêtes sont acheminées au plus rapproché de ceux-ci. Au moment de choisir un service DNS secondaire Anycast, veillez à ce que les serveurs de noms soient situés dans les IXP stratégiquement situés sur le plan géographique par rapport à votre clientèle. IXPs that map geographically to your customers. 3

Pratique exemplaire 5 RENDEZ VOTRE DNS RÉSILIENT AUX ATTAQUES PAR DDOS Les attaques par DDoS qui exploitent le DNS comme vecteur augmentent toujours. Rehaussez la résilience aux attaques par DDoS grâce à la capacité supérieure de résolution et à la bande passante du nuage D-Zone Anycast DNS. Aux yeux de tous, le nuage Anycast apparaît en tant qu adresse IP unique. En réalité, il s agit d un réseau de serveurs de noms géographiquement dispersés. Un nuage Anycast est de loin plus résilient aux attaques par DDoS que le sont les serveurs Unicast parce qu il recourt à une fonction de géolocalisation pour déterminer le serveur qui doit répondre à une requête en particulier et parce qu il dispose de la capacité et de la bande passante combinées de tous les serveurs. Grâce à Anycast, une attaque n a d incidence que sur le serveur de noms qui se trouve le plus près de la ou des sources de l attaque. Unicast Anycast La plupart des attaques par DDoS proviennent de l étranger. Au moment de sélectionner un service DNS Anycast, il faut s assurer de la présence de noeuds internationaux qui peuvent bloquer les attaques de l étranger. Un noeud international dirigera vers un gouffre le trafic d une attaque de l étranger tout en protégeant les serveurs de noms locaux. Pratique exemplaire 6 RENDEZ VOTRE DNS À L ÉPREUVE DES CATASTROPHES Zaites appel à la redondance pour rendre votre DNS à l épreuve des catastrophes. S il s agit de serveurs Unicast, alors il faudra à tout le moins deux serveurs de noms à différents endroits. Pour assurer la redondance, un nuage DNS Anycast constitue une meilleure solution. En cas de défaillance d un serveur de noms dans un nuage Anycast, celui-ci est automatiquement retiré des tables de routage. C est ainsi qu Anycast augmente la redondance et la tolérance aux failles. 4

Anycast augmente la redonance et la tolérance aux failles En Anycast, le degré de redondance le plus élevé est atteint au moyen de deux nuages distincts. Par comparaison avec la redondance en Unicast, cela équivaut à remplacer deux serveurs de noms Unicast par deux nuages Anycast. Assurez-vous que les nuages font appel à du matériel et à des fournisseurs de transit distincts. Ainsi, votre DNS est protégé de toute défaillance causée par un problème de routage ou une panne du réseau de transit. Pratique exemplaire 7 UTILISEZ UN DNS ANYCAST Anycast est en usage depuis plus de 10 ans afin d assurer la prestation de services de noms au serveur racine sur Internet, de même qu à de nombreux domaines de premier niveau, y compris au.ca. Le DNS Anycast est la solution optimale pour la tolérance des failles, la résilience aux attaques par DDoS ainsi qu afin de rapprocher les serveurs des utilisateurs. Pour la plupart des organisations, il est trop coûteux et complexe d élaborer et de gérer leur propre infrastructure. Heureusement, il est facile de greffer un service DNS Anycast tel que D-Zone à votre infrastructure DNS. 5

SERVICE DNS ANYCAST D-ZONE POUR CONTRIBUER À LA PROTECTION DE VOTRE ENTREPRISE Le Service DNS Anycast D-Zone consiste en un réseau DNS Anycast secondaire conçu pour les organisations canadiennes ou celles qui exercent des activités sur le marché canadien. Principaux avantages Une disponibilité à 100 % et un contrat de niveau de service (CNS). La capacité excédentaire de 100 fois de l équipement à la fine pointe et la redondance à chaque noeud. Des noeuds DNS globaux au Canada et aux plaques tournantes internationales d Internet. Des noeuds DNS locaux géographiquement rapprochés du trafic régional et le protégeant des activités malveillantes contre le DNS. Une forte présence canadienne qui réduit la latence pour les visiteurs canadiens. Deux nuages pour la redondance de basculement et la protection contre les attaques par DDoS du DNS visant les noeuds locaux. La facilité de l ajouter à une infrastructure existante pour améliorer sa résilience et sa performance globales. La prise en charge des DNSSEC. La prise en charge de l IPv6. APPRENEZ-EN DAVANTAGE Pour obtenir plus de renseignements sur la façon d obtenir le service, de trouver un revendeur ou d en devenir un, veuillez écrire à info@d-zone.ca ou visiter acei.ca/d-zone. À PROPOS DE L ACEI L Autorité canadienne pour les enregistrements Internet (ACEI) gère le registre des noms de domaine.ca du Canada à titre de service disponible à 100 % pour la population et les organisations canadiennes. En plus d assumer l intendance du.ca, l ACEI élabore et met en oeuvre des politiques qui appuient les internautes canadiens ainsi que le registre.ca sur le plan international. 6

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back