DNS se­con­daire

Le Domain Name System, abrégé en DNS, est un système mondial per­met­tant la tra­duc­tion de domaines Internet en adresses IP. Le DNS fournit une adresse IP pour chaque nom de domaine et fonc­tionne ainsi comme un « annuaire » Internet. En termes de concept, l’adresse IP cor­res­pond à l’adresse postale à laquelle les paquets peuvent être envoyés. Voici quelques exemples de requêtes DNS :

Au vu de l’im­por­tance cruciale du DNS, il est judicieux de conserver les in­for­ma­tions DNS de façon re­don­dante sur dif­fé­rents systèmes. De cette manière, les in­for­ma­tions restent ac­ces­sibles même si une panne des dif­fé­rents com­po­sants du DNS se produit. D’autre part, la proximité géo­gra­phique d’un serveur détermine la rapidité des réponses. Dans le cas d’un système redondant, on opère une dis­tinc­tion entre la source et la ou les copies éven­tuelles. En pratique, un tel dis­po­si­tif nécessite un mécanisme per­met­tant de ré­per­cu­ter les mo­di­fi­ca­tions de la source dans les copies re­don­dantes.

Un mécanisme essentiel per­met­tant de diffuser les in­for­ma­tions du DNS pour une zone DNS à plusieurs serveurs a vu le jour dans la spé­ci­fi­ca­tion publiée par l’Internet En­gi­nee­ring Task Force (IETF) en 1996. Cette spé­ci­fi­ca­tion définit la façon dont un serveur DNS primaire (ou primary DNS en anglais), à l'époque encore appelé « maître », informe un groupe de serveurs DNS se­con­daires (ou secondary DNS en anglais), appelés « esclaves », des mo­di­fi­ca­tions apportées à la zone DNS. Les serveurs DNS se­con­daires doivent envoyer une requête au serveur DNS primaire afin d’obtenir les mo­di­fi­ca­tions.

Par dé­fi­ni­tion, il n’existe qu’un seul serveur DNS primaire par zone DNS. Ce serveur conserve les in­for­ma­tions DNS source pour la zone et sert de point d’entrée pour l’ad­mi­nis­tra­teur de la zone. Les mo­di­fi­ca­tions apportées à une zone DNS sont réalisées sur le serveur DNS primaire. Le cas échéant, plusieurs serveurs DNS se­con­daires répartis dans le monde entier peuvent être utilisés pour dupliquer les in­for­ma­tions DNS. Pour l’hé­ber­ge­ment du serveur DNS se­con­daire, on utilise souvent un four­nis­seur de DNS séparé.

Veuillez noter que les termes « primaire » et « se­con­daire » sont employés à deux occasions lorsque l’on s’intéresse au DNS. Vous avez peut-être déjà remarqué que vous aviez la pos­si­bi­lité de modifier les serveurs DNS dans les pa­ra­mètres système de votre connexion réseau. Il n’est pas rare que ces serveurs soient également désignés par les termes « primaire » et « se­con­daire ». Il s’agit toutefois d’un double emploi de ces termes. Lorsque l’on parle de zone DNS, les deux types de serveurs que vous pa­ra­mé­trez peuvent être des serveurs DNS se­con­daires. D’autre part, vous pouvez con­fi­gu­rer autant de serveurs que vous le souhaitez et ne pas vous limiter à deux serveurs DNS.

Tout d’abord, notons que les serveurs DNS primaires et les serveurs DNS se­con­daires sont des « serveurs de noms faisant autorité » pour la zone concernée. Cela signifie que les in­for­ma­tions en­re­gis­trées pour la zone DNS sont to­ta­le­ment fiables. Les serveurs de noms faisant autorité sont à opposer aux serveurs de noms procédant à une mise en cache qui en­re­gistrent uni­que­ment les in­for­ma­tions DNS des requêtes DNS déjà résolues.

La prin­ci­pale dif­fé­rence entre un serveur DNS primaire et un serveur DNS se­con­daire est que le second est avant tout à visée ad­mi­nis­tra­tive. Le serveur DNS primaire contient les in­for­ma­tions DNS d’une zone DNS dans le fichier de zone (« Zone File »). Les éven­tuelles mo­di­fi­ca­tions apportées au fichier de zone sont ef­fec­tuées par l’ad­mi­nis­tra­teur de la zone di­rec­te­ment. En revanche, le fichier de zone d’un serveur DNS se­con­daire ne peut pas être modifié di­rec­te­ment. En effet, les mo­di­fi­ca­tions du fichier de zone sont obtenues via le serveur DNS primaire.

En cas de mo­di­fi­ca­tion du fichier de zone, les serveurs DNS se­con­daires sont informés de la mo­di­fi­ca­tion et demandent à obtenir les données modifiées. La trans­mis­sion des in­for­ma­tions DNS entre les serveurs DNS est connue sous le nom de transfert de zone (« Zone Transfer »). Dans le cas d’un transfert de zone, le des­ti­na­taire est un serveur DNS se­con­daire et la source est le serveur DNS primaire. Veuillez noter qu’un même serveur physique peut être à la fois le serveur DNS primaire d’une zone DNS et un serveur DNS se­con­daire pour une autre zone.

La ca­rac­té­ris­tique dé­ter­mi­nante d’un serveur DNS se­con­daire est que le fichier de zone est transmis au serveur depuis une source externe. Dif­fé­rents mé­ca­nismes sont utilisés pour le transfert de zone. L’entrée DNS « Start of Authority » (SOA) joue un rôle fon­da­men­tal dans le règlement du transfert de zone. Cette entrée contient plusieurs champs :

• le champ « MNAME » contient l’adresse IP du serveur DNS primaire.
• Par ailleurs, l’entrée SOA contient une série de champs dé­fi­nis­sant à quel in­ter­valle le serveur DNS se­con­daire demande de lui-même les mo­di­fi­ca­tions au serveur primaire.

Ci-dessous, nous analysons trois con­fi­gu­ra­tions DNS fré­quem­ment utilisées.

En un sens, il s’agit de la con­fi­gu­ra­tion « classique » pour diffuser les in­for­ma­tions DNS d’une zone à plusieurs serveurs DNS faisant autorité. Pour ce faire, on utilise un serveur DNS primaire indiqué dans le champ MNAME de l’entrée SOA. Les serveurs DNS se­con­daires vérifient ré­gu­liè­re­ment si une mo­di­fi­ca­tion a été apportée aux in­for­ma­tions DNS pour leur zone et initient un transfert des données modifiées si né­ces­saire. De plus, le serveur primaire peut informer les serveurs DNS se­con­daires des mo­di­fi­ca­tions via une ins­truc­tion Notify.

L’approche qualifiée de « Hidden Primary » est une variante in­té­res­sante de la con­fi­gu­ra­tion classique « Primary/Secondary ». Dans ce cas, le serveur primaire travaille toutefois se­crè­te­ment. Le serveur indiqué dans le champ MNAME de l’entrée SOA n’est pas le véritable serveur primaire. Par con­sé­quent, les serveurs DNS se­con­daires ne peuvent pas demander les mo­di­fi­ca­tions de la zone DNS par eux-mêmes et le serveur « Hidden Primary » doit ex­pli­ci­te­ment leur demander de procéder aux mo­di­fi­ca­tions via une ins­truc­tion Notify.

Une approche populaire consiste à con­fi­gu­rer un or­di­na­teur du réseau local comme serveur DNS et à l’utiliser comme « Hidden Primary ». Cette méthode comporte deux avantages directs :

• Les mo­di­fi­ca­tions apportées au fichier de zone peuvent être ef­fec­tuées lo­ca­le­ment, en toute sim­pli­cité.
• L’ensemble du trafic DNS entrant est géré par les serveurs DNS se­con­daires.

Pour cette approche, il est re­com­mandé de sécuriser la com­mu­ni­ca­tion entre les serveurs DNS se­con­daires et le serveur Hidden Primary à l’aide de la tech­no­lo­gie de chif­fre­ment DNSSEC.

Cette con­fi­gu­ra­tion est une évolution plus récente dans laquelle on utilise plusieurs serveurs DNS faisant autorité pour une zone DNS, chacun d’entre eux contenant les données source. Aucun transfert de zone n’a lieu et il n’existe donc aucun serveur DNS se­con­daire à pro­pre­ment parler. Chaque mo­di­fi­ca­tion apportée à la zone DNS requiert un re­cou­pe­ment coordonné des serveurs DNS primaires. Pour ce faire, on utilise des systèmes pro­prié­taires. Imaginez par exemple un système externe, doté d’une interface graphique uti­li­sa­teur et d’une interface de pro­gram­ma­tion d’ap­pli­ca­tion, utilisé pour modifier les in­for­ma­tions DNS et diffuser les mo­di­fi­ca­tions.

Les avantages à l’uti­li­sa­tion de serveurs DNS se­con­daires sont nombreux. Afin de mieux com­prendre ces avantages, imaginons un instant ce qui se pro­dui­rait s’il existait un seul serveur DNS pour une zone DNS. Une telle con­fi­gu­ra­tion aurait notamment les effets négatifs suivants :

• Les uti­li­sa­teurs situés à une plus grande distance du serveur DNS primaire su­bi­raient un retard dans les réponses par rapport aux uti­li­sa­teurs situés à proximité.

Dans ce cadre, un serveur DNS se­con­daire garantit la per­for­mance des réponses aux requêtes DNS.

• En cas de panne du serveur DNS primaire, les in­for­ma­tions faisant autorité pour la zone DNS ne seraient sou­dai­ne­ment plus dis­po­nibles.

Dans un tel cas, un serveur DNS se­con­daire assure une re­don­dance et une dis­po­ni­bi­lité élevée des in­for­ma­tions DNS.

• À partir d’un certain point, l’aug­men­ta­tion des requêtes DNS entrantes en­traî­ne­rait une surcharge du serveur DNS primaire.

Dans ce cas, un serveur DNS se­con­daire permet de répartir la charge offrant ainsi une dis­po­ni­bi­lité élevée des in­for­ma­tions DNS.

Comme vous pouvez le constater, une con­fi­gu­ra­tion sans serveur DNS se­con­daire serait fortement exposée aux erreurs tech­niques et aux cy­be­rat­taques.

Les avantages liés à l’uti­li­sa­tion d’un serveur DNS se­con­daire que nous venons de présenter sont de nature technique. Cependant, les serveurs se­con­daires com­por­tent un autre avantage d’ordre ad­mi­nis­tra­tif. Cet avantage devient manifeste lorsqu’une or­ga­ni­sa­tion souhaite passer à un nouveau four­nis­seur de DNS. Dans un tel cas, le concept de gestion de la zone DNS existant peut toujours être utilisé, par ex. dans une con­fi­gu­ra­tion « Hidden Primary ». En tant que serveur DNS se­con­daire, le nouveau four­nis­seur de DNS se charge alors de répondre aux requêtes DNS entrantes.

La dif­fé­rence entre un serveur DNS primaire et un serveur DNS se­con­daire est avant tout de nature ad­mi­nis­tra­tive. Pour un ob­ser­va­teur externe, il est im­pos­sible de dé­ter­mi­ner de façon con­cluante si un serveur DNS faisant autorité est un serveur primaire ou un serveur se­con­daire. Par ailleurs, un même serveur peut être un serveur DNS primaire pour une zone et un serveur DNS se­con­daire pour une autre. Le champ MNAME de l’entrée SOA ne fournit ici aucune in­di­ca­tion puisque le serveur DNS primaire véritable peut être exploité en con­fi­gu­ra­tion « Hidden Primary ».