Noms de domaine : Sécurisation DNS, Bonnes pratiques & Recommandations de l’ANSSI

Créée en 2009, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) est l’autorité nationale en matière de cybersécurité. Sa mission est de comprendre, prévenir et répondre au risque cyber.

Son action pour la protection face aux cyberattaques se traduit en quatre grandes missions : défendre, connaître, partager, accompagner. Son rôle est de conseiller et de partager des recommandations de cybersécurité, des solutions et des outils, mais aussi des guides et bonnes pratiques auprès des acteurs publics et privés, comme les entreprises, à travers des publications sur son site.

Parmi ces publications, l’agence partage un ensemble de recommandations et de bonnes pratiques sur l’acquisition et l’exploitation de noms de domaine au travers d’un guide complet disponible ici :

Bonnes pratiques pour l’acquisition et l’exploitation de noms de domaine.

Découvrez sur cette page nos options de sécurisation de zones et serveurs DNS : Comment SafeBrands vous permet de sécuriser vos zones DNS et d’être en conformité avec les recommandations de l’ANSSI.

Les 5 recommandations principales de l’ANSSI en matière de sécurisation DNS sont les suivantes :

  • • Définir des valeurs de TTL élevées en mode nominal
  • • Effectuer des sauvegardes du contenu des zones
  • • Surveiller la santé des serveurs faisant autorité
  • • Utiliser des piles logicielles variées
  • • Utiliser des composants distincts pour l’interrogation et le service de zones

Les cinq recommandations de l’ANSSI pour la gestion et la résilience des serveurs

Recommandation n°11 : Définir des valeurs de TTL élevées en mode nominal

« Configurer des valeurs de TTL relativement élevées, dans le cadre normal des opérations. »

Définition et recommandation de l’ANSSI : « La durée de vie (TTL) en cache des enregistrements DNS désigne la durée maximale pendant laquelle une donnée devrait être gardée en cache par les équipements interrogeant les serveurs DNS faisant autorité.

Passé ce délai, ces équipements doivent considérer les données mises en cache comme obsolètes et s’enquérir à nouveau des enregistrements DNS auprès des serveurs faisant autorité.

Il est cependant à noter que le TTL joue un rôle dans la résilience et la disponibilité d’un service. En effet, plus le TTL est long, et plus l’information pourra rester accessible malgré une indisponibilité temporaire des serveurs faisant autorité sur cette dernière.
Des valeurs comprises entre une heure (3600 sec.) et deux jours (172800 sec.) devraient être adoptées dans la majorité des cas. »

Les solutions de sécurisation DNS avancées SafeBrands :

La durée de vie de vos enregistrements DNS, ou TTL (pour Time To Live), peut être gérée et définie précisément en fonction de vos besoins sur votre espace client SafeBrands dans la gestion DNS de vos domaines.

La préconisation de l’ANSSI concernant le TTL est fixée entre une heure (3600 secondes) et deux jours (172800 secondes). C’est pourquoi chez SafeBrands, le TTL par défaut est automatiquement défini à 33200 secondes, soit environ 9 heures.

Bien que nous recommandions de conserver ce paramétrage, notre interface de gestion de zone vous permet de modifier avec précision la valeur du TTL en fonction de vos besoins ; nous vous recommandons notamment de baisser les TTL au minimum avant modification, pour accélérer la propagation, puis de les remonter après modification, pour sécuriser vos enregistrements.

  • La valeur minimale du TTL est de 300 secondes.
  • La valeur maximale du TTL n’est pas limitée.

Ces modifications doivent idéalement se limiter à des situations particulières, notamment dans la cadre d’un changement de service.

Recommandation n°12 : Effectuer des sauvegardes du contenu des zones

« Mettre en place une procédure de sauvegardes régulières des données contenues dans les zones DNS. »

Recommandation de l’ANSSI : « La mise en place de méthodes de sauvegarde des zones DNS est nécessaire pour pallier les altérations involontaires ou frauduleuses de données. La sauvegarde pourrait prendre la forme d’une simple copie de la base de données contenant les informations de la zone, comme le fichier master [rfc1035], ou bien être effectuée à l’aide du mécanisme de transfert de zone depuis un serveur de sauvegarde, gardant un historique des versions de la zone. »

Les solutions de sécurisation DNS avancées SafeBrands :

Les enregistrements DNS (ou informations des fichiers de zone) sont des ensembles d’instructions relatives à un nom de domaine et à ses éventuels sous-domaines, stockés sur les serveurs DNS, et nécessaires au bon fonctionnement des services associés au nom de domaine et à ses sous-domaines. Ces instructions sont essentielles à la réussite d’une requête / recherche DNS et fournissent des informations sur un domaine / sous-domaine, notamment quelle adresse IP / URL est associée à ce domaine et comment traiter les requêtes reçues pour ce domaine. Tous les enregistrements DNS sont également dotés d’un TTL (Time To Live) qui détermine à quelle fréquence un serveur DNS mettra à jour un enregistrement.

Parce que ces informations et données contenues dans les zones DNS sont capitales pour votre nom de domaine et tous les services associés (sites web, messageries…), elles constituent la base de vos domaines et de vos services, et il est donc indispensable d’en effectuer des sauvegardes régulières.

Chez SafeBrands, vous disposez de 2 options pour effectuer ces sauvegardes :

  1. Via votre espace client SafeBrands et l’export de zone disponible dans l’interface d’administration et d’analyse technique (3.2), afin de créer vos propres sauvegardes.
  2. Via nos services, à la demande, vous pouvez à tout moment obtenir des exports BIND au format AXFR pour conserver une sauvegarde de vos zones DNS.

Recommandation n°13 : Surveiller la santé des serveurs faisant autorité

« Mettre en place un système automatisé de surveillance des données fournies par ses serveurs faisant autorité et par ceux des zones parentes. »

Recommandation de l’ANSSI : « De tels outils de surveillance devraient être déployés depuis des réseaux différents de celui hébergeant le service DNS, afin de pouvoir détecter les pertes de connectivité et permettre l’émission des alertes en tout cas. La détection en elle-même peut être effectuée avec de simples scripts d’interrogation du service DNS, grâce à des outils sophistiqués comme ZoneMaster. »

Les solutions de sécurisation DNS avancées SafeBrands :

L’ANSSI recommande ainsi de surveiller les serveurs faisant autorité sur une zone DNS pour un domaine donné. Autrement dit, une organisation dont le nom de domaine est « exemple.com » se doit de surveiller la santé des serveurs DNS faisant autorité sur la zone « exemple.com ».

Pour répondre à cet indispensable besoin de surveillance, les services SafeBrands supervisent en permanence 24/7 la santé des serveurs faisant autorité pour les zones de nos clients via de multiples services internes et externes. Nous utilisons notamment 4 systèmes de monitoring sur nos infrastructures et nos serveurs DNS.

Recommandation n°14 : Utiliser des piles logicielles variées

« Employer au minimum deux logiciels de serveurs DNS différents sur l’ensemble des serveurs faisant autorité sur un nom de domaine. »

Recommandation de l’ANSSI : « La diversité logicielle désigne le fait d’employer plusieurs implantations pour fournir un même service. Elle permet donc de limiter l’impact sur l’ensemble du service d’une unique défaillance logicielle.
En pratique, cela signifie employer différents logiciels de serveurs DNS sur les différents serveurs faisant autorité sur une zone. Différentes implantations des serveurs faisant autorité sont disponibles, parmi lesquelles Bind, Knot, Microsoft DNS, NSD, ou bien encore PowerDNS. »

Les solutions de sécurisation DNS avancées SafeBrands :

SafeBrands utilise une seule brique logicielle. Nos services d’infrastructure dédiés à la maintenance et à la surveillance de nos serveurs DNS effectuent une veille logicielle et appliquent une politique de mises à jour et de tests de non régression afin d’assurer la sécurité des serveurs.

Recommandation n°15 : Utiliser des composants distincts pour l’interrogation et le service de zones

« Le service d’interrogation DNS devrait être rendu par un serveur ou un processus cloisonné distinct de celui rendant le service DNS faisant autorité sur des noms de domaine. »

Recommandation de l’ANSSI : « Il est préférable de séparer les rôles d’interrogation du DNS et de serveur faisant autorité en deux instances logicielles, par exemple en employant des processus ou serveurs séparés et isolés, afin de limiter les interactions. »

Les solutions de sécurisation DNS avancées SafeBrands :

Il existe quatre catégories de serveur DNS : les serveurs résolveurs récursifs / cache, les serveurs de noms racine, les serveurs de noms TLD, et les serveurs de noms faisant autorité.

  • Les serveurs récursifs ou serveurs cache (également appelés résolveurs récursifs ou récurseurs DNS) : Ils constituent le premier arrêt d’une requête DNS. Ces serveurs ne gèrent pas de zones DNS. Ils agissent comme un intermédiaire entre un client et un serveur de noms DNS, et répondent aux requêtes envoyées sur les domaines en faisant eux-mêmes de nouvelles requêtes vers d’autres serveurs DNS, ou via les réponses qu’ils ont stockées en cache.
  • Les serveurs racine DNS sont gérés notamment par l’ICANN (Internet Corporation for Assigned Names and Numbers) et d’autres organisations, et qui constituent le premier maillon d’une recherche DNS.
  • Les serveurs de noms TLD sont gérés par l’IANA (Internet Assigned Numbers Authority), une division de l’ICANN.
  • Les serveurs DNS (ou Serveurs de noms) faisant autorité : Les serveurs de noms faisant autorité contiennent des informations spécifiques au nom de domaine qu’ils servent (par exemple, safebrands.com). Les enregistrements DNS du domaine sont gérés sur ce serveur de noms, et répondent aux requêtes envoyées par les autres serveurs DNS relatives aux domaines.

Les deux types de serveurs, récursifs / cache et serveurs de noms faisant autorité, répondent aux requêtes DNS mais ne fonctionnent pas de la même manière et n’assurent pas les mêmes fonctions. Pour un serveur donné, il est indispensable qu’il fasse autorité ou qu’il soit récursif, mais non les deux. L’ANSSI préconise ainsi de séparer les rôles d’interrogation du DNS et de serveur faisant autorité en deux instances logicielles, par exemple en employant des processus ou serveurs séparés et isolés, afin de limiter les interactions et les problèmes de vulnérabilité et/ou de corruption.

C’est pourquoi tous nos serveurs DNS SafeBrands Standards et Premium sont des serveurs de noms faisant autorité uniquement.

L’architecture DNS SafeBrands est conçue pour permettre la séparation des privilèges, le cloisonnement des process, de leur environnement et de la mémoire EDNS prise en charge.

Par ailleurs, pour garantir une résolution DNS optimale : notre architecture DNS est fiable, entièrement sécurisée et actualisée aux nouvelles normes de protocoles informatiques en vigueur. Cette architecture, comme toutes les applications métiers SafeBrands, est régulièrement soumise à un audit de sécurité.

Les mécanismes de sécurité mis en place sont les suivants :

  • • Mise en réseau BGP et IP Anycast ;
  • • Gestion DNSSEC ;
  • • Segmentation des serveurs de noms ;
  • • Protection contre les DDoS ;
  • • Redondance globale ;
  • • Sécurité basée sur les rôles avec des permissions étendues …

Les réponses à ces 5 recommandations de l’ANSSI mettent en évidence les différentes options de sécurisation DNS mises en place par SafeBrands dans le cadre de la gestion de vos noms de domaine, mais d’autres solutions avancées de sécurisation DNS existent en complément, comme le DNS Premium, le DNSSEC ou encore le Registry Lock.

Services DNS Standards et Premium :

 SafeBrands Standards DNSPREMIUM DNS
Type de solutionRedondant et résilient UnicastRedondant et résilient Anycast
SLA – Disponibilité99,99%100%
Protection DDoSMitigation de DDoS (Basic)Mitigation de DDoS (Premium)
Emplacements418
Nœuds430
CoûtGratuitBasé sur le nombre de requêtes
Sous-ZonesInclusesIncluses
DNSSECSur demandeOui

Retrouvez toutes les recommandations de l’ANSSI et la mise en conformité des services SafeBrands ici.

Si vous souhaitez en savoir plus, n’hésitez pas à contacter votre Chargé(e) de Compte ou à nous écrire à support@safebrands.com si vous êtes déjà client.

➜ Pas encore client ? Contactez nos services commerciaux pour obtenir des renseignements et des devis.

Utilisez le Formulaire de contact ou contactez-nous directement aux coordonnées ci-dessous :

SafeBrands Europe

Service commercial
+33 (0)1 80 82 82 60 / +33 (0)4 88 66 22 35
sales@safebrands.com