Options de sécurisation des serveurs DNS : comment Gandi permet aux entreprises de respecter les recommandations de l’ANSSI

L’ANSSI, en tant qu’Agence Nationale de la Sécurité des Systèmes d’Informations, a pour rôle de conseiller et de partager des bonnes pratiques auprès des entreprises à travers des publications accessibles. Parmi ces publications, l’agence partage depuis 2017 un ensemble de recommandations sur l’acquisition et l’exploitation de noms de domaine. Un guide complet qui expose les points de contrôle essentiels pour le choix de son bureau d’enregistrement de noms de domaine.

Dans une saga en quatre volets, Gandi Corporate Services vous présente les différents mécanismes mis à disposition pour vous permettre de répondre à chacune de ces préconisations.

Particulièrement focalisés sur le DNS, les deux premiers articles de notre dossier vous invitaient à découvrir les cinq points clés liés à la sécurisation du DNS, ainsi que la résilience des serveurs DNS. Les 5 recommandations portent sur les options de sécurisation du DNS à prendre en compte lors de la sélection desdits acteurs, à savoir :

• Définir des valeurs de TTL élevées en mode nominal
• Effectuer des sauvegardes du contenu des zones
• Surveiller la santé des serveurs faisant autorité
• Utiliser des piles logicielles variées
• Utiliser des composants distincts pour l’interrogation et le service de zones

Les cinq recommandations de l’ANSSI pour la gestion et la résilience des serveurs

Recommandation n°11 : Définir des valeurs de TTL élevées en mode nominal

« Configurer des valeurs de TTL relativement élevées, dans le cadre normal des opérations. »

Citation ANSSI : « La durée de vie en cache des enregistrements DNS désigne la durée maximale pendant laquelle
une donnée devrait être gardée en cache par les équipements interrogeant les serveurs DNS faisant
autorité. Passé ce délai, ces équipements doivent considérer les données mises en cache comme
obsolètes et s’enquérir à nouveau des enregistrements DNS auprès des serveurs faisant autorité. La recommandation est comprise entre une heure et deux jours. « 

La solution de sécurisation Gandi Corporate Services :
Le TTL (pour Time To Live) représente la durée de vie en cache des enregistrements DNS. Le service DNS Gandi Corporate Services vous garantit une définition précise du TTL, pour répondre à vos différents usages.

La préconisation de l’ANSSI en termes de durée s’établit entre une heure et deux jours. C’est pourquoi, par défaut, le TTL est automatiquement fixé à 10 800 secondes, soit 3 heures, chez Gandi Corporate Services.

Bien que nous recommandions de conserver ce réglage, sachez que le service Gandi Corporate Services permet de modifier la valeur du TTL à la volée pour :

• être abaissé à une durée minimale de 300 secondes.
• être augmenté à une durée maximale de 30 jours.

Ces variations doivent se limiter à des situations particulières, notamment dans la cadre d’un changement de service.

Recommandation n°12 : Effectuer des sauvegardes du contenu des zones

« Mettre en place une procédure de sauvegardes régulières des données contenues dans les zones DNS. »

La solution de sécurisation Gandi Corporate Services :
Puisque les données contenues dans les zones DNS représentent la base de vos services numériques, il est indispensable d’en effectuer des sauvegardes régulières. Chez Gandi Corporate Services, ces sauvegardes sont possibles de trois manières différentes :

1. Via le système de backup de zone disponible sur les serveurs de noms liveDNS directement dans l’interface d’administration. Vous pouvez à tout moment faire un backup de zone en cliquant sur le bouton dédié, ou restaurer une zone à partir de votre liste de backup.
   Vous pouvez y conserver un maximum de 20 backups de zones, sans limite de temps. À savoir que, par défaut et par mesure de sécurité, l’interface impose une sauvegarde avant chaque changement de zone.

2. Via une automatisation mise en place grâce à l’API liveDNS.
3. Via l’export de zone, disponible dans l’interface d’administration, afin de créer vos propres sauvegardes.

Recommandation n°13 : Surveiller la santé des serveurs faisant autorité

« Mettre en place un système automatisé de surveillance des données fournies par ses serveurs faisant autorité et par ceux des zones parentes. »

La solution de sécurisation Gandi Corporate Services :
L’ANSSI recommande de superviser les serveurs faisant autorité sur une zone donnée. C’est à dire qu’une entreprise dont le nom de domaine est « example.net » se doit de superviser la santé des serveurs DNS faisant autorité sur la zone « example.net ».

Pour répondre à cette indispensable besoin de surveillance, Gandi Corporate Services supervise la santé des serveurs faisant autorité pour les zones de nos clients via de multiple services internes et externes. Ces services peuvent être couplés à votre propre dispositif de supervision.

Recommandation n°14 : Utiliser des piles logicielles variées

« Employer au minimum deux logiciels de serveurs DNS différents sur l’ensemble des serveurs faisant autorité sur un nom de domaine. »

La solution de sécurisation Gandi Corporate Services :
Gandi Corporate Services n’utilise qu’une seule brique logicielle. L’équipe dédiée aux serveurs DNS effectue une veille logicielle et applique une politique de mises à jour et de tests de non régression afin d’assurer la sécurité des serveurs.

Recommandation n°15 : Utiliser des composants distincts pour l’interrogation et le service de zones

« Le service d’interrogation DNS devrait être rendu par un serveur ou un processus cloisonné distinct de celui rendant le service DNS faisant autorité sur des noms de domaine. »

La solution de sécurisation Gandi Corporate Services :
Il existe deux types de serveur DNS :

• Les serveurs DNS faisant autorité : c’est le cas des serveurs liveDNS Gandi Corporate Services. Les enregistrements DNS du domaine sont gérés sur ces serveurs de noms, et répondent aux requêtes envoyées à propos de ces domaines.
• Les serveurs récursifs / cache : ces serveurs ne gèrent pas de zones DNS. Ils répondent aux requêtes envoyées sur les domaines en faisant eux-mêmes de nouvelles requêtes vers d’autres serveurs DNS, ou via les réponses qu’ils ont stocké en cache.

Ces deux types de serveurs répondent donc aux requêtes DNS, mais ne fonctionnent pas de la même manière. Sur un serveur donné, il est nécessaire qu’il soit récursif ou qu’il fasse autorité, mais rarement les deux. L’ANSSI préconise donc que le logiciel installé sur les serveurs fasse soit l’un soit l’autre, pour éviter, par exemple, des problèmes de corruption des données stockées en cache.

C’est pourquoi les serveurs liveDNS Gandi Corporate Services sont des serveurs faisant autorité uniquement.

Les réponses à ces 5 recommandations mettent en exergue les différentes options de sécurisation du DNS mise en place par Gandi Corporate Services dans le cadre de la gestion des noms de domaine. Si vous souhaitez en savoir plus, n’hésitez pas à contacter votre Chargé(e) de Compte ou à nous écrire à corporatecontact@gandi.net.

Les 5 dernières recommandations de l’ANSSI seront traitées dans les semaines à venir. N’oubliez pas de consulter régulièrement notre blog pour accéder à l’intégralité de cette saga et être informé(e) de l’actualité du marché des noms de domaine.

Tagged in corporate