Re: Best practice DNS : Haute dispo du SOA

Top Page

Reply to this message
Author: Xavier Belanger
Date:  
To: guilde
CC: Nicolas Ecarnot
Subject: Re: Best practice DNS : Haute dispo du SOA
Bonjour,

> Pour faire suite aux questions relatives aux DNS, je me suis demandé
> quelle était la meilleure façon d'assurer la haute disponibilité d'un SOA.
> (...)


Un enregistrement SOA (Start of Authority, ce qui défini une zone DNS)
doit effectivement être disponible en permanence, sans quoi la zone
disparaît d'Internet.

La solution la plus simple et la plus éprouvée est d'avoir son serveur
maître sur son réseau et au moins un (et même plus) esclave sur un autre
réseau, disponible via une autre entité de routage (AS number - Autonomous
System) de manière à ce que si le serveur maître ou le routeur assurant
sa connection tombe, l'information est disponible par ailleurs.

Example avec le domaine guilde.asso.fr :

Quels sont les serveurs de noms de la zone ?

xavier@mercury:~$ dig +short NS guilde.asso.fr
ns5.axperia.net.
ns0.axperia.net.

Quelle est l'adresse IP du premier serveur ?

xavier@mercury:~$ dig +short A ns5.axperia.net
213.218.137.115

Quelle est l'adresse IP du second serveur ?

xavier@mercury:~$ dig +short A ns0.axperia.net
217.117.157.190

Rien qu'avec ça, on peut voir que les deux serveurs ne sont pas sur
les mêmes réseaux, donc probablement connecté via des routeurs différents.
Vérifions avec l'outil proposé par Team Cymru :

[ http://www.team-cymru.org/Services/ip-to-asn.html#dns ]

xavier@mercury:~$ dig +short 115.137.218.213.origin.asn.cymru.com TXT
"8304 | 213.218.128.0/19 | FR | ripencc | 2004-02-03"
xavier@mercury:~$ dig +short 190.157.117.217.origin.asn.cymru.com TXT
"15830 | 217.117.144.0/20 | FR | ripencc | 2004-01-23"

Oui, le premier serveur est connecté via le routeur avec l'AS 8304 et
le second via le routeur ayant l'AS 15830.

Pour véfier tout cela et bien plus, il existe différents outils en ligne :

* DNSCheck [ http://dnscheck.iis.se/ ]
* IntoDNS [ http://www.intodns.com/ ]
* ZoneCheck [ http://www.zonecheck.fr/ ]

La Guilde étant une organisation modeste, il n'y a probablement pas besoin
de plus de serveurs DNS esclaves. Pour une organisation plus importante,
il faudra songer à quelques serveurs de plus (le maximum est de sept selon
les RFCs si ma mémoire est bonne).

Attention ce n'est pas la solution ultime : si le serveur maître tombe
la zone reste visible mais elle ne peut plus être mise à jour et finira
par disparaître quand le TTL (Time To Live) expirera. Si l'administrateur
DNS n'a pas réagit à temps, il y aura un gros problème (mais un bon
administrateur surveille ses serveurs n'est-ce pas :-) ).

Il existe par ailleurs un document de l'ANSSI préparé avec l'aide de
l'AFNIC à propos de ce genre de chose :

* Résilience de l'Internet 2012

[ http://www.ssi.gouv.fr/fr/menu/actualites/l-observatoire-sur-la-resilience-de-l-internet-francais-publie-son-rapport-2012.html ]

C'est un gros document, mais pas trop indigeste (et c'est composé en LaTeX).

Cela répond d'ailleurs en partie comment "les très grosses boîtes" gèrent
leur DNS : probablement aussi mal que les autres, avec peu de serveurs
et peu de répartition (82% des serveurs sont sur la même AS en 2012...).

Après la question est "comment faire héberger un serveur DNS ?". Il y a
la méthode simple : louer un serveur correct chez un prestataire fiable
et installer le nécessaire. La méthode un peu plus complexe est de trouver
une organisation amie, lui demander d'héberger une zone esclave sur ses
propres serveurs et de proposer la même chose en échange. C'est ce que font
certaines universités françaises. Le tout est d'avoir une relation de
confiance...

S'il y a encore des questions sur DNS, allez-y, je suis chaud :-)

A+
--
Xavier Belanger