Alors d'abord, qu'est-ce qu'un DNS et à quoi cela sert-il?
Le Domain Name System (Système de nom de domaine) ou DNS est un service qui associe les noms de domaine Internet (comme google.com) avec leurs adresses IP publiques. En fournissant dès les premières années d'Internet, autour de 1985, ce service distribué de résolution de noms est devenu un composant essentiel du développement du réseau informatique, car il évite de devoir connaître l'adresse IP de chaque site que nous souhaitions visiter. Par ailleurs, les adresses IP sont susceptibles de changer, tout en gardant le même nom DNS.
En résumé, le DNS est le nom "officiel" et "facile" d'un site internet derrière lequel se trouvent une ou plusieurs adresses IP.
Nous passons les détails sur les 200 serveurs répartis sur 50 pays qui ont les bases de données de tous les sites Internet pour permettre leur résolution correcte.
Don ça, c'est pour les sites internet publics... mais ensuite, il y a aussi des DNS en interne des sociétés pour répertorier les ordinateurs et serveurs qui s'y trouvent de la même façon.
Ce type de service peut être de type statique ou dynamique, pour faire simple, il peut soit être mis à jour manuellement au besoin, soit dans le cadre d'un DDNS, se mettre à jour automatiquement (Microsoft).
Mais alors, c'est bien... sauf qu'en quoi cela me concerne-t-il puisque c'est géré sur Internet par des fournisseurs d'accès?
Lors d'un accès internet, tout utilisateur/poste de travail utilise (et se rend ainsi identifiable) une adresse internet publique qui est liée à l'abonnement Internet depuis lequel Internet est accédé. De manière générale, la plupart des particuliers et sociétés n'ont qu'une seule adresse Internet publique, même s'il y a plusieurs ordinateurs au sein de la société. Ainsi, tous les utilisateurs d'une même connexion apparaîtront avec la même adresse IP publique sur Internet.
Ceci est rendu possible par une technologie que l'on nomme NAT (Network Address Translation) qui "cache" chaque adresse IP interne et donne la visibilité vers l'extérieur de l'adresse IP publique uniquement. Et comme une adresse publique se paie, cela permet en plus d'avoir un nombre illimité d'ordinateurs qui ne sont pas exposés au public et qui utilisent la même adresse.
Une fois ces éléments basiques posés, il faut juste comprendre qu'afin de pouvoir taper www.google.com dans le navigateur et obtenir quelque chose à l'écran, il faut bien qu'un service de type DNS traduise "www.google.com" en une adresse IP publique de ce site, puisque chaque site ou ordinateur a une adresse IP avant tout et que c'est le seule langage qu'il comprenne.
En connectant votre ordinateur, vous aurez une adresse interne de type 192.168.x.x et si vous êtes curieux et que vous allez chercher le DNS qui vous est attribué (sous Windows, ligne de commandes, IPCONFIG /ALL), vous verrez qu'un ou plusieurs serveurs DNS vous sont ainsi attribués (selon le routeur/DHCP). Ils peut juste s'agir d'une adresse interne du type 192.168.1.1 ou alors un serveur Google 8.8.8.8 ou celui de votre FAI. Selon ce qui est choisi, la recherche sur Internet sera plus ou moins rapide et aussi plus ou moins sécurisée. A noter ici que les FAI proposent leurs propres serveurs afin d'augmenter le niveau de sécurité, mais surtout de performances pour les utilisateurs et la visibilité du trafic.
Nos le savons bien, la plupart des gens ne s'en inquiètent pas... et pourtant, elles le devraient.
Comprenez ici que le serveur DNS qui vous est assigné vas GARDER toutes les requêtes que vous ferez sur Internet, tous les sites et liens que vous aurez tapés.
Forcément, pour les malins, il y a des serveurs DNS anonymes qui existent et qui ne gardent pas ces informations, afin de pouvoir procéder à des recherches discrètes. Cependant, ces serveurs peuvent être lents, ils changent souvent, apparaissent, puis disparaissent. Cela demande de mettre à jour constamment vos informations DNS... pénible.
Ici vous aurez compris l'importance du DNS... mais ce n'est pas tout.
En termes de sécurité, sachant que les serveurs DNS gardent vos informations et que la technologie est ancienne, pour un hacker, il est techniquement possible d'intercepter vos requêtes et vous rediriger vers d'autres sites d'ameçonnage (phishing) sans que vous ne le sachiez.
C'est pour répondre à ce type de problématique et en même temps pour filtrer le contenu autorisé d'une entreprise que nous faisons appel à un service du type OpenDNS de CISCO.
En utilisant les serveurs DNS de CISCO, toutes les requêtes passeront par eux et seront filtrées, sécurisées et validées pour éviter des désagréments. Vous avez divers filtres possibles pour limiter l'accès à Internet.
Les 2 serveurs DNS sont toujours les mêmes pour l'utilisateur.
Cela vous donnera aussi accès à des statistiques, comme le taux d'utilisation ou les noms de domaine qui ont été recherchés ou refusés.
Mais comment fait-on?
Il y a 2 façons de procéder, celle pour les personnes/société ayant une adresse IP publique fixe et celles ayant une dynamique.
La plupart des particuliers ont une adresse publique dynamique, ce qui signifie qu'elle change de temps en temps, Alors que les sociétés en général en ont une fixe.
Le plus facile, c'est avec une IP fixe, car il suffit de créer un compte gratuit (un seul réseau, limité) chez OpenDNS, ajouter l'adresse IP publique pour ainsi enregistrer votre réseau chez eux. Ensuite il suffira de configurer les services de la société pour n'utiliser que les serveurs DNS mentionnés plus haut.
Dans le cas d'une adresse dynamique, en revanche, il faudra aussi rajouter l'adresse publique pour créer son réseau (www.whatismyip.com), mais comme elle est susceptible de changer, lorsque cela arrive, vos serveurs DNS ne retrouveront pas leurs billes et vous n'accéderez pas à Internet...
Il faut alors installer leur agent Mac ou PC qui va se charger de communiquer avec CISCO et leur donner l'adresse IP du moment.
Voilà! Avec cette solution, vous améliorez grandement votre sécurité sur Internet, mais aussi, dans un cadre familial, vous pourrez mieux filtrer les contenus visibles et les adapter.
Comments