Sécurisation du déploiement DNS

Lorsque vous concevez votre déploiement de serveur DNS (Domain Name System), respectez les directives de sécurité DNS suivantes :

  • Si vos hôtes réseau ne doivent pas résoudre de noms sur Internet, éliminez la communication DNS avec Internet.

    Dans cette conception DNS, vous pouvez utiliser un espace de noms DNS privé hébergé entièrement sur votre réseau. L’espace de noms DNS privé est distribué de la même façon que l’espace de noms DNS Internet, avec vos serveurs DNS internes hébergeant des zones pour le domaine racine et les domaines de niveau supérieur.

  • Fractionnez l’espace de noms DNS de votre organisation entre des serveurs DNS internes placés derrière le pare-feu et des serveurs DNS externes placés devant le pare-feu.

    Dans cette conception DNS, votre espace de noms DNS interne est un sous-domaine de votre espace de noms DNS externe. Par exemple, si l’espace de noms DNS Internet de votre organisation est tailspintoys.com, l’espace de noms DNS interne de votre réseau est corp.tailspintoys.com.

  • Hébergez votre espace de noms DNS interne sur des serveurs DNS internes et hébergez votre espace de noms DNS externe sur des serveurs DNS externes exposés à Internet.

    Pour résoudre les requêtes de noms externes effectuées par des hôtes internes, les serveurs DNS internes dans cette conception DNS transfèrent les requêtes de noms externes aux serveurs DNS externes. Les hôtes externes utilisent uniquement les serveurs DNS externes pour la résolution des noms Internet.

  • Configurez votre pare-feu de filtrage de paquets de façon à autoriser uniquement la communication UDP et TCP sur le port 53 entre votre serveur DNS externe et un serveur DNS interne.

    Cette conception DNS facilite la communication entre les serveurs DNS internes et externes et empêche tout autre ordinateur externe d’accéder à votre espace de noms DNS interne.

Pour plus d’informations, voir Informations de sécurité pour DNS.


Table des matières