Le système de noms de domaine (DNS) permet aux utilisateurs de se connecter à des sites Web à l'aide de noms de domaine Internet et d'URL consultables et non avec des adresses numériques de protocole Internet. Au lieu de devoir mémoriser une adresse IP comme  93.184.216.34,  les utilisateurs peuvent rechercher à la place  www.example.com.

La technologie qui sous-tend le DNS peut être comparée à la manière dont les contacts téléphoniques sont gérés sur les smartphones. Au lieu de devoir se souvenir des numéros de téléphone individuels, les utilisateurs peuvent les stocker et les localiser facilement en les enregistrant dans leurs listes de contacts, qui sont facilement consultables par nom et prénom.

La technologie de traduction qui sous-tend le DNS a également complètement défini la manière dont les entreprises utilisent l'Internet, notamment lorsqu'elles créent leur identité de marque et se présentent à leurs clients. Sans l'utilisation d'un système de nom de domaine, les clients risqueraient de perdre rapidement la trace des sites Web qu'ils recherchent. Et tandis que les adresses IP peuvent changer de temps en temps, les noms de domaine sont faciles à retenir et restent cohérents.

Il est important de faire la différence entre l'utilisation d'un DNS public et d'un DNS privé.

• DNS public :   Les enregistrements IP sont généralement fournis à votre entreprise par votre fournisseur de services Internet. Ces enregistrements sont à la disposition du public et tout le monde peut y accéder, quel que soit l'appareil utilisé ou le  réseau  auquel les utilisateurs sont connectés.
  
  
• DNS privé : un DNS privé est différent d'un DNS public dans la mesure où il réside derrière un pare-feu d'entreprise et ne contient que les enregistrements des sites internes. Dans ce cas, le DNS privé se limite à mémoriser les adresses IP des sites et services internes utilisés et ne peut être consulté en dehors du réseau privé.

Dans la majorité des cas, les utilisateurs utilisent le DNS public pour convertir les noms d'hôtes en adresses IP. Voici une présentation générale du fonctionnement de ce processus :

1. Un utilisateur saisit un nom de domaine ou une URL (par exemple,  www. example.com) dans un navigateur. Celui-ci envoie alors une requête à un serveur DNS local, généralement fourni par un système d'exploitation local ou par votre fournisseur d'accès Internet. Cet intermédiaire entre le client et le serveur de noms DNS s'appelle un programme de résolution récursif dont la fonction est de demander et de recevoir du client les informations du serveur de noms interrogé.
   
   
2. Le programme de résolution récursif demande une requête, qui est transmise aux serveurs de noms racine qui répondent en indiquant le serveur de noms TLD approprié vers lequel la requête doit être dirigée, en fonction de l'extension du nom de domaine recherché. Les serveurs de noms racine sont également supervisés par l'ICANN (Internet Corporation for Assigned Names and Numbers). Le serveur de noms TLD est celui qui détient toutes les informations sur les URL qui se terminent par des extensions courantes de type .com, .net, .edu et .gov.
   
   
3. En raison du volume de recherches DNS effectuées régulièrement, un programme de résolution récursif est utilisé pour regrouper les demandes de recherche en lots qui identifient le DNS faisant autorité avec l'adresse IP correcte, en fonction de la requête de recherche effectuée. Le serveur de noms faisant autorité est généralement la dernière étape d'une recherche DNS. Lorsqu'un programme de résolution récursif a obtenu une réponse du serveur de noms TLD, il accède alors à un serveur de noms faisant autorité où se trouve l'adresse IP à renvoyer au client.

Le DNS est devenu essentiel à la fonctionnalité de base de l'Internet, en aidant les utilisateurs à naviguer facilement dans un océan d'adresses IP au moyen d'enregistrements de ressources. Sans ces processus essentiels, il serait pratiquement impossible de prendre en charge toutes les fonctionnalités que nous utilisons au quotidienn en ligne. Nos capacités seraient également limitées lorsque nous devons mettre en place des services de messagerie, des redirections de sites Web ou de reconnaître des adresses Web IPv4 et IPv6 complexes. Toutefois, ce qui rend les recherches DNS remarquables, c'est que, quelle que soit la complexité du processus, toutes les requêtes de recherche et les redirections de serveurs s'effectuent en quelques millisecondes, sans impact côté client . 

De nombreuses organisations considèrent qu'il est avantageux de posséder leurs propres serveurs DNS. Cette approche présente plusieurs avantages, mais en fin de compte, il s'agit de disposer d'une meilleure cohérence et d'un meilleur contrôle de vos propres propriétés Web. Comme vous êtes l'administrateur du serveur, vous pouvez définir tous les paramètres de vos machines, y compris les processus de recherche, les protocoles de sécurité et les capacités de performance.

Lorsque vous décidez du type de serveur DNS à utiliser, deux des considérations les plus importantes sont l'évolutivité et les performances du serveur. La rapidité avec laquelle un serveur DNS répond aux requêtes dépend d'un certain nombre de variables, notamment la situation géographique de l'utilisateur par rapport au serveur, les configurations  d'équilibrage de charge  et le filtrage des requêtes.

Les utilisateurs ont également la possibilité d'utiliser une solution DDI, une plate-forme centralisée qui intègre et gère tous les services DNS, DHCP et IPAM. La solution DDI permet aux entreprises de simplifier et d'automatiser la gestion de volumes croissants d'adresses IP, tout en assurant une mise à disposition et une intégration adéquates des autres systèmes d'orchestration cloud.

Si la plupart des serveurs DNS modernes sont assez sûrs, les systèmes plus anciens, conçus il y a de nombreuses années, peuvent présenter des problèmes de sécurité. Voici   quelques risques courants associés à l'utilisation de ces serveurs DNS .

Détournement de DNS
 

Également connu sous le nom d'attaque par redirection, le détournement de DNS se produit lorsque des requêtes DNS sont résolues incorrectement et redirigent les utilisateurs vers des sites Web factices et malveillants. Pour ce faire, des logiciels malveillants sont installés sur les ordinateurs des utilisateurs et prennent le contrôle des routeurs ou détournent les communications DNS au fur et à mesure qu'elles se produisent.

Empoisonnement du cache
 

L'empoisonnement du cache DNS se produit lorsqu'un pirate prend le contrôle d'un serveur DNS lui-même et compromet les entrées d'adresses IP. Ces entrées factices sont ensuite diffusées à l'échelle mondiale aux fournisseurs de services Internet, où elles sont mises en cache et utilisées dans les recherches DNS publiques.

L'un des moyens de lutter efficacement contre ces risques consiste à utiliser DNSSec. DNSSec utilise un système de noms de domaine sécurisé et attribue des signatures cryptographiques aux enregistrements DNS, ce qui garantit que les enregistrements ne peuvent pas être modifiés par rapport à leur état d'origine. À l'instar de HTTPS, DNSSec ajoute une couche supplémentaire de sécurité pour accéder aux enregistrements DNS sans qu'il soit nécessaire de recourir à un chiffrement lourd qui ralentit le processus d'interrogation.

Quel que soit le type de services DNS que vous choisissez d'utiliser, il existe plusieurs bonnes pratiques que vous pouvez appliquer pour éviter de présenter une surface d'attaque et pour atténuer tout problème de sécurité potentiel :

1. Nettoyage du DNS : En vidant régulièrement votre cache DNS, vous supprimez toutes les entrées sur votre système local. Ce processus est utile pour supprimer tout enregistrement DNS non valide ou compromis qui pourrait vous diriger vers des sites malveillants.
   
   
2. nslookup : nslookup  est un programme et un code de commande qui peuvent être utilisés par les administrateurs de serveurs pour trouver l'adresse IP d'un nom d'hôte. Il permet aux utilisateurs de se protéger contre les attaques par hameçonnage et de confirmer à la demande la validité des sites qu'ils visitent.
   
   
3. Test de fuites DNS :  il existe plusieurs services gratuits permettant d'effectuer un  test de fuite DNS  (lien externe au site ibm.com). Lorsque vous utilisez des VPN sécurisés ou des services de confidentialité, il peut arriver qu'ils soient mal configurés et que les serveurs DNS par défaut soient toujours utilisés. La conséquence est que toute personne surveillant le trafic réseau pourra toujours enregistrer votre activité à des fins malveillantes. L'exécution d'un test de fuite DNS vous permettra de vous assurer que votre tunnel VPN est fermé et que votre trafic réseau reste sécurisé.