Copier les zones DNS publiques localement n’est jamais un bon concept. C’est tout simplement une fausse bonne idée.
Quelle justification ?
Aucune !
Pourquoi ? Parce que tous les arguments pour se disculper d’un tel acte sont tous benêts et foireux. L’impact quant à lui demeure toujours aussi dévastateur au fil du temps.
Le fondamental
Le DNS est un mécanisme standard, normalisé, hiérarchisé et distribué, sur l’intranet et l’internet.
Le terme « hiérarchisé » est mis en exergue plus haut. C’est pour vous exprimer qu’il est important de ne pas copier les zones DNS publiques localement. Il y a plusieurs raisons à cela.
En tant qu’acteur autour du DNS, si vous n’avez n’admettez pas cela, alors il ne faut pas persister puisque vous allez davantage amplifier les anomalies et les écarts. L’autre alternative serait de devenir gardien de phare. Ce sera probablement calme par rapport aux problématiques d’administration ou d’architecture DNS.
Usage
Le DNS est un protocole utilisé pour traduire les noms canoniques en adresses IP et inversement.
Ces noms peuvent être ceux des machines ou ceux des services.
Le DNS agit essentiellement comme un annuaire, c’est d’ailleurs un annuaire, qui permet aux utilisateurs et ordinateurs d’accéder à des ressources. Il offre l’utilisation de noms conviviaux plutôt que des adresses IP. Finalement, il ôte une certaine complexité.
Rappel
Il faut le répéter car ce n’est pas clair pour tout le monde : le DNS est un service essentiel, fondamental et transverse. C’est le soubassement de toute infrastructure informatique.
Le DNS est mondialement normé. Si bien que, les TLD et SLD ne doivent jamais se trouver au sein de vos serveur DNS locaux.
Voilà pourquoi il faut admettre certaines règles.
Pourquoi ne pas copier les zones DNS publiques localement ?
D’abord, il n’y a rien d’incontournable qui justifie le fait de vouloir copier les zones DNS localement. Les enjeux et les risques dans ce type d’approche approximative sont bien au-delà des simples aspects techniques.
Ensuite, architecturer est une chose, refondre en est une autre 🙈 … souvent, il n’y a plus personne pour mener à bien la refonte. Ainsi, nous pouvons nous poser la question suivante : que font les architectes ?
Autrement, chaque zone DNS contient des informations sensibles. Copier les zones DNS publiques localement ne sera jamais représentatif pour des raison évidente de sécurité. Le contraire reviendrait au registrar ou au propriétaire du domaine à exposer potentiellement certaines informations confidentielles, par exemple ZSK (clé privée DNSSEC).
Les zones DNS sont mises à jour régulièrement pour refléter en temps réel l’état réel de l’infrastructure. Copier les zones DNS publiques localement nécessiterait une maintenance superflue et constante in fine pour synchroniser les modifications. Par ailleurs, cela est propice aux erreurs. Il faut pouvoir bénéficier d’une bonne mise à jour des informations sans s’écrouler sous la maintenance, la recopie 😊.
Copier les zones DNS publiques sans autorisation peut constituer une violation les droits de propriété intellectuelle des propriétaires des domaines. En outre, il y a des risques encourus vis-à-vis du respect des politiques de propriété intellectuelle.
Enfin, les fournisseurs de services DNS publics ont des infrastructures redondantes et distribuées, i.e. une haute disponibilité et performance optimale. Copier introduirait des points éventuels de défaillance. Cette situation peut affecter les performances et les possibilités du système DNS local. Bref, c’est du non-sens de dégrader les redondances et les performances natives.
Au lieu de copier les zones DNS publiques localement, miser sur la transmission récursive des requêtes DNS est largement plus judicieux. Cela constitue une utilisation sûre et efficace des DNS publiques.
Finalité du DNS
Résoudre est la finalité du DNS. C’est le point clé de tout système informatique.
A titre d’exemple, lorsqu’un utilisateur saisit un nom de domaine dans son navigateur, le système d’exploitation envoie une requête DNS à un serveur DNS récursif pour obtenir l’adresse IP associée. Ce dernier questionne ensuite les serveurs DNS autoritaires appropriés pour résoudre la requête. Celle-ci, une adresse IP concrètement, peut maintenant être retournée au client (le navigateur en question).
C’est juste la classe !, autrement dit : simple, naturel, sans aucune effort particulier et efficace.
La question ?
Pourquoi casser cette simplicité tout en introduisant des failles et des erreurs ? 🤔
Conclusion
En résumé, le DNS est un élément fondamental de l’infrastructure réseau.
Il facilite clairement la navigation et la communication au sein des réseaux des entreprises et du réseau mondial.
En consequence, il doit être adossé essentiellement au principe de la récursivité des requêtes.