Découvre le système DNS

🌘 Découvre le système DNS

Ton entreprise à surement son propre nom de domaine que tu t'es procuré chez un registraire. Le nom de domaine est un élément souvent important d'une marque et de la visibilité de notre entreprise sur le web. C'est pourquoi c'est important de le protéger.

Premièrement, je vais te demander de t'assurer que ton registraire (GoDaddy, Namecheap, Gandi, OVH, ...) ou ton hébergeur de site web (Web Hosting Canada, Host Papa, GoDaddy, OVH, Wix, Squarespace ...) où tu as configuré ton domaine utilise une authentification à double facteur.

Un domaine peut être la cible de plusieurs types d'attaques, allant même jusqu'à risquer de te le faire voler !

🌘 C'est quoi, le système DNS ?

Le système DNS est un ensemble de serveurs qui permettent de retrouver où est hébergé un site web à partir de son nom de domaine. Son travail est de traduire un domaine lisible par l'humain en une adresse qui peut être comprise par un ordinateur, c'est à dire l'adresse IP (Internet Protocol).

Les serveurs DNS servent aussi à créer des sous-domaines et à inscrire plusieurs enregistrements permettant de prouver que tu es bien le ou la propriétaire du domaine auprès de certains fournisseurs, dont Google, Bing et Pinterest ainsi que les autorités de certification qui émettent des certificats TLS pour le protocole HTTPS (le petit cadenas dans la barre d'adresse).

Il y a 4 types de serveurs DNS impliqués dans le chargement d'un site web:

Le DNS récursif: c'est celui qui reçoit la première demande et qui va faire d'autres demandes successivement pour répondre à la requête qui est de trouver l'adresse IP du serveur qui correspond au domaine
Le serveur racine. C'est un serveur qui va identifier où trouver l'information pour les domaines racines (Top-Level Domains) tels que .ca, .fr et .com
Le serveur du nom de domaine racine: c'est le serveur qui contient l'information pour les domaines d'un domaine racine en particulier, par exemple le domaine .ca
L'autorité du nom de domaine. C'est généralement le serveur qui est le premier à recevoir les informations que tu vas fournir à ton registraire de nom de domaine. Ce peut aussi être un serveur privé appartenant à une entreprise qui a plusieurs domaines, par exemple Google.

Ces serveurs travaillent ensemble pour résoudre une requête DNS de façon collaborative. Une requête se fait généralement en 8 étapes:

Un navigateur web envoie une adresse tapée dans la barre d'adresse et est reçue par un serveur DNS récursif.
Ce serveur DNS récursif envoie une requête à un serveur racine
Le serveur racine envoie l'adresse du serveur du nom de domaine racine
Le serveur DNS récursif envoie une requête au serveur du nom de domaine racine
Le serveur du nom de domaine racine envoie l'adresse du serveur de noms d'autorité qui contient les enregistrements du domaine
Le serveur DNS récursif envoie une requête au serveur de noms d'autorité
Le serveur de noms d'autorité renvoie l'adresse IP du domaine demandé à l'étape 1
Le serveur DNS récursif envoie l'adresse IP au navigateur web

🌘 Trouver quel serveur DNS contient les informations sur ton domaine

La première chose qu'un navigateur fait, c'est interroger un serveur DNS racine pour savoir où se trouve les informations sur le domaine de premier niveau. Ici, on parle du .com, .ca, .fr, ... Chaque domaine de premier niveau a des serveurs, situés principalement chez les registraires de noms de domaine.

Sur Linux, on peut utiliser la commande DiG pour trouver les informations sur le système DNS. Je vais te partager quelques exemples. Sur Windows, on utilisera plutôt NSLOOKUP. Le système DNS fonctionne avec différents types d'enregistrements. Les plus courants pour nous seront:

A: Adresse IP
CNAME: Nom canonique, équivalent à une redirection
TXT: Information texte
NS: Serveur de nom
SOA: Start of Authority

L'enregistrement qui définit où trouver les informations s'appelle le Start of Authority (SoA). Voici l'enregistrement pour le domaine de premier niveau .ca

On voit que le domaine est géré par admin-dns.cira.ca.

Le CIRA est le responsable des domaines pour le Canada, à qui appartient le .ca

On peut voir cette information avec la commande dig:

dig ca. soa

Pour la France, c'est l'organisme Afnic qui gère le domaine .fr.

Allons ensuite au 2e niveau en trouvant le Start of Authority pour ton domaine

De mon côté, je gère mon nom de domaine depuis mon service de courriel Fastmail.

C'est donc le serveurs DNS de mon hébergeur ns1.messagingengine.com (FastMail) qu'on voit et non celui de mon registraire.

J'ai pu faire ce changement en créant des enregistrements de type NS chez mon registraire (GoDaddy)

🌘 Trouver l'adresse IP du serveur qui répond à son domaine

Si tu as un site web rattaché à ton nom de domaine, nous allons maintenant pouvoir trouver où il se trouve. L'enregistrement qui permet de trouver cette information est de type A.

dig jevalide.ca. a

On peut aussi faire la même chose pour ton serveur de courriels. Lorsqu'on envoie un courriel, il y a aussi une résolution DNS pour savoir où se trouve la boîte de réception. On parle alors d'un enregistrement MX, pour Mail Exchange.

La commande dig suivante permet de le trouver

dig jevalide.ca. mx

dig jevalide.ca mx.png

Comme un serveur DNS sait où trouver tous les sites web via leur nom de domaine, il sait aussi où se trouvent les sites malicieux, et peut prendre action pour t'empêcher d'y accéder. Par contre, cette omniscience a aussi un désavantage: le serveur DNS connaît toute ton historique de navigation. Si tu veux te protéger des deux scénarios, tu voudra probablement utiliser un DNS neutre.

Au Canada, il y a le Bouclier Canadien du CIRA qui offre trois niveaux de protection: privé sans pistage, protégé contre les logiciels malveillants et une version familiale qui bloque aussi la porno.

https://www.cira.ca/fr/bouclier-canadien-de-cira/configure/home-router/

Configuration privée IPv4:

149.112.121.10 et 149.112.122.10

Configuration protégée IPv4:

149.112.121.20 et 149.112.122.20

Configuration famille IPv4:

149.112.121.30 et 149.112.122.30

Un service disponible pour l'Union Européenne est DNS Watch au https://dns.watch/

Voici ses adresses IPv4: 84.200.69.80 et 84.200.70.40

Si tu choisis d'utiliser un service de VPN, ils ont souvent aussi leur propre système de résolution DNS intégré au client ou à l'application mobile.

Je te propose de configurer chacun de tes ordinateurs, ainsi que ton routeur utilisé au bureau. Par contre, je ne te conseille pas de configurer tes appareils mobiles étant donné que les DNS ne sont pas toujours stables sur les réseaux mobiles. Lorsque tu es chez toi ou à ton bureau, c'est ton routeur qui va te protéger.

🌘 Configurer ses serveurs DNS sur Windows

Sur Windows, tu peux changer les adresses du DNS récursif que ton système utilise depuis Paramètres réseau et Internet / Centre réseau et partage

Clique ensuite sur ta connexion en haut à droite, puis sur Propriétés

Clique sur Protocole Internet version 4 (TCP/IPv4)

Tu vas ensuite pouvoir changer les adresses des serveurs DNS à cet endroit, en cliquant sur Utiliser l'adresse de serveur DNS suivante, puis en entrant les deux adresses du service DNS de ton choix.

Configuration privée: 149.112.121.10 et 149.112.122.10
Configuration protégée: 149.112.121.20 et 149.112.122.20
Configuration famille: 149.112.121.30 et 149.112.122.30
DNS Watch (Union Européenne): 84.200.69.80 et 84.200.70.40

🌘 Configurer ses serveurs DNS sur Mac OS

Sur MacOS, depuis les

Préférences système,
Clique sur Réseau,
Puis choisis ton réseau dans le menu de gauche.
Clique ensuite sur Avancé ...

Dans l'onglet DNS, tu peux ajouter des serveurs DNS en cliquant sur le signe +

🌘 Configurer ses serveurs DNS sur Linux

Clique sur ta connexion Internet en bas à droite, puis sur le chevron à droite de Déconnecter. Ensuite sur Configurer.

Dans l'onglet IPv4, tu peux configurer les serveurs DNS

🌘 Ajouter un enregistrement DNS à ton domaine

La chose la plus fréquente à faire, même lorsqu'on fait héberger notre site web sur une plateforme qui prend presque tout en charge, c'est d'ajouter des enregistrements A, TXT ou CNAME.

Ces enregistrements servent généralement à prouver que tu es propriétaire du nom de domaine auprès des entreprises qui fournissent des services d'analytique tel que Google Search Console ou Bing Webmaster Tools.

C'est aussi le cas pour certains services de courriels de masse tel que MailChimp, ConvertKit, MailerLite et PostMark.

🌘 Accède à ton registraire de domaine

Le registraire de domaine est l'endroit où tu as pu te procurer ton nom de domaine. Les plus connus sont GoDaddy, Namecheap et Gandi. Pour chacun des domaines, il y a un espace pour modifier la configuration DNS qui ressemble à ceci.

Chez mon fournisseur FastMail:
- Settings > Domains

Chez NameCheap
- Domain List > Advanced DNS

🌘 Ajouter un enregistrement dans la liste

Choisis le type d'enregistrement demandé
Identifie le sous-domaine. C'est parfois une chaîne aléatoire qui t'es fournie. Sinon généralement, c'est le sous-domaine pour ton site web. Si c'est pour ton domaine principal (dans mon cas, c'est jevalide.ca), tu peux laisser vide.
Entre le contenu de l'enregistrement: pour A, c'est une adresse IP, formée de 4 séquences de nombres séparés de points, pour un enregistrement CNAME, c'est un autre nom de domaine et pour un enregistrement TXT, c'est une chaîne de caractère entre guillemets.
Si c'est demandé, change la durée de validité de l'enregistrement. Sinon, laisse la valeur par défaut de ton serveur de nom. Cette durée, c'est le temps de réaction pour mettre à jour les données sur les autres serveurs de noms qui sont synchronisés au tien. Tu peux mettre 3600 comme valeur si elle est vide.

🌘 Confirmer et enregistrer

Une fois que tu as fait les modifications désirées, enregistre ton travail, puis attend environ 10 minutes avant de prendre action, si on te demandait une vérification chez ton hébergeur ou ton service courriel.

Le système DNS a beaucoup de redondance, mais les temps de propagation des mises à jour peuvent parfois prendre plusieurs heures. Si tu changes l'adresse IP d'un domaine, c'est possible que le site vers lequel elle pointe ne soit plus disponible pour quelques heures.

Donc, un dernier petit conseil, si tu es en pleine promotion, ce n'est pas le temps de jouer avec des enregistrements DNS !

Pleine confiance

Découvre le système DNS