DNS Flag day

Améliorer le DNS pour plus de sécurité, vitesse et fiabilité

Un engagement continu
pour améliorer le DNS

Depuis plus de vingt ans, Infoblox rend les réseaux plus sécurisés, fiables et simples. Ce faisant, la plateforme Infoblox DDI est devenue la norme du secteur en matière de visibilité du réseau, de haute disponibilité, de scalabilité, d'automatisation et de contrôle. Le DNS est au cœur de tout ce que nous faisons et la raison pour laquelle nous soutenons le DNS Flag Day.

Qu'est-ce que
le DNS Flag Day ?

Le DNS Flag Day est une initiative de la communauté visant à rendre le protocole DNS plus sûr, plus fiable et plus résilient, et à améliorer les performances et l'opérabilité en supprimant les solutions de contournement des lacunes du DNS.

Les objectifs clés

DNS Flag Day 2020

Éviter la fragmentation des messages DNS
Améliorer la fiabilité du DNS
Renforcer la sécurité sur Internet

DNS Flag Day 2019

Obtenir plus rapidement une résolution des noms
Harmoniser l’implémentation des serveurs DNS chez les fournisseurs et les opérateurs
Lancez de nouvelles fonctionnalités et mesures de sécurité
Rationaliser les mises à niveau

« Infoblox soutient le DNS Flag Day 2020 (comme nous l'avons fait pour le premier DNS Flag Day en 2019). Avec la sortie de NIOS 8.5.1, nous avons modifié les paramètres par défaut de nos serveurs DNS afin d'envoyer des messages DNS qui ne causeront pas de fragmentation sur la plupart des réseaux. Cela aide nos clients en rendant le DNS sur Internet plus fiable et plus sécurisé. »

Cricket Liu, architecte DNS en chef, Infoblox

Actualisation du DNS Flag Day 2020

Le DNS Flag Day 2020 a eu lieu le 1er octobre 2020. Ses principaux objectifs étaient de résoudre les problèmes de fiabilité et de sécurité liés à la fragmentation des gros paquets par une simple mise à jour en deux étapes. La première consistait à réduire la taille maximale par défaut de la mémoire tampon EDNS à une valeur inférieure à la plus petite taille de trame IPv6 (1 232 octets) afin d'arrêter complètement la fragmentation IP. La deuxième a résoudre le problème de transmission d’une réponse DNS qui ne s’inscrivait pas dans un paquet UDP sur TCP.

Éviter la fragmentation des messages DNS

DNS utilise généralement de gros paquets pour transférer des messages entre un serveur DNS autoritaire et un serveur DNS récursif via UDP. Lorsque l'unité de transmission maximale est dépassée à n'importe quel moment entre les deux endpoints, le paquet IP est fragmenté ou divisé en plusieurs parties.

Améliorer la fiabilité du DNS

La fragmentation IP échoue souvent et rend la communication peu fiable. L'IPv6 ne fait rien pour arranger les choses : les paquets doivent être fragmentés par l'expéditeur et envoyés avec un message ICMP qui peut facilement être bloqué par un pare-feu mal configuré. Cette fragmentation a un impact sur la fiabilité.

Améliorer la sécurité Internet

La fragmentation IP présente également certains risques pour la sécurité du DNS, car le port UDP du DNS et l'ID de la requête sont transmis dans le premier fragment IP. Cette transmission permet à un pirate d'usurper le deuxième fragment et d'infecter le cache en substituant des fragments malveillants à ceux qui étaient prévus à l'origine. Cette vulnérabilité présente un risque de sécurité potentiellement important, dont les conséquences sont désastreuses.

Déployer Infoblox pour la fiabilité et la sécurité du DNS

Dans NIOS 8.5.1, Infoblox a anticipé ces mises à jour du DNS Flag Day en proposant deux paramètres : 1) la taille maximale d'un datagramme UDP qu'un serveur DNS récursif déclare pouvoir accepter ; et 2) la quantité maximale de données qu'un serveur DNS autoritaire placera dans un message DNS basé sur UDP. Infoblox a également modifié les valeurs par défaut de ces deux paramètres en valeurs qui devraient empêcher la fragmentation sur la plupart des réseaux. Grâce à ces nouvelles valeurs par défaut, les clients d'Infoblox seront prêts pour la norme actualisée lorsque le changement sera mis en œuvre en octobre 2020.

En savoir plus

DNS Flag Day 2020

Centre d'opérations, d'analyse et de recherche sur le DNS (DNS-OARC)

Test de taille de réponse DNS-OARC

Internet Society DNS Flag Day

Internet Systems Consortium DNS Flag Day

Produits associés

DNS, DHCP
et IPAM (DDI)

Unifiez les DNS, DHCP et IPAM dans les centres de données sur site et dans le cloud

DNS, DHCP et IPAM (DDI)

Unifiez les DNS, DHCP et IPAM dans les centres de données sur site et dans le cloud

BloxOne^® DDI

Simplifiez et adaptez l'accès au cloud partout grâce à des services DNS, DHCP et IPAM automatisés et gérés dans le cloud

BloxOne^® DDI

Simplifiez et adaptez l'accès au cloud partout grâce à des services DNS, DHCP et IPAM automatisés et gérés dans le cloud

BloxOne^®
Threat Defense

Déployez rapidement une sécurité DNS sur site, dans le cloud ou en mode hybride partout

BloxOne^® Threat Defense

Déployez rapidement une sécurité DNS sur site, dans le cloud ou en mode hybride partout

Protection
DNS avancée

Protégez l'infrastructure DNS de l'entreprise pour garantir une disponibilité maximale

Protection DNS avancée

Protégez l'infrastructure DNS de l'entreprise pour garantir une disponibilité maximale

Essayez le DDI de niveau entreprise

Obtenez une évaluation

État de maturité de la gestion hybride et multicloud dans la région EMEA

Maturité de la gestion hybride et multi-cloud

DNS Flag day

Un engagement continu
pour améliorer le DNS

Qu'est-ce que
le DNS Flag Day ?