Analyse service DNS

Besoin Technique

L'entreprise a besoin d'assurer l'accès des différents postes de la société aux services internes et externes. Il faudra donc veiller à la mise en place d'un résolveur, SOA interne et externe pour assurer la résolution des noms de domaines en adresses ip compréhensible par la machine.

Identification et comparaison des solutions possibles

Solutions possibles

• Powerdns: Powerdns est un produit divisé en trois logiciels open source vendu séparément les uns des autres. Nous avons un serveur dans récursif et celui-ci faisant autorité ainsi qu'un logiciel DNSDIST(améliorant la circulation). La société Powerdns fut fondée dans les années 90 et fait depuis 2015 parties d'Open-Xchange, une société de développement existant depuis 2005.
• Unbound: résolveur DNS récursif, Unbound a été développé par "NLnet Labs, Verisign Inc., Nominet et Kire" et est apparu en 2007. Il est distribué sous licence BSD
• Bind: selon Wikipédia, bind est apparu en 1984 et est actuellement développé par l'internet Systems Consortium. Il est le serveur DNS le plus utilisé sur internet (79% des serveurs en 2008).

Comparatif

• Les trois logiciels sont Open Source et gratuit
• Plates-formes: BIND est prévu à l'origine pour toutes les plates-formes UNIX. Au fil du temps et après de nombreuses mises à jour, il est maintenant aussi utilisable sur toutes les plates-formes. Unbound lui aussi était prévu pour UNIX mais a évolué pour être utilisable sur Windows. Seul Powerdns n'est toujours qu'utilisable sur UNIX.
• Serveur récursif et/ faisant autorité: sur ce point, Unbound est désavantagé. Il est la seule des trois à ne faire que serveur récursif la ou les autres font aussi autorité. Sur les deux derniers, il y a un léger avantage pour BIND qui propose dès le début les deux types alors que Powerdns lui les propose aussi mais en deux versions séparées.
• Interface d'utilisation: Les trois technologies sont faites pour travailler en ligne de commande. Cependant, BIND possède aussi une interface web pour faciliter la gestion du serveur. Unbound aussi propose une autre interface. Ce qui fait que Powerdns est le seul obligeant l'utilisateur à maitriser l'interface en ligne de commande pour être utilisé.
• Documentation: Bind existe depuis très longtemps ce qui rend sa documentation et ses ressources beaucoup plus faciles à trouver mais aussi en plus grande quantité qu'Unbound. Sa communauté est aussi plus présente car BIND est sur encore une grande majorité des serveurs Web actuels. Unbound possède aussi une bonne documentation surtout lorsque nous le comparons à Powerdns qui semble être connu mais dont les ressources et autres documentations semblent impossibles à trouver.

Choix de la solution

Nous avons choisi de travailler avec Bind9 pour les raisons suivantes;

• Étant encore considéré comme l'un des meilleurs logiciels de serveur DNS avec une grande communauté, nous avons accès à de nombreux documents pour nous aider à la configuration, contrairement à Unbound parc son existence plus récente et Powerdns par son manque de documentation.
• BIND, contrairement à beaucoup d'autres logiciels qui sépare les deux services, peut être utilisé à la fois comme serveur de noms faisant autorité et comme serveur de noms récursif. Comme énoncé dans les comparaisons, Powerdns en est capable aussi mais demandé l'achat de logiciels supplémentaire.
• Il possède aussi différentes fonctionnalités avancées comme les transferts IPv6, DNSSEC, TIG,... .
• Grâce aux nombreuses évolutions, BIND est utilisables sur de nombreuses plates-formes.

Eléments de configuration

Pour le SOA externe

• Créer le Dockerfile
• Installer les différents services nécessaire dans le Dockerfile (Bind9, dnsutils, bind9utils, bind9-doc)
• Activation de l'ipv4 grâce à la commande 'sed'
• Création d'un répertoire contenant les fichiers de configurations, éditing de ces fichiers pour que la configuration corresponde aux besoins.
• Création d'un fichier de zone pour le domaine "l1-5.ephec-ti.be"
• Ajout des ressources record pour le ns, web (www,b2b), mail, et VoIP.
• Rendre le NS joignable sur le port 53 TCP et UDP.
• Faire répondre le NS aux requêtes DNS de la zone l1-5.ephec-ti.be. mais pas d'autres zones
• Configurer la délégation pour le SOA externe.
• Copier les fichier de configuration dans le container docker.
• Activer le Glue Record grâce au nom de domaine, au nsRecord et à l'adresse ip
• Lancer le container docker.

Pour le SOA interne

• Créer le Dockerfile
• Installer les différents services nécessaire dans le Dockerfile (Bind9, dnsutils, bind9utils, bind9-doc)
• Activation de l'ipv4 grâce à la commande 'sed'
• Création d'un répertoire contenant les fichiers de configurations, éditing de ces fichiers pour que la configuration corresponde aux besoins.
• Création d'un fichier de zone pour le domaine "woodytoys.local"
• Ajout des ressources record pour le ns, web (intranet)
• Rendre le NS joignable sur le port 53 TCP et UDP.
• Faire répondre le NS aux requêtes DNS interne du réseau.
• Ne pas répondre aux requêtes venant de l'extérieur du réseau
• Pas de délégation pour le SOA interne
• Copier les fichier de configuration dans le container docker.
• Lancer le container docker.

Schéma réseau

Source

• https://wiki.debian.org/fr/Bind9
• https://computingforgeeks.com/bind-vs-dnsmasq-vs-powerdns-vs-unbound/