Analyse service DNS - CardinPatson/SysAdmin GitHub Wiki

Besoins techniques

Le client souhaite que ses clients et ses revendeurs puissent accéder aux sites web mis en ligne par la société: le portail public et le site de vente en ligne. Les employés du client doivent être en mesure d'utiliser leur mail à l'extérieur du réseau de l'entreprise. Pour répondre aux besoins du client, il faut mettre en place un serveur de noms (NS) qui fera office de serveur ayant autorité sur la zone M1-3.ephec-ti.be. Ce serveur devra être accessible depuis internet. Il faut prévoir un serveur accessible à partir d'internet et un logiciel DNS. Ce serveur sera le DNS externe du client.

Identification et comparaison des solutions possibles

Descriptif des solutions possibles

Afin de répondre aux besoins du client, nous installerons un logiciel permettant de répondre aux requêtes DNS sur le serveur web de l’entreprise. La zone gérée par ce logiciel contiendra les ressources records des serveurs Web, Mail et VoIP.

Pour assurer la sécurité de la solution, nous utiliserons la version sécurisée du DNS soit DNSSEC.

Un large panel de logiciels DNS est disponible : Power DNS, Bind, Dnsmasq, NSD,Knot DNS, YADIFA, Unbound, djbdn, dbndn, pdnsd, MaraDNS, Posadis...

Deux solutions de déploiement sont envisageables :

  1. Installation dans un conteneur via Docker.
  2. Installation directement sur le serveur VPS.

Comparatif

image

Choix, descriptif précis et justification de la solution

Suite à l'analyse, nous préconisons la solution DNS en utilisant Bind dans un container Docker. En effet, Bind est un logiciel très flexible et complet qui s’adapte aux besoins client tel que la possibilité de répondre aux requêtes IPV6. Il répond également aux besoins de sécurités grâce au module DNSSEC, sans oublier qu’il fait SOA et Résolveur tout en étant gratuit et bien documenté.

Eléments de configuration

Pour installer la solution, voici les étapes qu'il faudra suivre :

  • Installer Docker sur un serveur dans le DMZ.
  • Création de l'image avec le serveur Bind9 .
  • Démarrage du conteneur avec l'image précédemment créée.
  • Création des fichiers de configuration de la zone du NS.
  • Démarrage du service named.
  • Communiquer les ressources records à l'administrateur de la zone parente ephec-ti.be.
  • Sécurisation de l’accès vers le serveur DNS (il doit être accessible que par le port 53).

Sources

https://en.wikipedia.org/wiki/Comparison_of_DNS_server_software

https://stackshare.io/stackups/bind9-vs-powerdns

https://help.ubuntu.com/community/BIND9ServerHowto

https://doc.ubuntu-fr.org/bind9