Le serveur ROOT DNS J se sépare de A

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
9
nov.
2002
Internet
Suite à l'attaque sur les serveurs ROOT DNS, VeriSign a décidé d'en déménager un, pour une destination physique et virtuelle inconnue, pour des raisons de sécurité. On apprend aussi dans l'article que cela aurait dû être déjà fait il y a 1 an, suite aux attaques du World Trade Center.

Note du modérateur : voir la dépêche précédente pour plus de détails sur l'attaque.

Aller plus loin

  • # Re: Le serveur ROOT DNS J se sépare de A

    Posté par  . Évalué à 5.

    A mon avis, le fait de déménager les serveurs DNS ne fait que repousser à court terme le problème...
    L'expérience a montré que le secret ne garantis pas la sécurité d'un système.

    En fait, c'est la gestion complète du système DNS qui est à revoir... mais je pense que des gens se penchent en ce moment même sur ce problème...
    • [^] # Re: Le serveur ROOT DNS J se sépare de A

      Posté par  . Évalué à 3.

      D'autant que je vois mal comment on va éviter les attaques de type DOS en changeant un serveur de place. A priori c'est sur son adresse IP qu'on se réfère, donc à moins de ne pas lui mettre d'adresse IP (ce qui le rend sensiblement inutile), je ne vois pas ce que ça change.

      Etienne
      • [^] # Re: Le serveur ROOT DNS J se sépare de A

        Posté par  (site web personnel) . Évalué à 5.

        Si A et J sont colocalisés, le trafic du deni de service passe par les mêmes routeurs. On saturant le dernier routeur commun, on bloque les deux serveurs. S'ils sont physiquement éloignés, les deux chemins sont disjoints, et il faut saturer les deux. Ce n'est pas la panacée, mais ça évite de mettre ses oeufs dans le même panier. Dit autrement ça serait dommage de perdre A et J juste parce qu'une pelleteuse a sectionné la fibre optique amenant au dernier routeur (et oui ça arrive).
    • [^] # Re: Le serveur ROOT DNS J se sépare de A

      Posté par  . Évalué à 4.

      A mon avis, le principal intérêt de ce déménagement n'est pas d'éviter un DOS réseau, mais qu'un DOS physique (catastrophe naturelle, attentat genre 11/09/2001, etc.) ne touche les deux serveurs à la fois.
      C'est du reste la raison pour laquelle un domaine doit être géré au minimum par 2 serveurs DNS, si possible n'ayant rien en commun (localisation, réseau de communication...)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.