09-15 = OpenDNS

Je dois avouer apprécier de plus en plus le service de résolution de noms proposé par OpenDNS, du moins pour un usage personnel, et en particulier pour les machines utilisées par ma famille. J’étais pourtant dubitatif sur l’intérêt d’un tel service n’aimant pas réellement l’idée de se voir proposer un écran d’aide en cas d’erreur de résolution, et encore moins que les requêtes issues de mon réseau viennent alimenter les bases de données de cet opérateur. Le temps faisant peu à peu son travail, et les risques de tomber sur des sites dangereux augmentant chaque jour un peu plus, mes réticences ont finalement cédé le pas à la sagesse.

Pour tirer pleinement profit des fonctionnalités de filtrage, il est nécessaire de créer un compte, de déclarer le ou les réseaux utilisant le service, de les nommer et d’affecter à ceux-ci une stratégie de filtrage. Celle-ci pourra être sélectionnée parmi 5 niveaux prédéfinis ou être configurée sur mesure. La déclaration du réseau se fait sur la base du plan d’adressage public du réseau, en règle générale, l’adresse IP du point d’accès.

OpenDNS propose un mécanisme (compatible avec le protocole DynDns2) permettant de mettre à jour automatiquement cette adresse dans le cas d’un adressage dynamique, et optionnellement de relayer cette mise à jour vers les services de DNS dynamiques - ou DDNS - les plus connus tel DynDNS.org. Une fonctionnalité très intéressante car totalement compatible avec le mécanisme de mise à jour dynamique embarqué dans la plupart routeurs d’accès mais qui requiert cependant de confier au service OpenDNS, qui joue ici le rôle d’intermédiaire – ou Proxy, les données de connexion aux autres services.

Dans le cas d’un routeur d’accès n’autorisant pas la configuration de plusieurs services DDNS, l’alternative sera de disposer au sein du réseau d’un équipement en permanence sous tension, un serveur WEB par exemple, sur lequel un service de mise à jour sera activé et configuré pour superviser tous les services DDNS et le service OpenDNS. En temps normal, celui-ci n’assurera que la mise à jour du service OpenDNS, les services DDNS ayant été mis à jour par le routeur. L'utilitaire 'ddclient' assure parfaitement cette fonction sur mon système FreeBSD.

Le point de faiblesse de cette configuration est, qu’en cas de défaillance de cet équipement, la mise à jour de l’adresse IP courante dans la base OpenDNS ne sera plus effectuée. Les filtres associés au réseau - lequel est identifié par l’ancienne adresse IP - ne seront alors plus actifs ! On notera à ce propos que rien ne peut interdire qu’une stratégie de filtrage établie pour un réseau ayant changé d’adresse soit appliquée à un autre réseau ayant récupéré cette adresse. Cette situation ne pourra cependant intervenir qu’à la condition qu’aucun des deux réseaux n’ait notifié le service du changement de leur adresse IP.

OpenDNS vient d’annoncer l’ouverture d’un point de présence à Amsterdam, portant ainsi à deux, avec Londres, les points de présence sur le vieux continent. L’utilisation du mécanisme de routage Anycast permettra d’optimiser le traitement des 14 milliards de requêtes servies par jour depuis juillet dernier.

Je trouve particulièrement intéressante la photo de la baie embarquant tous les équipements de ce point de présence accompagnant l'article publié par OpenDNS. Celle-ci permet de mieux appréhender ce que représente techniquement un tel point de présence, trois fois rien: une machine de gestion, son switch et un routeur Juniper interconnectant douze serveurs répartis sur quatre châssis.


Photo accompagnant l'annonce OpenDNS