A l’occasion d’une rencontre avec la société Nominum, éditeur d’un serveur DNS commercial, nous avons pu aborder son approche de DNS filtrant, jusqu’ici essentiellement commercialisé auprès des fournisseurs d’accès mais, d’après ses indications, qui devrait être décliné prochainement pour l’entreprise.

La solution consiste en un serveur central chargé de fédérer plusieurs listes noires publiques ou privées (configurables par l’administrateur) qui fait office de DNS autoritaire pour tous les autres DNS cache déployés au sein du réseau. Les requêtes vers les caches sont validées en temps réel auprès des différentes listes noires via le serveur autoritaire central. En cas de concordance, des politiques centrales permettent de diriger le client vers, par exemple, un portail d’information ou un site de mise à jour, quel que soit le serveur cache qu’il a interrogé.

La solution permet ainsi d’utiliser conjointement les listes de noires de spam email (Spamhaus , par exemple) et de sites de phishing (PhishTank ) directement au niveau du DNS, tout en bénéficiant de fonctionnalités avancées comme la non-résolution d’adresses générées par des vers (après avoir isolé l’algorithme de génération des URL utilisé par le ver, l’éditeur fournit une mise à jour afin de les bloquer de manière générique).

De telles fonctionnalités n’ont rien de très original (elles sont, notamment, fournies gratuitement par un service tel OpenDNS ), mais la solution de Nominum permet leur internalisation et un déploiement probablement simplifié.