> Tech > Configurer les advertisers

Configurer les advertisers

Tech - Par iTPro - Publié le 24 juin 2010
email

Les advertisers DNS permettent à quiconque de résoudre des adresses pour vos hôtes ouverts au public, comme vos serveurs Web, FTP et mail. Comme ces serveurs sont les plus exposés aux attaques, il faut sélectionner soigneusement l’information qu’ils offriront. Les advertisers ne devraient contenir des informations que sur des hôtes

accessibles au public et ne devraient jamais contenir d’adresses IP privées.

Vous devriez aussi configurer vos advertisers de telle sorte qu’ils ne partagent une information de zone qu’avec vos autres advertisers DNS. Beaucoup d’entreprises utilisent leur FAI pour héberger des enregistrements DNS publics : dans ce cas, vous n’avez pas beaucoup de contrôle sur la configuration DNS. En revanche, si vous hébergez vos propres serveurs DNS publics, vous pouvez utiliser DNSCmd, l’un des outils de support dans Support.cab, que vous trouverez dans le répertoire \support\tools sur le CD-ROM Windows Server 2003.

Tout d’abord, vous allez configurer l’advertiser pour n’écouter qu’une adresse IP unique. Ainsi, supposons que votre serveur DNS public ait une adresse IP publique de 192.0.34.166. Vous utiliseriez alors la commande
dnscmd resetlistenaddresses 192.0.34.166

Ensuite, vous allez désactiver la récursion afin que le serveur DNS ne réponde aux requêtes que dans ses propres zones. Pour cela, utilisez la commande dnscmd /Config /NoRecursion 1 L’étape suivante consiste à faire du serveur DNS un serveur racine en ajoutant la zone racine. Si un serveur croit être un serveur racine, il suppose qu’il sait déjà tout ce dont il a besoin et, par conséquent, n’essaiera jamais de contacter d’autres serveurs DNS.

Vous utiliseriez alors la commande
dnscmd /ZoneAdd . /Primary

Comme ce serveur est un serveur DNS face au public, il est fortement conseillé de mettre en place quelques autres restrictions pour se prémunir contre de futures attaques. En premier lieu, utilisez la commande suivante pour que le serveur DNS n’utilise plus le protocole RPC : dnscmd /Config /RPCProtocol 0

Deuxièmement, si tous vos noms de zones sont strictement constitués de caractères ANSI (c’est-à-dire s’ils ne contiennent aucun caractère spécial ou étranger), vous pouvez configurer le serveur de noms de manière qu’il ne traite que les noms conformes à RFC.

Pour cela, utilisez la commande
dnscmd /Config /NameCheckFlag 0

Troisièmement, pour empêcher tout abus de votre serveur DNS, vous pouvez définir une limite sur le nombre d’enregistrements hôtes qu’il peut renvoyer pour chaque requête. La commande suivante définit un minimum de cinq enregistrements : dnscmd /Config /AddressAnswerLimit 5

Téléchargez gratuitement cette ressource

Guide de Services Cloud Managés

Guide de Services Cloud Managés

Accélérer votre transformation digitale, protéger et sécuriser vos environnements Cloud avec les offres de support, d'accompagnement et de services managés. Découvrez le TOP 3 des Services Managés pour accompagner la transformation de vos environnements Cloud, gagner en agilité et en sécurité dans un monde d'incertitudes.

Tech - Par iTPro - Publié le 24 juin 2010