Les advertisers DNS permettent à quiconque de résoudre des adresses pour vos hôtes ouverts au public, comme vos serveurs Web, FTP et mail. Comme ces serveurs sont les plus exposés aux attaques, il faut sélectionner soigneusement l’information qu’ils offriront. Les advertisers ne devraient contenir des informations que sur des hôtes
Configurer les advertisers
accessibles au public et ne devraient jamais contenir d’adresses IP privées.
Vous devriez aussi configurer vos advertisers de telle sorte qu’ils ne partagent une information de zone qu’avec vos autres advertisers DNS. Beaucoup d’entreprises utilisent leur FAI pour héberger des enregistrements DNS publics : dans ce cas, vous n’avez pas beaucoup de contrôle sur la configuration DNS. En revanche, si vous hébergez vos propres serveurs DNS publics, vous pouvez utiliser DNSCmd, l’un des outils de support dans Support.cab, que vous trouverez dans le répertoire \support\tools sur le CD-ROM Windows Server 2003.
Tout d’abord, vous allez configurer l’advertiser pour n’écouter qu’une adresse IP unique. Ainsi, supposons que votre serveur DNS public ait une adresse IP publique de 192.0.34.166. Vous utiliseriez alors la commande
dnscmd resetlistenaddresses 192.0.34.166
Ensuite, vous allez désactiver la récursion afin que le serveur DNS ne réponde aux requêtes que dans ses propres zones. Pour cela, utilisez la commande dnscmd /Config /NoRecursion 1 L’étape suivante consiste à faire du serveur DNS un serveur racine en ajoutant la zone racine. Si un serveur croit être un serveur racine, il suppose qu’il sait déjà tout ce dont il a besoin et, par conséquent, n’essaiera jamais de contacter d’autres serveurs DNS.
Vous utiliseriez alors la commande
dnscmd /ZoneAdd . /Primary
Comme ce serveur est un serveur DNS face au public, il est fortement conseillé de mettre en place quelques autres restrictions pour se prémunir contre de futures attaques. En premier lieu, utilisez la commande suivante pour que le serveur DNS n’utilise plus le protocole RPC : dnscmd /Config /RPCProtocol 0
Deuxièmement, si tous vos noms de zones sont strictement constitués de caractères ANSI (c’est-à-dire s’ils ne contiennent aucun caractère spécial ou étranger), vous pouvez configurer le serveur de noms de manière qu’il ne traite que les noms conformes à RFC.
Pour cela, utilisez la commande
dnscmd /Config /NameCheckFlag 0
Troisièmement, pour empêcher tout abus de votre serveur DNS, vous pouvez définir une limite sur le nombre d’enregistrements hôtes qu’il peut renvoyer pour chaque requête. La commande suivante définit un minimum de cinq enregistrements : dnscmd /Config /AddressAnswerLimit 5
Téléchargez cette ressource
Guide inmac wstore pour l’équipement IT de l’entreprise
Découvrez toutes nos actualités à travers des interviews, avis, conseils d'experts, témoignages clients, ainsi que les dernières tendances et solutions IT autour de nos 4 univers produits : Poste de travail, Affichage et Collaboration, Impression et Infrastructure.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Baromètre de la Transformation digitale 2024 en France
- Le secteur financier reste dans la ligne de mire des cyberattaquants
- CyberPatriot ®, le SOC de dernière génération de CHEOPS TECHNOLOGY
- L’IA comme levier d’évangélisation du COMEX à la cybersécurité
- Intégration et utilisation de l’IA en 3 conseils clés
