par Tao Zhou
Vous connaissez les principes de base de sécurité de DNS. Vous avez réparti vos serveurs DNS dans différents réseaux et dans des points géographiques divers. Vous utilisez BIND, le logiciel DNS le plus répandu sur Internet, et utilisez une version qui nesouffre pas des vulnérabilités de sécurité découvertes récemment. Mais, ...... le seul fait d'utiliser un service DNS distribué et une nouvelle version BIND ne signifie pas que votre service DNS est immunisé contre des attaques. Pour mieux protéger le service DNS, vous pouvez utiliser les fonctions de sécurité de base de BIND : les paramètres de contrôle d'accès applicables au fichier de configuration d'un serveur BIND DNS. Ces paramètres permettent de restreindre la récursion, d'activer la retransmission, d'établir DNS divisé sur un serveur, d'autoriser ou de rejeter des requêtes, d'empêcher des communications avec certains serveurs, de restreindre des transferts et des mises à jour de zones, et de camoufler la version de BIND utilisée. Cependant, avant d'appliquer ces paramètres, il faut connaître les diverses versions de BIND.
Sécurisez votre service BIND DNS
BIND a été pendant longtemps une méthode répandue de résolution d’adresses IP et de noms d’hôtes Internet. L’ISC (Internet Software Consortium) développe et maintient des codes source BIND, téléchargeables gratuitement à ftp://ftp.isc.org. Les trois générations de BIND sont BIND 4, BIND 8, et BIND 9 ; au moment où nous écrivons cet article, les versions les plus récentes sont BIND 4.9.8, BIND 8.2.4 et BIND 9.1.3, respectivement. Cependant, l’ISC a annoncé qu’il ne maintiendra plus activement BIND 4 et donc, si vous utilisez cette version, il vaut mieux passer à BIND ou à BIND 9. BIND 8.2.3 et ultérieur offrent de nombreuses possibilités importantes, comme DDNS (Dynamic DNS), DNSSEC (DNS Security), TSIG (Transaction Signature) et IXFR (incremental zone transfer). BIND 8.2.3 et ultérieur corrigent également des bogues – y compris les lacunes de sécurité que le CERT Coordination Center (CERT/CC) a publiées – depuis les versions BIND antérieures. BIND 9.1.3 comprend les fonctions de BIND 8.2.3 plus le support d’IPv6, des multiprocesseurs, et des bases de données tierces backend ; de meilleures possibilités DNSSEC; une nouvelle architecture de portabilité et une nouvelle fonction View permettent de diviser le service DNS sur un serveur DNS. Les dernières versions BIND prennent également mieux en charge Windows 2000. (BIND s’exécute essentiellement sur des platesformes UNIX et Linux, mais des développeurs ont porté BIND 8.2.3 et ultérieur sur Win2K ou Windows NT ; par conséquent, vous pouvez utiliser facilement BIND 8 sur des systèmes Win2K et NT, comme l’explique l’encadré « BIND sur Win2K ou NT ». Pour plus d’informations sur le support de Win2K par BIND, voir l’article « Integrating UNIX DNS and Windows 2000 », février 2000. Pour dire à un serveur BIND DNS comment il doit se comporter, BIND utilise un fichier de configuration à base de texte, appelé named.conf dans BIND 8 et BIND 9. (Le fichier de configuration de BIND 4 est appelé named. boot, mais comme BIND 4 n’est plus pris en charge, les exemples de cet article font référence à named.conf.) BIND procure plusieurs réglages de contrôle d’accès élémentaires mais utiles que vous pouvez ajouter aux diverses sections du fichier (options, zone, par exemple) pour sécuriser le service DNS. Le listing 1 présente un exemple de fichier named.conf.
Téléchargez cette ressource
Solutions Cloud & Services Managés Simplifiés
Comment capitaliser sur son existant tout en bénéficiant, dès à présent, des promesses de flexibilité et de scalabilité du cloud ? Découvrez les bonnes pratiques pour répondre aux défis de simplification du Cloud dans ce nouveau TOP 5.
Les articles les plus consultés
- Les 6 étapes vers un diagnostic réussi
- Cybersécurité Active Directory et les attaques de nouvelle génération
- Chiffrements symétrique vs asymétrique
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
Les plus consultés sur iTPro.fr
- Découverte de GPT-4o REALTIME !
- Les leaders mondiaux des télécommunications unissent leurs forces pour redéfinir l’industrie grâce aux API de réseau
- Cybersécurité & Cybermenaces : à qui profite l’IA ?
- Les incidents technologiques sont des signaux d’alarme pour la résilience des infrastructures
- Le spatial dans le viseur des cyberattaquants