> Tech > Sécurisez votre service BIND DNS

Sécurisez votre service BIND DNS

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par Tao Zhou
Vous connaissez les principes de base de sécurité de DNS. Vous avez réparti vos serveurs DNS dans différents réseaux et dans des points géographiques divers. Vous utilisez BIND, le logiciel DNS le plus répandu sur Internet, et utilisez une version qui nesouffre pas des vulnérabilités de sécurité découvertes récemment. Mais, ...... le seul fait d'utiliser un service DNS distribué et une nouvelle version BIND ne signifie pas que votre service DNS est immunisé contre des attaques. Pour mieux protéger le service DNS, vous pouvez utiliser les fonctions de sécurité de base de BIND : les paramètres de contrôle d'accès applicables au fichier de configuration d'un serveur BIND DNS. Ces paramètres permettent de restreindre la récursion, d'activer la retransmission, d'établir DNS divisé sur un serveur, d'autoriser ou de rejeter des requêtes, d'empêcher des communications avec certains serveurs, de restreindre des transferts et des mises à  jour de zones, et de camoufler la version de BIND utilisée. Cependant, avant d'appliquer ces paramètres, il faut connaître les diverses versions de BIND.

Sécurisez votre service BIND DNS

  BIND a été pendant longtemps une méthode répandue de résolution d’adresses IP et de noms d’hôtes Internet. L’ISC (Internet Software Consortium) développe et maintient des codes source BIND, téléchargeables gratuitement à  ftp://ftp.isc.org. Les trois générations de BIND sont BIND 4, BIND 8, et BIND 9 ; au moment où nous écrivons cet article, les versions les plus récentes sont BIND 4.9.8, BIND 8.2.4 et BIND 9.1.3, respectivement. Cependant, l’ISC a annoncé qu’il ne maintiendra plus activement BIND 4 et donc, si vous utilisez cette version, il vaut mieux passer à  BIND ou à  BIND 9. BIND 8.2.3 et ultérieur offrent de nombreuses possibilités importantes, comme DDNS (Dynamic DNS), DNSSEC (DNS Security), TSIG (Transaction Signature) et IXFR (incremental zone transfer). BIND 8.2.3 et ultérieur corrigent également des bogues – y compris les lacunes de sécurité que le CERT Coordination Center (CERT/CC) a publiées – depuis les versions BIND antérieures. BIND 9.1.3 comprend les fonctions de BIND 8.2.3 plus le support d’IPv6, des multiprocesseurs, et des bases de données tierces backend ; de meilleures possibilités DNSSEC; une nouvelle architecture de portabilité et une nouvelle fonction View permettent de diviser le service DNS sur un serveur DNS. Les dernières versions BIND prennent également mieux en charge Windows 2000. (BIND s’exécute essentiellement sur des platesformes UNIX et Linux, mais des développeurs ont porté BIND 8.2.3 et ultérieur sur Win2K ou Windows NT ; par conséquent, vous pouvez utiliser facilement BIND 8 sur des systèmes Win2K et NT, comme l’explique l’encadré « BIND sur Win2K ou NT ». Pour plus d’informations sur le support de Win2K par BIND, voir l’article « Integrating UNIX DNS and Windows 2000 », février 2000. Pour dire à  un serveur BIND DNS comment il doit se comporter, BIND utilise un fichier de configuration à  base de texte, appelé named.conf dans BIND 8 et BIND 9. (Le fichier de configuration de BIND 4 est appelé named. boot, mais comme BIND 4 n’est plus pris en charge, les exemples de cet article font référence à  named.conf.) BIND procure plusieurs réglages de contrôle d’accès élémentaires mais utiles que vous pouvez ajouter aux diverses sections du fichier (options, zone, par exemple) pour sécuriser le service DNS. Le listing 1 présente un exemple de fichier named.conf.

Téléchargez cette ressource

Guide de réponse aux incidents de cybersécurité

Guide de réponse aux incidents de cybersécurité

Le National Institute of Standards and Technology (NIST) propose un guide complet pour mettre en place un plan de réponse aux incidents de cybersécurité, nous en avons extrait et détaillé les points essentiels dans ce guide. Découvrez les 6 étapes clés d'un plan de réponse efficace aux incidents de cybersécurité.

Tech - Par iTPro.fr - Publié le 24 juin 2010

A lire aussi sur le site

Revue Smart DSI

La Revue du Décideur IT