Sécurisation du service DNS
C'est une attaque qui vise à utiliser les failles dans la configuration DNS ou les faiblesse du protocole DNS afin de répondre à une requête DNS avec une autre adresse IP que celle contenue dans le fichier de zone.
Conséquence : Les utilisateurs sont redirigés vers un autre site web qui peut récolter des informations telles que les logins et mots de passe de l'utilisateur, mais aussi infecter leur machine en propageant un malware.
C'est une attaque dont le principe est d'introduire des données corrompues dans la cache des serveurs DNS dans le but de rediriger les visiteurs d'un site web vers un autre site web.
Conséquence : Les utilisateurs sont redirigés vers un autre site web qui peut récolter des informations telles que les logins et mots de passe de l'utilisateur, mais aussi infecter leur machine en propageant un malware.
C'est une attaque qui vise à surcharger le serveur DNS avec un nombre de requêtes trop volumineux pour le serveur.
Conséquence : Empêche les utilisateurs d'utiliser le service DNS. Il leur sera donc impossible d'accéder au site web ou d'établir un contact avec un serveur, ce qui se traduit part une impossibilité d'utiliser le service voulu ( Mail, VoIP, etc..)
- Mettre en place le DNSSEC
- Empêcher le transfert de zone
- Limiter les adresses autorisées à faire des requête(DDOS)
- Mettre en place de la redondance pour le service DNS
- Vider le cache DNS régulièrement
- Faire les mises à jour lorsqu'elles sont disponibles
- Installation de DNSSEC
- Génération des 2 paires de clés
dnssec-keygen -a NSEC3RSASHA1 -b 2048 -n ZONE [l1-4.ephec-ti.be](http://l1-4.ephec-ti.be/)
dnssec-keygen -f KSK -a NSEC3RSASHA1 -b 4096 -n ZONE [l1-4.ephec-ti.be](http://l1-4.ephec-ti.be/)
- Ajout des clés publiques dans le fichier de zone
$INCLUDE Kl1-4.ephec-ti.be.+007+56543.key
$INCLUDE Kl1-4.ephec-ti.be.+007+57789.key
- Signature du fichier de zone
dnssec-signzone -3 639412ab54f8a8ec -A -N INCREMENT -o [l1-4.ephec-ti.be](http://l1-4.ephec-ti.be/) -t [l1-4.ephec-ti.be](http://l1-4.ephec-ti.be/)
- Modification de named.conf.local pour utiliser le nouveau fichier de zone signé
zone "l1-4.ephec-ti.be" {
type master;
file "/etc/bind/l1-4.ephec-ti.be.signed";
};
- Faire prendre en compte la nouvelle configuration par bind
service bind9 reload
Le paramètre : allow-transfer { none; }; a été ajouté au fichier named.conf.option
apt-get uprgrade bind9
- Les risque de DDOS sont toujours présents, étant donné qu'il est impossible de limiter les adresses autorisées à faire des requêtes DNS car les clients de l'entreprise doivent pouvoir accéder au site web et que les membres de l'entreprise doivent accéder à certains services depuis l'extérieur de l'entreprise. De plus, nous n'avons pas mis en place un deuxième serveur DNS, donc il n'y a pas de redondance.
- Même si nous avons mis à jour bind9, il faudra continuer à le faire dans le futur.
- Le cache est vide car le service vient d'être redémarré. Mais comme pour les mises à jour, c'est dans le futur qu'il faudra faire attention au cache.
