Sécurisation du service DNS
C'est une attaque qui vise à utiliser les failles dans la configuration DNS ou les faiblesse du protocole DNS afin de répondre a un requête DNS avec une autre adresse IP que celle contenue dans le fichier de zone.
Conséquence : Les utilisateurs sont redirigé vers un autre site web et ce site web peux récolter des informations tel que les logins et mot de passe de l'utilisateur mais aussi infecter leur machine en propageant un malware.
C'est une attaque dont le principe est d'introduire des données corrompues dans la cache des serveurs DNS dans le but de rediriger les visiteurs d'un site web vers un autre site web.
Conséquence : Les utilisateurs sont redirigé vers un autre site web et ce site web peux récolter des informations tel que les logins et mot de passe de l'utilisateur mais aussi infecter leur machine en propageant un malware.
C'est une attaque qui vise à surcharger le serveur DNS avec un nombre de requête trop volumineux pour le serveur.
Conséquence : Empêche les utilisateur d'utiliser le service DNS. Il leur sera donc impossible d'accéder au site web ou d'établir un contact avec un serveur, ce qui se traduit part une imposibilité d'utiliser le service voulut ( Mail, VoIP, etc..)
- Mettre en place le DNSSEC
- Empêcher le transfère de zone
- Limiter les adresse autorisée à faire des requête(DDOS)
- Mettre en place de la redondance pour le service DNS
- Vider le cache DNS régulièrement
- Faire les mises à jours lorsqu'elle sont disponibles
- Installation de DNSSEC
- Génération des 2 paires de clées
dnssec-keygen -a NSEC3RSASHA1 -b 2048 -n ZONE [l1-4.ephec-ti.be](http://l1-4.ephec-ti.be/)
dnssec-keygen -f KSK -a NSEC3RSASHA1 -b 4096 -n ZONE [l1-4.ephec-ti.be](http://l1-4.ephec-ti.be/)
- Ajout des clé publique dans le fichier de zone
$INCLUDE Kl1-4.ephec-ti.be.+007+56543.key
$INCLUDE Kl1-4.ephec-ti.be.+007+57789.key
- Signature du fichier de zone
dnssec-signzone -3 639412ab54f8a8ec -A -N INCREMENT -o [l1-4.ephec-ti.be](http://l1-4.ephec-ti.be/) -t [l1-4.ephec-ti.be](http://l1-4.ephec-ti.be/)
- Modification de named.conf.local pour utiliser le nouveau fichier de zone signé
zone "l1-4.ephec-ti.be" {
type master;
file "/etc/bind/l1-4.ephec-ti.be.signed";
};
- Faire prendre en compte la nouvelle configuration par bind
service bind9 reload
Le paramètre : allow-transfer { none; }; a été ajouté au fichier named.conf.option
apt-get uprgrade bind9
- Les risque de DDOS sont toujours présent étant donné qu'il est impossible de limiter les adresse étant autorisé a faire des requête DNS car les clients de l'entreprise doivent pouvoir accéder au site web et que les membres de l'entreprise doivent accéder a certains services depuis l'extérieur de l'entreprise. De plus nous n'avons pas mis en place un deuxième serveur DNS, donc il n'y a pas de redondance.
- Même si nous avons mis à jour bind9, il faudra continuer a le faire dans le futur.
- Le cache est vide car le service vient d'être redémarré. Mais comme pour les mises à jours, c'est dans le futur qu'il faudra faire attention au cache.
#Vérification de DNSsec et du service DNS
