Skip to content

Sécurisation du service DNS

Jump to bottom
vbrichant edited this page Jun 7, 2022 · 7 revisions

Identification des risques

Spoofing

C'est une attaque qui vise à utiliser les failles dans la configuration DNS ou les faiblesse du protocole DNS afin de répondre a un requête DNS avec une autre adresse IP que celle contenue dans le fichier de zone.

Conséquence : Les utilisateurs sont redirigé vers un autre site web et ce site web peux récolter des informations tel que les logins et mot de passe de l'utilisateur.

Cache poisonning

C'est une attaque dont le principe est d'introduire des données corrompues dans la cache des serveurs DNS dans le but de rediriger les visiteurs d'un site web vers un autre site web.

Conséquence : Les utilisateurs sont redirigé vers un autre site web et ce site web peux récolter des informations tel que les logins et mot de passe de l'utilisateur.

DDos

C'est une attaque qui vise à surcharger le serveur DNS avec un nombre de requête trop volumineux pour le serveur.

Conséquence : Empêche les utilisateur d'utiliser le service DNS et donc d'accéder au site web ou d'établir un contact avec un serveur

Contre-mesures contrant les risques identifiés

  • Mettre en place le DNSSEC
  • Empêcher le transfère de zone
  • Limiter les adresse autorisée à faire des requête(DDOS)
  • Mettre en place de la redondance pour le service DNS
  • Vider le cache DNS régulièrement
  • Faire les mises à jours lorsqu'elle sont disponibles

Choix des contre-mesures et justification.

Nous avons mis en place DNSSEC

  1. Installation de DNSSEC
  2. Génération des 2 paires de clées

dnssec-keygen -a NSEC3RSASHA1 -b 2048 -n ZONE [l1-4.ephec-ti.be](http://l1-4.ephec-ti.be/)

dnssec-keygen -f KSK -a NSEC3RSASHA1 -b 4096 -n ZONE [l1-4.ephec-ti.be](http://l1-4.ephec-ti.be/)

  1. Ajout des clé publique dans le fichier de zone

$INCLUDE Kl1-4.ephec-ti.be.+007+56543.key

$INCLUDE Kl1-4.ephec-ti.be.+007+57789.key

  1. Signature du fichier de zone

dnssec-signzone -3 639412ab54f8a8ec -A -N INCREMENT -o [l1-4.ephec-ti.be](http://l1-4.ephec-ti.be/) -t [l1-4.ephec-ti.be](http://l1-4.ephec-ti.be/)

  1. Modification de named.conf.local pour utiliser le nouveau fichier de zone signé
zone "l1-4.ephec-ti.be" {
        type master;
        file "/etc/bind/l1-4.ephec-ti.be.signed";
};
  1. Faire prendre en compte la nouvelle configuration par bind

service bind9 reload

Nous avons empêcher le transfère de zone

Le paramètre : allow-transfer { none; }; a été ajouté au fichier named.conf.option

Nous avons mis à jour le programme Bind9 grâce a la commande :

apt-get uprgrade bind9

Identification des risques résiduels (non-couverts par des contre-mesures)

  • Les risque de DDOS sont toujours présent étant donné qu'il est impossible de limiter les adresse étant autorisé a faire des requête DNS car les clients de l'entreprise doivent pouvoir accéder au site web et que les membres de l'entreprise doivent accéder a certains services depuis l'extérieur de l'entreprise. De plus nous n'avons pas mis en place un deuxième serveur DNS, donc il n'y a pas de redondance.
  • Même si nous avons mis à jour bind9, il faudra continuer a le faire dans le futur.
  • Le cache est vide car le service vient d'être redémarré. Mais comme pour les mises à jours, c'est dans le futur qu'il faudra faire attention au cache.

#Vérification de DNSsec et du service DNS image image image

Service DNS

Service WEB

Service MAIL

Service Interne

Service VoIp

Prototype

Clone this wiki locally