-
Notifications
You must be signed in to change notification settings - Fork 0
Sécurisation du service Interne
Cette attaque consiste à saisir de fausses informations dans un cache DNS, de sorte que les requêtes DNS renvoient une réponse incorrecte et que les utilisateurs soient dirigés vers les mauvais sites web. Egalement connu sous le nom d'usurpation dns les résolveurs dns n'ont généralement aucun moyen de vérifier les données dans leurs caches
Techniquement les ordinateurs disposent de ressources limitées, puissance de calcul ou mémoire par exemple. Lorsqu'elles atteignent leurs limites, le programme peut se bloquer ou planter, ce qui le rend indisponible. Une attaque DoS consiste donc en diverses technique pour saturer ces ressources et faire en sorte qu'un serveur ou un réseau ne soit disponible pour ses utilisateur légitimes, ou moins pour faire fonctionner le serveur plus lentement
Lorsqu'un pirate est à l'intérieur d'un pare-feu et qu'il a pris le contrôle d'un ordinateur, il peut utiliser le DNS pour trouver des noms de serveur important tels que des serveurs de messagerie ou des serveurs de noms (SOA) et ainsi demander à un serveur DNS interne de leur envoyer un grand nombre d'informations sur les zones de leur dommaine. On appelle ce type d'attaque une attaque par transfert de zone.
Cette vulnérabilité est liés à l'accès en lecture et en écriture sur les fichiers lors de leur ouverture par le protocole smbd. Le logicile va lire ou écrire les données après la fin ou avant le début du tampon prévu.
Cette faille de sécurité est par défaut activer sur la configuration d'origine de samba. Un accès en tant qu'utilisateur non authentifié disposant d'un accès en écriture sur les attributs d'un fichier est nécessare pour exploiter cette vulnérabilité. Si cette condition est remplie, l'attaquant peut exécuter du code malveillant à distance sur le serveur samba.
La contre mesure la plus simple à adopté est d'opter pour un système de journalisme simple ce qui permet d'effectuer une comparaison simple entre la requête et la réponse pour voir si elle correspondent. Cependant pour une configuration optimale au niveau de la sécurité il est recommandé d'opter pour une extension du système de noms de domaine (DNSSEC)
- DNSSEC
C'est une technologie conçue pour lutter contre l'empoisonnement du DNS, et met en place différent niveua de sécurité. Pour entrer dans le détail, DNSSEC utilise la cryptographie à clé publique qui est un moyen de signer les données comme étant authentique et dignes de confiance. cette clé est stockée avec les autres informations DNS et le serveur récursif l'utilise pour vérifier qu'aucune des informations qu'il reçoit n'a été modifiée comme vérification
- Du côté client
Il s'avère nécessaire de mettre en place un certain niveau de sécurité chez le client tel que une sécurisation via SSL qui permet de crypter de bout en bout les requêtes et les réponses .
Augmenter la valeurs de temps de vie(TTL) du cache DNS afin d'éliminer les entrées malveillantes avant qu'elles n'atteignent les utilisateurs finaux
Vider régulierement le cache DNS fait partir d'une bonne pratique qui permet de lutter contre ce type d'attaque
Les différentes façon de se prémunir de ce type d'attaque sont :
-
Faire des mises à jour régulière de votre version de samba et utiliser un version toujours récente
-
Editer le fichiers de configuration principale de samba et enlever les lignes qui font mention du module VFS qui présente cette vulnérabilté. Celà peut en effet poser quelques soucis si vous utilisez des clients Apple
Afin de sécuriser notre résolveur et notre soa internet nous avons opté pour l'installation du DNSSEC qui est la solution la plus approprié etant donnée l'état de configuration de nos serveurs pour son installation on peut se référer à ce lien
Comme dit précedemment il nous suffit de supprimer toutes le ligne qui font référence au module ou la vulnérabilté se trouve (VFS) et mettre à jour régulièrement notre service samba.
Toutefois un autre moyen de se prémunir contre ce type d'attaque est d'enlever les droits en écriture pour les utilisateurs qui sont juste invité et qui ne sont donc pas connecté avec un mot de passe.
Les attaques tels que
- DNS Spoofing
- DDos
- liés aux fichiers de zone
font partie des risques résiduels
https://www.it-connect.fr/samba-une-vulnerabilite-permet-dexecuter-du-code-en-tant-que-root/ https://www.icann.org/resources/pages/dnssec-what-is-it-why-important-2019-03-20-fr#:~:text=Les%20DNSSEC%20renforcent%20l'authentification,par%20le%20propri%C3%A9taire%20des%20donn%C3%A9es. https://www.varonis.com/fr/blog/dns-kezako https://developer.mozilla.org/fr/docs/Glossary/DOS_attack
- Analyse service DNS
- Etat des configurations du service DNS
- Documentation du service DNS
- Sécurisation du service DNS
- Analyse service WEB
- Etat des configurations du service WEB
- Documentation du service WEB
- Sécurisation du service WEB
- Analyse service MAIL
- Etat des configurations du service MAIL
- Documentation du service MAIL
- Sécurisation du service MAIL
- Analyse service Interne
- Etat des configurations du service Interne
- Documentation du service Interne
- Sécurisation du service Interne