IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

DNS "Open Resolver", besoin d'explications


Sujet :

Sécurité

  1. #1
    Nouveau candidat au Club
    Homme Profil pro
    Technicien réseaux et télécoms
    Inscrit en
    Janvier 2012
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Technicien réseaux et télécoms

    Informations forums :
    Inscription : Janvier 2012
    Messages : 2
    Par défaut DNS "Open Resolver", besoin d'explications
    Bonjour à tous, je m’appelle Benoit, je suis en formation de technicien réseau et télécommunications, je suis actuellement en stage dans une entreprise ou je dois faire des choses qui sont parfois au delà de mon niveau, et personne n'y ai assez qualifié pour m'aider sur ce coup là, aussi je me tourne vers ce forum.

    Je vous expose le problème :

    On a un domaine hébergé à l'exterieur, disons test.net
    En interne on a un domaine local test.local avec un serveur AD
    On a crée une redirection depuis le site de notre hebergeur de l adresse beta.test.net vers notre ip publique, notre routeur redirige ensuite vers un de nos serveurs local qui heberge un site web, ca fonctionne bien depuis l’extérieur, mais pas depuis l’intérieur, ce qui est normal puisqu'on ne peut pas atteindre notre propre ip publique.

    MAIS il faut quand même que ça soit possible, le site interne est une application asp qui n accepte les connections que depuis l adresse beta.test.net.
    Ici, ils ont deja fait ca pour une autre adresse du genre demo.test.net, j'ai donc copié leur technique, j'ai crée sur notre serveur dns windows 2008 une nouvelle zone primaire beta.test.net, dans laquelle j ai ajoute un host pointant vers l IP interne.
    Ca fonctionne très bien, MAIS, j'ai fais ça hier et aujourd’hui on m'a transféré un mail venant d une autorité du net suisse (je suis en Suisse) indiquant qu une de nos ip publique ouvrait sur un serveur dns recursif, un "openresolver", grosse faille de securité.
    J'imagine que tout ça est lié, a noter que j ai aussi installé un deuxieme controleur de domaine il y a quelques jours, avec un serveur dns répliqué sur le premier.

    Voila donc ce que je comprends : notre serveur est susceptible de répondre a des demandes de résolution de noms venant de l extérieur, et comme je me suis approprié une partie d un domaine existant ailleurs, je rentre dans le jeu en quelque sorte. Je voudrais en fait que mon serveur DNS resolve ces noms de domaines pour mon reseau local uniquement, mais je ne trouve pas comment faire ca avec un seul serveur DNS. Est ce que je dois bloquer la recursivité sur mon serveur dns, mais alors comment resoudra t il les adresses du net ? Est ce que j'aurais du ajouter cette zone en tant que zone secondaire et pas en zone primaire ?

    Bref, je rame, si vous avez des pistes, je suis preneur !

    Merci à vous

  2. #2
    Nouveau candidat au Club
    Homme Profil pro
    Technicien réseaux et télécoms
    Inscrit en
    Janvier 2012
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Technicien réseaux et télécoms

    Informations forums :
    Inscription : Janvier 2012
    Messages : 2
    Par défaut en attendant...
    Dans l'urgence, j'ai opté pour une solution assez pourrie, j'ai enlevé la zone primaire dns que j avais cree pour faire la redirection en interne, et j'ai deployé un fichier hosts avec script + une GPO sur les ordis de la boite, le fichier assure les redirections de nos postes vers nos deux sites internes.
    Je pense que pour bien faire il aurait fallu creer un deuxieme serveur dns dédié à la résolution de noms en interne, mais bon, dans le doute, je vais probablement laisser comme ca, c'est a un niveau qui me depasse.

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo