DSN (Domain Name System) a été conçu à l’origine en tant que protocole ouvert. Il est par conséquent vulnérable aux attaques. DNS Windows Server 2008 aide à améliorer votre capacité à prévenir toute attaque sur votre infrastructure DNS grâce à l’ajout de fonctionnalités de sécurité. Avant de décider des fonctionnalités de sécurité à utiliser, vous devez vous familiariser avec les menaces courantes envers la sécurité DNS et le niveau de sécurité DNS dans votre organisation.

Menaces pour la sécurité DNS

Voici les manières les plus courantes dont votre infrastructure DNS peut être menacée par des agresseurs :

  • Footprinting : processus par lequel des données de zone DNS sont obtenues par un agresseur en vue d’obtenir les noms de domaine, noms d’ordinateurs DNS et adresses IP de ressources réseau confidentielles. Un agresseur commence en général une attaque en utilisant ces données DNS pour « schématiser » un réseau. Les noms de domaine et d’ordinateurs DNS indiquent en général la fonction ou l’emplacement d’un domaine ou d’un ordinateur afin d’aider les utilisateurs à mémoriser et à identifier plus facilement les domaines et les ordinateurs. Un agresseur tire parti du même principe pour connaître la fonction ou l’emplacement des domaines et des ordinateurs du réseau.

  • Attaque par déni de service : tentative par un agresseur de suppression de la disponibilité de services réseau en inondant un ou plusieurs serveurs DNS du réseau à l’aide de requêtes récursives. Lorsqu’un serveur DNS est inondé de requêtes, son utilisation de processeurs finit par atteindre la capacité maximale et le service Serveur DNS devient indisponible. Sans serveur DNS totalement opérationnel sur le réseau, les services réseau qui utilisent DNS deviennent indisponibles pour les utilisateurs réseau.

  • Modification de données : tentative par un agresseur (ayant « schématisé » un réseau à l’aide de DNS) d’utiliser des adresses IP valides dans des paquets IP qu’il a lui-même créés, ce qui donne l’apparence que ces paquets proviennent d’une adresse IP valide sur le réseau. Cette approche porte parfois le nom d’emprunt d’adresse IP. Avec une adresse IP valide (adresse IP comprise dans la plage d’adresses IP d’un sous-réseau), l’agresseur peut accéder au réseau et détruire des données ou mener d’autres attaques.

  • Redirection : un agresseur redirige des requêtes de noms DNS vers des serveurs sous son contrôle. Une méthode de redirection consiste à tenter de polluer le cache DNS d’un serveur DNS avec des données DNS erronées qui peuvent diriger les requêtes ultérieures vers des serveurs contrôlés par l’agresseur. Par exemple, si une requête est effectuée initialement pour widgets.tailspintoys.com et qu’une réponse de référence fournit un enregistrement pour un nom en dehors du domaine tailspintoys.com, tel que malicious-user.com, le serveur DNS utilise les données mises en cache pour malicious-user.com pour résoudre une requête pour ce nom. Les agresseurs peuvent effectuer des opérations de redirection lorsqu’ils disposent d’un accès en écriture à des données DNS, par exemple lorsque les mises à jour dynamiques ne sont pas sécurisées.

Atténuation des menaces pour la sécurité DNS

DNS peut être configuré pour atténuer ces menaces courantes pour la sécurité DNS. Le tableau suivant répertorie cinq domaines principaux sur lesquels vous devez axer vos efforts en matière de sécurité DNS.

Zone de sécurité DNS Description

Espace de noms DNS

Incorporez la sécurité DNS à la conception de votre espace de noms DNS. Pour plus d’informations, voirSécurisation du déploiement DNS.

Service Serveur DNS

Examinez les paramètres de sécurité par défaut du service Serveur DNS et appliquez les fonctionnalités de sécurité Active Directory lorsque le service Serveur DNS s’exécute sur un contrôleur de domaine. Pour plus d’informations, voir Sécurisation du service Serveur DNS.

Zones DNS

Examinez les paramètres de sécurité par défaut des zones DNS et appliquez les mises à jour dynamiques sécurisées et les fonctionnalités de sécurité Active Directory lorsque la zone DNS est hébergée sur un contrôleur de domaine. Pour plus d’informations, voir Sécurisation des zones DNS.

Enregistrements de ressources DNS

Examinez les paramètres de sécurité par défaut des enregistrements de ressources DNS et appliquez les fonctionnalités de sécurité Active Directory lorsque les enregistrements de ressources DNS sont hébergés sur un contrôleur de domaine. Pour plus d’informations, voir Sécurisation des enregistrements de ressources DNS.

Clients DNS

Contrôlez les adresses IP de serveur DNS utilisées par les clients DNS. Pour plus d’informations, voir Sécurisation des clients DNS.

Trois niveaux de sécurité DNS

Les sections suivantes décrivent les trois niveaux de sécurité DNS.

Sécurité de faible niveau

La sécurité de faible niveau est un déploiement DNS standard sans aucune précaution de sécurité configurée. Déployez ce niveau de sécurité DNS uniquement dans les environnements réseau où il n’y a aucun risque pour l’intégrité de vos données DNS ou sur un réseau privé où il n’y a aucune menace de connectivité externe. La sécurité DNS de faible niveau possède les caractéristiques suivantes :

  • L’infrastructure DNS de l’organisation est totalement exposée à Internet.

  • La résolution DNS standard est effectuée par tous les serveurs DNS du réseau.

  • Tous les serveurs DNS sont configurés avec des indications de racine pointant vers les serveurs racines pour Internet.

  • Tous les serveurs DNS autorisent les transferts de zone vers tout serveur.

  • Tous les serveurs DNS sont configurés de façon à écouter toutes leurs adresses IP.

  • La prévention de pollution du cache est désactivée sur tous les serveurs DNS.

  • La mise à jour dynamique est autorisée pour toutes les zones DNS.

  • Le port UDP (User Datagram Protocol) et TCP/IP 53 est ouvert sur le pare-feu du réseau pour les adresses sources et de destination.

Sécurité de niveau intermédiaire

La sécurité de niveau intermédiaire utilise les fonctionnalités de sécurité DNS disponibles sans exécuter de serveurs DNS sur les contrôleurs de domaine et sans stocker de zones DNS dans les services de domaine Active Directory (AD DS). La sécurité DNS de niveau intermédiaire possède les caractéristiques suivantes :

  • L’infrastructure DNS de l’organisation est exposée à Internet de manière limitée.

  • Tous les serveurs DNS sont configurés de façon à utiliser des redirecteurs qui pointent vers une liste spécifique de serveurs DNS internes lorsqu’ils ne peuvent pas résoudre les noms localement.

  • Tous les serveurs DNS limitent les transferts de zone aux serveurs répertoriés dans les enregistrements de ressources de serveur de noms (NS) dans leurs zones.

  • Les serveurs DNS sont configurés de façon à écouter des adresses IP spécifiées.

  • La prévention de pollution du cache est activée sur tous les serveurs DNS.

  • La mise à jour dynamique non sécurisée n’est autorisée pour aucune zone DNS.

  • Les serveurs DNS internes communiquent avec les serveurs DNS externes par le biais du pare-feu avec une liste limitée d’adresses sources et de destination autorisées.

  • Les serveurs DNS externes placés devant le pare-feu sont configurés avec des indications de racine pointant vers les serveurs racines pour Internet.

  • Toute la résolution de noms Internet est effectuée à l’aide de serveurs proxy et de passerelles.

Sécurité de niveau élevé

La sécurité de niveau élevé utilise la même configuration que la sécurité de niveau intermédiaire. Elle utilise également les fonctionnalités de sécurité disponibles lorsque le service Serveur DNS s’exécute sur un contrôleur de domaine et que les zones DNS sont stockées dans les services de domaine Active Directory. En outre, la sécurité de niveau élevé élimine complètement la communication DNS avec Internet. Il ne s’agit pas d’une configuration par défaut, mais elle est recommandée chaque fois que la connectivité Internet n’est pas requise. La sécurité DNS de niveau élevé possède les caractéristiques suivantes :

  • L’infrastructure DNS de l’organisation n’a aucune communication Internet par le biais des serveurs DNS internes.

  • Le réseau utilise un espace de noms et une racine DNS internes, dans laquelle toute l’autorité pour les zones DNS est interne.

  • Les serveurs DNS configurés avec des redirecteurs utilisent uniquement des adresses IP de serveurs DNS internes.

  • Tous les serveurs DNS limitent les transferts de zone aux adresses IP spécifiées.

  • Les serveurs DNS sont configurés de façon à écouter des adresses IP spécifiées.

  • La prévention de pollution du cache est activée sur tous les serveurs DNS.

  • Les serveurs DNS internes sont configurés avec des indications de racine pointant vers les serveurs DNS internes qui hébergent la zone racine pour l’espace de noms interne.

  • Tous les serveurs DNS s’exécutent sur des contrôleurs de domaine. Une liste de contrôle d’accès discrétionnaire (DACL, Discretionary Access Control List) est configurée sur le service Serveur DNS afin d’autoriser uniquement des utilisateurs spécifiques à effectuer des tâches d’administration sur le serveur DNS.

  • Toutes les zones DNS sont stockées dans les services de domaine Active Directory. Une liste DACL est configurée de façon à autoriser uniquement des utilisateurs spécifiques à créer, supprimer ou modifier des zones DNS.

  • Des listes DACL sont configurées sur des enregistrements de ressources DNS de façon à autoriser uniquement des utilisateurs spécifiques à créer, supprimer ou modifier des données DNS.

  • La mise à jour dynamique sécurisée est configurée pour les zones DNS (hormis pour les zones racines et de niveau supérieur, qui n’autorisent aucune mise à jour dynamique).


Table des matières