Il est important de s’assurer que votre infrastructure DNS (Domain Name System) est protégée contre les agressions de l’extérieur (ou même de l’intérieur) de votre organisation, en particulier dans le cas des serveurs DNS tournés vers Internet. Vous pouvez configurer votre serveur DNS, lorsqu’il est intégré aux services de domaine Active Directory (AD DS), de façon à utiliser des mises à jour dynamiques sécurisées afin de prévenir toute modification non autorisée des données DNS. Vous pouvez prendre des mesures supplémentaires afin de réduire le risque de compromis de l’intégrité de votre infrastructure DNS suite à une agression.

Tâche Référence

Déterminer les menaces pour la sécurité DNS les plus pertinentes à votre environnement et déterminer le niveau de sécurité requis.

Informations de sécurité pour DNS

Pour aider à empêcher tout utilisateur extérieur à votre société d’obtenir des informations réseau internes, utilisez des serveurs DNS distincts pour la résolution des noms internes et Internet. Votre espace de noms DNS interne doit être hébergé sur des serveurs DNS situés derrière un pare-feu pour votre réseau. Votre présence DNS externe (Internet) doit être gérée par un serveur DNS situé dans un réseau de périmètre. Pour fournir la résolution de noms Internet aux hôtes internes, vous pouvez faire en sorte que vos serveurs DNS internes utilisent un redirecteur afin d’envoyer les requêtes externes à votre serveur DNS externe. Configurez votre pare-feu et votre routeur externe de façon à autoriser le trafic DNS entre vos serveurs DNS internes et externes uniquement.

Présentation des redirecteurs;

Utilisation de redirecteurs

Pour les serveurs DNS de votre réseau qui sont exposés à Internet, si le transfert de zone doit être activé, limitez les transferts de zone DNS soit aux serveurs DNS identifiés dans la zone par des enregistrements de serveur de noms (NS), soit à des serveurs DNS spécifiques sur votre réseau.

Modifier les paramètres de transfert de zone

Si le serveur exécutant le service Serveur DNS est un ordinateur multirésident, limitez le service Serveur DNS de sorte qu’il écoute uniquement l’adresse IP de l’interface utilisée par ses clients DNS et serveurs DNS internes. Un serveur jouant le rôle de serveur proxy peut, par exemple, posséder deux cartes réseau, une pour l’intranet et l’autre pour Internet. Si ce serveur exécute également le service Serveur DNS, vous pouvez configurer le service de sorte qu’il écoute le trafic DNS uniquement sur l’adresse IP utilisée par la carte réseau intranet.

Configuration de serveurs multirésidents;

Limiter un serveur DNS de façon à écouter uniquement des adresses sélectionnées

Assurez-vous que les options de serveur par défaut qui sécurisent les caches de tous les serveurs DNS contre la pollution de noms n’ont pas été modifiées. La pollution de noms se produit lorsque des réponses à des requêtes DNS contiennent des données malveillantes ou ne faisant pas autorité.

Sécuriser le cache de serveur contre la pollution des noms

Autorisez uniquement les mises à jour dynamiques sécurisées pour toutes les zones DNS. Cela garantit que seuls les utilisateurs authentifiés peuvent soumettre des mises à jour DNS au moyen d’une méthode sécurisée, ce qui contribue à prévenir le détournement d’adresses IP d’hôtes approuvés par un agresseur.

Présentation de la mise à jour dynamique;

Autoriser uniquement les mises à jour dynamiques

Désactivez la récursivité sur les serveurs DNS qui ne répondent pas aux clients DNS directement et qui ne sont pas configurés avec des redirecteurs. Un serveur DNS requiert la récursivité uniquement s’il répond à des requêtes récursives envoyées par des clients DNS ou s’il est configuré avec un redirecteur. Les serveurs DNS utilisent des requêtes itératives pour communiquer.

Désactiver la récursivité sur le serveur DNS

Si vous avez un espace de noms DNS interne privé, configurez les indications de racine sur vos serveurs DNS internes de sorte qu’elles pointent uniquement vers les serveurs DNS qui hébergent votre domaine racine interne, et non vers ceux qui hébergent le domaine racine Internet.

Mise à jour des indications de racine;

Mettre à jour des indications de racine sur le serveur DNS

Si le serveur exécutant le service Serveur DNS est un contrôleur de domaine, utilisez des listes de contrôle d’accès Active Directory afin de sécuriser le contrôle d’accès au service Serveur DNS.

Modifier la sécurité du service Serveur DNS sur un contrôleur de domaine

Utilisez uniquement des zones DNS intégrées aux services de domaine Active Directory. Les zones DNS stockées dans AD DS peuvent tirer parti des fonctionnalités de sécurité d’Active Directory, telles que la mise à jour dynamique sécurisée et la capacité à appliquer des paramètres de sécurité AD DS à des serveurs DNS, des zones et des enregistrements de ressources.

Si une zone DNS n’est pas stockée dans AD DS, sécurisez le fichier de zone DNS en modifiant les autorisations sur le fichier de zone DNS ou sur le dossier dans lequel les fichiers de zone sont stockés. Les autorisations de dossier ou de fichier de zone doivent être configurées afin d’accorder le Contrôle total uniquement au groupe Système. Par défaut, les fichiers de zone sont stockés dans le dossier %systemroot%\System32\Dns.

Présentation de l’intégration aux services de domaine Active Directory;

Configurer un serveur DNS pour une utilisation avec les services de domaine Active Directory


Table des matières