[DNS SECURITE] Response Rate Limiting (RRL)

Cette option introduite dans les services DNS sur Windows Server 2016, réduit les risques d'attaques par amplification DNS. Ce type d'attaque en déni de service, vise à envoyer un nombre important de requêtes DNS en modifiant l'IP réseau de la source. Le réseau victime peut recevoir une quantité importante d

Tags:

[DNS SECURITE] Récupérer les ancres de confiance racine

Nous avons vu dans un article précédent, comment activer DNSSEC sur les zones DNS de votre domaine Active Directory. Nous avons également vu le rôle joué par les ancres de confiance pour la signature des enregistrements DNS.

Dans cette article nous allons voir comment mettre à jour les ancres de confiance publié par l'IANA concernant la racine d'internet. Le lien suivant https://data.iana.org/root-anchors/root-anchors.xml permet de retrouver les ancres de confiances.

[DNS SECURITE] Transférer le maître des clé DNSSEC

Dans l'article précédent, nous avons vu, comment activer DNSSEC sur vos zones DNS internes intégrées à Active Directory. Nous avons vu également, comment configurer les clients DNS du domaine afin d'exiger la vérification des signatures DNS.

Lors de la signature de la zone, nous avons défini un de nos contrôleurs de domaine en tant que maître des clés.

[DNS Sécurité] Configurer DNSSec et la signature des zones DNS

Principe de DNSSec

DNSSec est un mécanisme de sécurité permettant de signer les enregistrements DNS d'une zone afin de protéger votre environnement. La signature permet de réduire le risque de d'empoisonnement du cache du client DNS et d'éviter certaines attaques de type Man In The Middle.

DNSSEC est comparable à une autorité de certification qui utiliserait des certificats pour faire de la signature.

[DNS] Quelques bonnes pratiques pour les DNS AD (2ème partie)

Configurer le nettoyage des zones DNS

Nous avons vu dans l'article précédent quelques éléments de base pour la configuration du serveur DNS et des zones DNS intégrées Active Directory.

Nous allons poursuivre avec quelques recommandations sur la gestion du service DNS afin de garder des zones à jour et de réduire les risques liés aux caches DNS.

Nous allons commencer par configurer le nettoyage des zones DNS. Il est possible de définir deux valeurs afin de gérer le nettoyage.

[DNS] Quelques bonnes pratiques pour les DNS AD (1ere partie)

D

Dans cette série d'articles, nous allons voir quelques bonnes pratiques liées à la gestion DNS dans un environnement Active Directory et comment se protéger d'attaques de type DNS Spoofing ou DNS Cache Poisoning .

Modifier DNS primaire et secondaire par script

Vous souhaitez mettre à jour les adresses IP des DNS primaire et secondaire sur un ensemble des postes utilisant des adresses IP fixes.

Je vous propose un exemple de script minimaliste utilisant un fichier texte contenant la liste des serveurs (compatible avec les anciennes versions de Windows). L'exécution du script se fera depuis un serveur Windows 2008R2 ou supérieur et nécessite des droits d'administrations sur les serveurs cibles.

Où sont stockées les zones DNS ?

Dans le premier chapitre nous avons vu le rôle DNS sans Active Directory. Les zones DNS étaient stockées dans des fichiers textes. Dans ce cas il ne peut y avoir qu'une zone principale et des zones secondaires. Cela nécessite un transfert de zone de la zone principale vers les zones secondaires, ou par relai d'une zone secondaire vers une autre zone secondaire. La zone principale étant la seul à être autorisée en écriture.

Comment sont créés les enregistrements DNS dans les différentes zones ?

Les enregistrements liés à Active Directory sont créé par chaque contrôleur de domaine au démarrage du service Netlogon.

Au niveau des clients ils s’enregistrent automatiquement à la connexion au réseau.

Les zones DNS d’Active Directory

Par défaut dans une forêt Active Directory de 'n' domaines il y a au moins 'n+1' zones DNS. D'abord chaque domaine dispose de sa zone DNS correspondant au nom complet du domaine (donc n zones). Cette zone n’est pas, par défaut, répliqué entre l'ensemble des contrôleurs de domaine du domaine concerné.

Il existe également une zone lié à dont le nom commence par _msdcs. Cette zone est unique dans la forêt et elle est répliquée à l’ensemble des contrôleurs de domaine de la forêt. Elle permettra entre autre de retrouver les catalogues globaux.

Différents types d’enregistrements

• A : Les enregistrements A permettent la résolution d’un nom d’hôte FQDN en adresse IPv4.
• AAAA : Les enregistrements AAAA représente comme les enregistrements « A » le lien entre un nom FQDN et une adresse IP. Mais si les enregistrements A sont liés à IPv4, les enregistrements AAAA sont liés à IPv6.
• CNAME : Les enregistrements Cname sont des alias d’un nom FQDN vers un autre nom FQDN. Pour résoudre un enregistrement Cname il faut également un enregistrement A (ou AAAA) pour le nom cible du Cname.
Par exemple

Zone de recherche inversée

Depuis le début de ce livre en ligne sur DNS nous avons appris à utiliser nslookup dans tous les sens.

Avez-vous remarqué qu’à chaque fois que nous connections à un serveur DNS, une ligne « serveur : UnKnow » apparait ?

Créer une Zone de stub

Je suppose que vous avez constaté dès les premiers chapitres qu’ils existent différents type de zones. Nous avons parlé de zone principale (en lecture / écriture), de zone secondaire (en lecture seule).Dans les options il y avait aussi la zone de Stub et j’avais précisé que nous reviendrons sur ce point plus tard. Puis nous sommes passés toute autre chose les redirecteurs standard ou conditionnelle, la délégation de zone. Cela parait confus mais vous allez vitre comprendre n’avoir pas de suite parlé des zone de Stub.

Créer une délégation pour un sous domaine

Dans cette section nous disposons toujours d’un serveur « test1dc1 » disposant de la zone DNS « dom1.local ». Nous disposons d’un 2^ème serveur DNS n’ayant pas de zone de configuré. Nous souhaitons créer un sous domaine « soudomaine1.dom1.local » dont la zone est hébergée par le 2^ème serveur DNS. Nous voulons également garantir la résolution de nom depuis les 2 serveurs DNS.

Commençons par créer la zone « sousdomaine1.dom.local » sur le serveur « test2dc1 ».

Redirecteurs DNS

Un redirecteur est un élément de configuration permettant de rediriger des requêtes DNS pour des zones inconnus du serveur vers d’autres serveurs DNS. Le redirecteur conditionnel définit le serveur de nom pour un espace de nom alors que le redirecteur simple définit un redirecteur pour tous les noms qui dont la zone n’est pas géré sur le serveur.

Nous avons supprimé la zone « dom1.local » du 2^ème serveur et nous avons supprimé son enregistrement NS dans la zone.

zone secondaire et transfert de zone

Notre serveur Windows 2012 « test1dc1 » a le rôle de serveur DNS et possède la zone « dom1.local ». Nous allons maintenant configurer une zone secondaire sur le serveur « tes2.dc1 » en Windows 2008 et qui se trouve sur un autre réseau. Une zone secondaire est une copie en lecture seule de la zone. Ensuite nous configurerons un transfert de zone du serveur « test1dc1 » vers « tes2dc1 ».

Sur le 2^ème serveur « test2dc1 » nous allons créer une zone « dom1.local » en tant que zone secondaire.