SECURISATION DES

SERVICE SUR UBUNTU 18

Les auteurs :
 WILSON Adjétéod Save Dzidula
 KANGNI Eugenio Florentin Soke Mensah
 KOUVAHE amele angelique
 TENGUE Yao Anani Edem
 AMANA Koboyo Honoré
 ADJICTA Liebe Damolta
 BAWA Tchare Samoudine
 TCHASSIM T. Pascal
 AMOUH Tchaa Pierre
 BAKA Gnimdou Magloire
 AGUEDA Martin
 YENA Tchindro
 KEMELA E. Léonardo
 AWADE Pouwèréou Dimitri
 BIDOLA pazama Hugues
 OUBO Nikabou Prosper
 MABIGUE E. Jean-Marie
 NAYO Ossétini Félicité
 SONDOU Patassé Olivier
 LANTAME Zita
 SAMA Dodo Sandra
 YAO Essona
 AYOKAWARE Komivi Pierre
 NABINE Mamam
 GNANDI O.E. Ange-Pacôme
 LAMATETOU Essodokinam

SUP-INFO UK Première promotion.

  SOMMAIRE
1. Le service http et sécurisation ----------------------------------------1 - 9
2. Le FTP et sécurisation -------------------------------------------------9 - 15
3. Le SMTP et sécurisation ----------------------------------------------15 - 19
4. Le DNS et sécurisation ------------------------------------------------19 – 24

INTRODUCTION
Le déploiement de tout service informatique nécessite la mise en place des moyens
de sécurisation pour rendre plus fiables les résultats attendus de ces services.
Dans ce TP nous allons sécuriser les services WEB, FTP, MESSAGERIE et DNS.
L’intérêt de cette pratique est d’empêcher quiconque se positionnant sur le réseau
de pouvoir avoir accès au différentes informations qui y transitent.
La sécurisation du service web (HTTP) va permettre de chiffrer les données
transmises via ce protocole.
La sécurisation du protocole FTP va permettre de contrôler l’accès aux fichiers et
va chiffrer les transmissions.
La sécurisation du service de messagerie se fait par le protocole SMTP qui va
chiffrer les messages envoyés dans le réseau.
Le DNS va assurer la résolution d’adresse IP.

I. Le service http
Un serveur HTTP permet à un site web de communiquer avec un navigateur en
utilisant le protocole HTTP(S) et ses extensions (WebDAV, etc.). Apache est
probablement le serveur HTTP le plus populaire. C'est donc lui qui met à
disposition la plupart des sites Web du WWW.
Il est produit par la Apache Software Foundation. C'est un logiciel libre fourni sous
la licence spécifique Apache.

SUP-INFO UK Première promotion.

On utilise généralement Apache en conjonction avec d'autres logiciels, permettant
d'interpréter du code et d'accéder à des bases de données. Le cas le plus courant est
celui d'un serveur LAMP (Linux Apache MySQL PHP).
La sécurisation d’un serveur http (Apache) reviens à utiliser un protocole HTTPS
port 443 permettant aux hôtes de pouvoir faire des échanges HTTP port 80 d’une
manière chiffrée via le TLS (qui signifie : Transfert Layer Socket).
a. Le protocole TLS
Le protocole TLS permet à deux machines de communiquer de manière sécurisée.
Les informations échangées entre les deux machines sont de ce fait pratiquement
inviolables. Il doit assurer l'authentification du serveur grâce à un certificat. La
confidentialité des données grâce au chiffrement et l’intégrité des données.
Les notions de certification sont indispensables pour individu ayant le désire de
faire la sécurisation de son serveur http, alors qu’est-ce que s’est une certification ?
b. Les certifications
Un certificat permet de fournir diverses informations concernant l'identité de son
détenteur (la personne qui publie les données). Ce certificat s'accompagne d'une clé
publique qui est indispensable pour que la communication entre les machines soit
chiffrée.
Afin de garantir l'authenticité du certificat, ce dernier est signé numériquement
provenant soit par une autorité de certification (Société spécialisée dans la
certification) soit par le détenteur du certificat lui-même. Dans ce dernier cas, on
parlera de certificat auto-signé.
Dans la plupart des cas, l'obtention d'un certificat certifié par une AC (autorité de
certification) ayant un prix assez élevé, les webmasters auront tendance à vouloir
signer eux-mêmes leur certificat. Ce faisant, il est à noter que dans ce cas, le
certificat ne sera pas reconnu par les navigateurs web comme étant certifié.
CA Cert permet d'obtenir des certificats gratuits. Il vous faudra néanmoins installer
le certificat racine dans votre navigateur.
Let's encrypt permet également d'obtenir des certificats gratuits. En outre
Let'Encrypt fournit l'application cerbot qui simplifie grandement la création et la
gestion des certificats.
Dans notre cas nous allons utiliser le openSSL pour générer nos clés

SUP-INFO UK Première promotion.

 Pour débuter commençons par l’installation du serveur Apache2 et php après fait
un apt-get update upgrade en tapant la commande suivante : apt-get install
apache2 php.

Apres installation, configurons apache2 pour qu’il s’active au démarrage de notre

machine avec la commande sudo systemctl enable apache2.

Créons un site simple en http :

1. Créons un fichier html nommé index.html dans le répertoire /var/www/html

avec la commande touch
# cd /var/www/html
# touch index.html

2. Créons un fichier de configuration nommé example.conf dans le répertoire

/etc/apacha2/sites-available avec la commande :

# nano /etc/apache2/sites-available/example.conf

Ce fichier contiendra le code suivant :

<VirtualHost *:80>

SUP-INFO UK Première promotion.

 ServerName uk.example.com
ServerAlias www.example.com
DocumentRoot var/www/html
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>

Ce fichier de configuration example.conf constitue une hôte virtuel nous

permettant d’afficher notre site créé précédemment. Voici une image pour
vous rendre plus claire l’idée :

ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined

Les lignes ci-dessus sont des directives relatives au log d'erreur et au log
d'accès de cet hôte virtuel. Ceux-ci seront donc écrits dans le
répertoire APACHE_LOG_DIR, qui est par défaut /var/log/apache2 sur
ubuntu.

3. Activons notre configuration avec la commande

# sudo a2ensite example.conf

SUP-INFO UK Première promotion.

4. Allons dans le répertoire /etc/hosts pour ajouter un hôte à la fin du fichier :

# nano /etc/hosts

127.0.0.1 uk.example.com

On pourra donc accéder à notre site en tapant http://uk.example.com/

Ou le localhost/exemple.html ou encore adresse_IP/exemple.html

Redémarrons le service apache2 en tapant

# sudo systemctl restart apache2

SUP-INFO UK Première promotion.

 Voilà notre site qui s’affiche bien. Passons maintenant à la sécurisation
c. Sécurisation du http

Nous débutons cette partie en activant le protocole SSL pour que le TLS
fonctionne :

#sudo a2enmod ssl puis redémarrons le service apache2

#sudo systemctl reload apache2

Vérifions l’activation du module en tapant : apache2ctl -M | grep ssl

SUP-INFO UK Première promotion.

# apt-get install openssl ensuite créons le certificat.

1. Création du certificat SSL

Maintenant qu'Apache est prêt à utiliser le cryptage, nous pouvons passer à la

génération d'un nouveau certificat SSL. Le certificat stockera quelques
informations de base sur votre site, et sera accompagné d'un fichier clé qui permet
au serveur de traiter les données cryptées en toute sécurité.

Nous pouvons créer les fichiers de clés et de certificats SSL avec la commande
#openssl
# Sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/apache-
selfsigned.key -out /etc/ssl/certs/apache-selfsigned.crt

SUP-INFO UK Première promotion.

Après cela revenons dans notre fichier example.conf et mettons une nouvelle
configuration avec le SSL.

<VirtualHost *:443>

ServerName your_domain_or_ip

DocumentRoot /var/www/html/

SSLEngine on

SSLCertificateFile /etc/ssl/certs/apache-selfsigned.crt

SSLCertificateKeyFile /etc/ssl/private/apache-selfsigned.key

</VirtualHost>
Voici l’image suivante :

Redémarrons le service apache2 avec service apache2 restart et voyons ce que ça

donne avec l’image

SUP-INFO UK Première promotion.

Configurons une redirection sur notre page afin que toute personne voulant accéder
à notre site en tapant juste uk.example.com soit redirigée directement sur le https.
Pour ce faire ajoutons la ligne suivante dans notre fichier example.conf :
Redirect Permanent / https://uk.example.com/

Faisons restart de apache2. Après actualisation toute personne qui tape

uk.example.com sera redirigé sur https://uk.example.com.
Si une erreur de permission surgit, comme celle-ci-dessous :

SUP-INFO UK Première promotion.

Alors pensez juste à ajouter ce bout de code dans chaque balise VirtualHost comme
suit:

<Directory /var/www/html/>

AllowOverride All

</Directory>

Puis faire le restart de apache2 et actualisons la page.

SUP-INFO UK Première promotion.

Nous constatons tous ensemble que notre site est correctement en https
II. Le FTP
a) Aperçu du protocole
Pour d’abord commencer, définissons ce que c’est le FTP.
Le FTP (File Transfert Protocol) est un protocole de transfert de fichier. Il permet
l’échange de fichiers entre un serveur et un client. Il fonctionne sur le port 21 et en
mode sécurisé sur le port 22.

On parle alors de :

Serveur FTP et client FTP

 Serveur FTP

Le serveur FTP est un logiciel qui va répondre aux demandes des clients. Lorsque
le serveur reçoit une demande, il vérifie les droits et si le client à les droits
suffisants, il répond à cette demande sinon la demande est rejetée.

Le serveur FTP passe son temps à attendre. Si les demandes ne sont pas
nombreuses, les ressources utilisées par le serveur FTP sont quasi-nulles.

Exemple: VsFTPd (Linux), FileZilla Server (Windows), WS_FTP server

(Windows), ProFTPd (Linux)

 Client FTP

C’est lui qui va être à l’initiative de toutes les transactions.

SUP-INFO UK Première promotion.

Il se connecte au serveur FTP, effectue les commandes (récupération ou dépôt de
fichiers) puis se déconnecte. Toutes les commandes envoyées et toutes les réponses
seront en mode texte. (Cela veut dire qu’un humain peut facilement saisir les
commandes et lire les réponses).

Le protocole FTP n’est pas sécurisé : les mots de passe sont envoyés sans cryptage
entre le client FTP et le serveur FTP. (Le protocole FTPS avec S pour « secure »
permet de crypter les données).

Exemple : FileZilla client (Windows, Linux, IOS)

b) Configuration de la sécurisation

Nous allons configurer deux serveurs FTP différents VsFTPd et ProFTPd mais
dans la réalité un seul suffit pour avoir le service FTP.

*VsFTPd
VsFTPd est un serveur FTP conçu avec la problématique d'une sécurité maximale
contrairement aux autres serveurs FTP (ProFTPd, PureFTPd, etc.), aucune faille
majeure de sécurité n'a jamais été décelée dans VsFTPd.

Passons à l’installation du VsFTPd

 Installation

- sudo apt install vsftpd

SUP-INFO UK Première promotion.

Il est parfois nécessaire de créer un compte ftp. L'absence de l'option *system* crée
une faille de sécurité et bloque l’installation du paquet. Alors créons un compte
système en tapant :

- sudo useradd --system ftp

Pensez à redémarrer le service :

# sudo systemctl restart vsftpd

Vérifier l'état du service :

#sudo systemctl status vsftpd

Ouvrons si nécessaire les ports d’écoute du ftp :

# sudo ufw allow 20/tcp

# sudo ufw allow 21/tcp

# sudo ufw status

 configuration du VsFTPd
La configuration de VsFTPd est centralisée dans un seul et même fichier
/etc/vsftpd.conf. Appliquez les modifications suivantes en fonction du mode de
fonctionnement de VsFTPd dans le dit fichier par la commande:
#nano /etc/vsftpd.conf
Personnalisons le message de connexion au ftp en décommentant la ligne:
ftpd_banner=Bienvenue sur le serveur ftp sécurisé

SUP-INFO UK Première promotion.

 - Pour permettre à des utilisateurs anonymes de se connecter au serveur en
lecture seule :
toujours dans le fichier vsftpd.conf on modifie
anonymous_enable=YES
anon_upload_enable=NO
anon_mkdir_write_enable=NO
anon_other_write_enable=NO
anon_world_readable_only=YES
anon_root=<Path_du_répertoire_anonyme>

- Pour permettre à vos utilisateurs locaux (ceux qui ont un compte sur la
machine) de se connecter au serveur et d'écrire:

on modifie les lignes comme suit:

local_enable=YES write_enable=YES local_umask=022

SUP-INFO UK Première promotion.

Pour permettre à vsftpd de charger une liste d'utilisateurs décommentez la ligne :
userlist_enable=YES.

Il faudra alors ajouter le nom des utilisateurs qui auront les accès dans le fichier
etc/vsftpd.user_list. Vous pouvez « emprisonner » certains utilisateurs dans leur
dossier personnel afin qu’ils ne puissent pas naviguer dans le système de fichier.

Il faut créer le fichier dédié à la configuration de vsftpd « /etc/vsftpd/chroot.list »,

avec les droits d'administration. Les identifiants des utilisateurs concernés doivent
être renseignés dans le dit fichier sous la forme d'une simple liste :

Il faut ensuite modifier la configuration générale (/etc/vsftpd.conf) et ajouter ces

lignes:
- Pas besoin d'avoir un accès root
chroot_local_user=NO
- Emprisonner dans son répertoire home les utilisateurs

SUP-INFO UK Première promotion.

chroot_list_enable=YES
- La liste des prisonniers
chroot_list_file=/etc/vsftpd.chroot_list
- Evite l'erreur 500 OOPS: vsftpd: refusing to run with writable root inside
chroot().
- Les prisonniers peuvent écrire dans leur propre répertoire
allow_writeable_chroot=YES
Pour les lignes précédentes, il suffit juste de les rechercher avec la commande ctrl
+ q et décommenter certaines ou changer d’autres

Note : Attention, si chroot_list_enable est à NO, cette liste devient la liste des
utilisateurs qui ne seront PAS dans leur "prison".
Voici le résultat de notre configuration

Nous constatons que le serveur a reconnu l’utilisation d’une clé de certificat non
reconnu, D’où cette notification sur l’écran.

SUP-INFO UK Première promotion.

La preuve de réussite de notre sécurisation est la présence du « s » au niveau du ftp
dans la fenêtre hôte comme le montre l’image suivante :

*ProFTPd
Pour le configurer nous allons télécharger le paquet proftpd.
Les configurations du ProFTPd sont dans le fichier /etc/proftpd/proftpd.conf
mais sa configuration basique est assez suffisante pour le fonctionnement du
service FTP.
Nous allons créer des utilisateurs sur le serveur. Ce sont les comptes
d’utilisateurs de la machine serveur qui peuvent se connecter à distance, s’identifier
et effectuer des transferts de fichiers.
Pour tester son fonctionnement, nous avons trois moyens :
1. Serveur – Client FTP (Console)
Depuis une machine cliente (sur laquelle est installé un client FTP comme
ProFTPd) connectée au même réseau que la machine serveur FTP, dans le terminal,
nous allons lancer une connexion FTP (ftp adresse_IP_Serveur_FTP), nous
identifier (nom_utilisateur puis mot_de_passe). Une fois connecté, nous pouvons

SUP-INFO UK Première promotion.

faire les opérations voulues. La commande ‘’ ? ‘’ affiche toutes les commandes
utilisables.

2. Navigateur Web (Graphique)

Sur une machine connectée au même réseau, lançons un navigateur web ; Dans sa
barre d’adresse, nous allons taper ftp://adresse_IP_Serveur_FTP. Nous allons nous
identifier (nom_utilisateur et mot_de_passe). Une fois connecté, nous pouvons faire
les opérations voulues.

SUP-INFO UK Première promotion.

 3. FileZilla (Graphique)
Sur l’interface du client FileZilla nous allons renseigner les champs hôte (-ftp-
adresse_IP_Serveur_FTP ou nom_de_domaine), nom_utilisateur, mot_de_passe et
le port 21.

Et ainsi nous pouvons nous connecter sur le serveur FTP.

SUP-INFO UK Première promotion.

Notons que les connexions ci-dessus ne sont pas sécurisées. Pour se connecter en
mode sécurisé :
 Pour le premier cas, il faut utiliser la commande sftp (secured file transfert
protocol) à la place de ftp. sftp adresse_IP_Serveur_FTP. Cette méthode
utilise le protocol de communication SSL donc il y aura échange de clé. Il
faut donc installer et configurer le paquet OpenSSL pour avoir les services
SSL et générer les clés.
 La connexion via le navigateur est toujours en mode non-sécurisé.
 Pour le cas de FileZilla, il faut utiliser hôte (-sftp- adresse_IP_Serveur_FTP
ou nom_de_domaine), nom_utilisateur, mot_de_passe et le port 22.

III. Le service SMTP

a) Aperçu

SUP-INFO UK Première promotion.

SMTP signifie Simple Mail Transfert Protocol, ce protocole est utilisé pour
transférer les messages électroniques sur les réseaux.
Un serveur SMTP est un service qui écoute sur le port 25, son principal objectif est
de router les mails à partir de l'adresse du destinataire.
Le service SMTP est divisé en plusieurs parties, chacune assurant une fonction
spécifique :
 MUA : Mail User Agent, c’est le client de messagerie (Exemples : Outlook,
ThunderBird),
 MTA : Mail Transfert Agent, c'est l'élément principal d'un serveur SMTP car
c'est lui qui s'occupe d'envoyer les mails entre les serveurs. En effet, avant
d'arriver dans la boite mail du destinataire, le mail va transiter de MTA en
MTA. Il est possible de connaitre l'ensemble des MTA par lesquels le mail
est passé, pour cela il suffit d'afficher la source du message,
 MDA : Mail Delivery Agent, c'est le service de remise des mails dans les
boîtes aux lettres (les espaces mémoires réservés) des destinataires, il
intervient donc en fin de la chaine d'envoi d'un mail.
Par un schéma simple illustrons un peu le fonctionnement du SMTP

Dans cet exemple, Fred, qui appartient au domaine truc.fr, veut envoyer un mail à
Marc, qui, lui, appartient au domaine machin.com.
Fred va composer son mail sur son ordinateur puis va exécuter la commande
d'envoi de son logiciel de messagerie. Le logiciel va contacter le serveur smtp du
domaine truc.fr (1), c'est ce serveur qui va se charger d'acheminer (router) le mail
vers le destinataire.

SUP-INFO UK Première promotion.

Le serveur smtp.truc.fr va lire l'adresse de destination du mail, le domaine du
destinataire n'étant pas truc.fr, le serveur va alors contacter le serveur smtp du
domaine machin.com.
Si ce serveur existe, ce qui est le cas ici, smtp.truc.fr va lui transférer le mail (2).
Le serveur smtp.machin.com va vérifier que l'utilisateur Marc existe bien dans sa
liste d'utilisateurs. Il va ensuite placer le mail dans l'espace mémoire accordé aux
mails de Marc sur le serveur (3).
Le mail est ainsi arrivé à destination. L'objectif du protocole SMTP est atteint.
Ensuite c'est le protocole POP qui est utilisé.
Lorsque Marc utilisera son logiciel de messagerie pour vérifier s'il a de nouveaux
mails, le logiciel va solliciter le serveur pop (4) afin que celui-ci vérifie si des mails
sont dans l'espace mémoire accordé à Marc (5).
S'il y a un message, le serveur pop va l'envoyer au logiciel de messagerie de Marc
(6).
Sans plus tarder, nous allons réfléchir à comment nous pouvons sécuriser ce service
afin que ses offres soient plus fiables.
b) Sécurisation
Pour Installer et sécuriser un serveur mail complet (Mails, SMTP, Auth via SASL,
IMAP, POP3, webmail, TLS et SSL) sous Debian,
Pour sécuriser les différents protocoles de messagerie, vous avez 3 possibilités :
 Installer une autorité de certification sur votre serveur pour ne pas payer de
certificats SSL.
 Demander des certificats valides gratuitement auprès de l'autorité de
certification "StartSSL" : Sécuriser gratuitement votre site web grâce à
StartSSL.
 Acheter des certificats valides auprès d'une autorité très connue comme :
Symantec SSL, GeoTrust
Mais dans notre cas nous allons utiliser la première option pour générer nous même
les clés de certification avec SSL.
Pour débuter commençons par l’installation de openssl après une update

SUP-INFO UK Première promotion.

 - apt-get update
- apt-get install openssl
Ensuite éditer le fichier /etc/ssl/openssl.cnf avec ces lignes qui suivent :
- default_days = 3650 (pour préciser la durée vie de notre clé qui sera
générée )
Modifier la taille de la clé utilisée. Pour information : Geotrust demande
maintenant des certificats en 2048 bits. Donc, autant faire comme eux.
- default_bits = 2048

Pour prendre un exemple courant, nous allons demander un certificat qui aura ces
caractéristiques :
- valable 1 ans
- valide pour tous les sous-domaines (sauf le domaine)
- clé privée non protégée par mot de passe pour éviter qu'Apache ne le demande au
démarrage (ou redémarrage en cas de problèmes)

SUP-INFO UK Première promotion.

# openssl req -new -nodes -keyout /etc/ssl/private/www-key.pem -out /tmp/www-
req.pem -days 3650

Après céla nous constaterons que nos trafics de message via SMTP sont cryptés.

IV. Le DNS

SUP-INFO UK Première promotion.

DNS signifie Domaine Name System ; c’est un système qui offre une résolution
d’adresse par un nom appelé « nom de domaine ». Il fonctionne sur le port TCP 53.
Un serveur DNS sera donc comme un annuaire consultant un ordinateur qui désir
échanger avec un autre ordinateur à travers un réseau.
Nous tous nous savons bien que le plus souvent sur internet les internautes n’ont
pas à taper l’adresse IP d’un site pour y avoir accès aux ressources mais utilisent un
nom, c’est là qu’intervient le serveur DNS. Donc lorsqu’un appareil désir contacté
un autre ou un serveur, il n’a qu’à entrer le nom et le serveur DNS s’en chargera de
faire la suite des processus d’établissement de la communication. Voici un exemple
qui montre les étapes de recherche de DNS c’est-à-dire son fonctionnement :

Sécurisation d’un serveur DNS

Les requêtes DNS standards, qui sont nécessaires pour presque tout le trafic web,
créent des opportunités pour les exploits DNS, comme le détournement du DNS et
les attaques en chemin (on-path). Ces attaques peuvent rediriger le trafic entrant
d’un site web vers une copie falsifiée du site, collectant ainsi des informations
utilisateur sensibles et exposant les entreprises à une responsabilité majeure. L'une
des façons les plus connues de se protéger contre les menaces DNS est l’adoption
du protocole DNSSEC qui signifie DNS Security Extension.
Les extensions de sécurité DNS (DNSSEC) constituent un protocole de sécurité
créé pour pallier aux problèmes d’attaque de recherches DNS. Le DNSSEC protège

SUP-INFO UK Première promotion.

contre les attaques en signant numériquement les données pour garantir leur
validité. Afin de garantir une recherche sécurisée, la signature doit avoir lieu à tous
les niveaux du processus de recherche DNS.
Le DNSSEC crée un train de confiance parent-enfant qui va jusqu'à la zone racine.
Cette chaîne de confiance ne peut être compromise au niveau d'aucune couche du
DNS, sinon la requête sera ouverte à une attaque en chemin ; il est destiné à
fonctionner avec d'autres mesures de sécurité comme le SSL/TLS dans le cadre
d'une stratégie globale de sécurité sur Internet.
Dans notre cas le serveur DNS déployé est fait à base des paquets bind9 et bind9
utils et du coup configuré en local. L’extension DNSSEC est juste un résolveur de
nom de domaine qu’on utilise pour gérer la résolution d’adresse et qui se retrouvera
dans les configurations de notre serveur.
Un aperçu de l’organisation des fichiers dans notre résolveur (bind9)

Dans /etc/bind/ nous allons copier le fichier db.local vers nos fichiers de zone
olivier.tg et olivier.inv.
# cd /etc/bind/
#cp db.local olivier.tg
#cp db.local olivier.inv
Nous allons modifier les fichiers comme le montre les images suivantes :
#nano olivier.tg

SUP-INFO UK Première promotion.

Voici l’enregistrement de type indirect
# nano olivier.inv

Et maintenant configurons le fichier named.conf.defaut-zone pour préciser nos

enregistrements faits précédemment

SUP-INFO UK Première promotion.

Modifions le fichier /etc/resolv.conf :

Redémarrons le service bind9 (service bind9 restart) puis voyons le status:

Testons la résolution de nos noms de domaines :

SUP-INFO UK Première promotion.

Notre serveur DNS fonctionnement correctement du coup la sécurisation de serveur
dépendra de nous. Si ce serveur sera visible sur internet alors, on devra chiffrer les
recherche DNS avec SSL mais ce qui n’est pas le cas chez nous parce qu’on utilise
une adresse IP local.
Le but de DNSSEC est de fournir un moyen de faire confiance aux enregistrements
DNS par quiconque les reçoit. La principale innovation de DNSSEC est l'utilisation
de la cryptographie à clé publique pour garantir l'authenticité des enregistrements
DNS. DNSSEC permet non seulement à un serveur DNS de prouver l'authenticité
des enregistrements qu'il renvoie.
Exemple d’un enregistrement direct :

Ce qu’il faut retenir de la sécurisation d’un DNS est que la sécurité du serveur c’est
nos enregistrements donc cela dépendra de comment on le fera pour rendre fiable le
mappage de nom de domaine de d’adresse IP.

CONCLUSION

En définitive, chacun des services cités ci-haut a été sécurisé. Toutefois, il existe
d’autres services qu’il faut apprendre à sécuriser. Après le déploiement des services
et leurs sécurisations, il faut noter chaque service doit être surveiller pour pallier à
d’éventuels incidents dans le réseau.
Nous vous invitons à faire plus de recherches et pratiques.

SUP-INFO UK Première promotion.