Scribd Logo
Importer

Bienvenue sur Scribd !

  • 5

    Transféré par

    MOU RFIX
    5 vues2 pages

    Copyright

    © © All Rights Reserved

    Formats disponibles

    DOCX, PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme DOCX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    5 vues2 pages

    5

    Transféré par

    MOU RFIX

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme DOCX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 2

     Ne pas autoriser le transfert de zone vers tous les serveurs et configurer le transfert

    de zone à l’aide du protocole IPSEC.


     Protéger le cache contre la pollution.

    Depuis une mise à jour sur Windows server 2008, concernant une vulnérabilité d'empoisonnement
    des caches DNS, le système utilise un pool de socket aléatoire avec 2500 possibilités pour le port
    source. Il est possible de modifier la taille du pool entre 0 et
    10000, plus le chiffre est élevé et plus le risque de d'empoisonnement du cache DNS est faible. La
    valeur par défaut est de 2500.
    Pour comprendre le principe, lorsque le serveur DNS a besoin de résoudre un nom dont il ne fait pas
    autorité, il va avoir besoin d'interroger un autre DNS. La réponse reçue fera office de
    réponse valable pendant la durée de vie et sera stockée dans le cache. Par défaut un attaquant
    pourrait envoyer une demande de résolution de nom et en même temps envoyé des paquets de
    réponses DNS pour la même question en truquant la réponse.
    Pour réduite ce risque, le serveur DNS envoi une requête à un autre serveur DNS en utilisant un port
    source aléatoire et comme port de destination, le port 53, bien connu. La réponse du serveur devra
    lui parvenir sur le port en incluant l'ID de transaction. Il sera
    difficile à un attaquant de prédire le port source s'il varie aléatoirement et provoquer un
    empoisonnement de la zone DNS.
    Si l'option de pool de socket est activée par défaut, il est possible de modifier la taille du pool. Par
    défaut de 2500, il est possible d'aller jusqu'à 10000.
    Il n'est pas recommandé de désactiver cette protection. La commande suivante permet de voir la
    taille du pool de socket :

    DnsCmd /info /SocketPoolSize


    La commande suivante permet de modifier la taille du pool de
    socket
    Dnscmd /config /SocketPoolSize 3000
    L’option Secure cache against pollution permet aussi de limiter le risque de pollution du cache DNS et se
    configure (activée par défaut) au niveau des propriétés du serveur DNS

    Les serveurs DNS Windows Server 2008 R2 (et versions ultérieures) permettent de bloquer le changement pour
    une entrée DNS dans le cache pendant une période de temps qui correspond à un pourcentage de la durée de
    vie de l’entrée DNS (Time to Live ou TTL). Dans l’exemple ci-dessous la durée de vie de l’entrée DNS
    CXCIRSEVEN-PC.msreport.be est de 20 minutes.

    Vous aimerez peut-être aussi