Re: [TECH] Configuration DNS

[Guillaume Avez <guillaume.avez AT gmail.com>]

Bonjour,

> autoriser les requêtes DNS sortantes vers d'autres serveurs DNS que les
> nôtres. Sans explications.
>
> Y aurait-il des spécialistes sur la liste qui pourraient m'indiquer des
> raisons légitimes pour un tel choix ? Je peux tout-à-fait comprendre
> qu'il filtre en entrée, mais en sortie...
>

La sécurité est une question de compromis entre l'usabilité et les blocages.
Si un poste fait des requêtes directement, il peut interroger un
serveur compromis (beaucoup d'alertes récemment sur des failles
existantes et exploitables lié à l'empoisonnement de cache)
D'une manière générale, les réseaux les plus sécurisés sortent via la
DMZ, jamais directement, à travers des proxy (web, resolver DNS, etc.)
Il me semble qu'à une époque, les virus changeaient les DNS du poste
pour empêcher les mises à jour de l'anti-virus... il faudrait
vérifier... c'est certainement encore le cas de certain... tout comme
ils changeaient le fichier lm_host.

C'est très simple à mettre en oeuvre, cela permet une meilleur
sécurité (et aussi un filtrage effectivement).
Maintenant, quelle est la contrepartie ?
Aucune pour la plupart des bons systèmes (libre).
Si je regarde mon poste sous MS windows, pour les raisons de virus, il
se trouve que l'anti-virus fait ses requêtes sur ses propres DNS il me
semble (vague souvenir d'avoir autoriser l'appli dans zone alarme). là
aussi à vérifier.
Par défaut je dirais que cela ne devrais pas avoir d'impact, mais à
vérifier si certains services sensibles fonctionne toujours. Et bien
sur cela dépend de l'infra : dans un réseau sécurisé, les antivirus se
mettent à jour sur un serveur interne et non directement sur internet,
donc aucun impact.

A mon avis, c'est l'application de la sécurité par DMZ, pas chère et efficace.

-- 
Guillaume