Accéder au contenu.
Menu Sympa

technique - Re: [TECH] Configuration DNS

Objet : Liste pour les discussions techniques (liste à inscription publique)

Archives de la liste

Re: [TECH] Configuration DNS


Chronologique Discussions 
  • From: Guillaume Avez <guillaume.avez AT gmail.com>
  • To: Patrice Pillot <patrice.pillot AT teletopie.net>
  • Cc: technique AT april.org
  • Subject: Re: [TECH] Configuration DNS
  • Date: Thu, 11 Mar 2010 11:52:44 +0100
  • Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=mime-version:in-reply-to:references:date:message-id:subject:from:to :cc:content-type:content-transfer-encoding; b=UmZ97i0keSAxpE3+MRJCIyLqBFLCbXifuyyogvhzz0kp85OZbYnuc+OEwb0mYVuBES N/nGR3kxkmQCPMNBU+YpC0r4BFLlUtZ4bXQJ5OiexcYnw3X5vB8ZKnaTzULyJzDXVkkr rE0BtbvJi+NYM70vxUXiJ40jmznxW8iQaahrQ=

Bonjour,

> autoriser les requêtes DNS sortantes vers d'autres serveurs DNS que les
> nôtres. Sans explications.
>
> Y aurait-il des spécialistes sur la liste qui pourraient m'indiquer des
> raisons légitimes pour un tel choix ? Je peux tout-à-fait comprendre
> qu'il filtre en entrée, mais en sortie...
>

La sécurité est une question de compromis entre l'usabilité et les blocages.
Si un poste fait des requêtes directement, il peut interroger un
serveur compromis (beaucoup d'alertes récemment sur des failles
existantes et exploitables lié à l'empoisonnement de cache)
D'une manière générale, les réseaux les plus sécurisés sortent via la
DMZ, jamais directement, à travers des proxy (web, resolver DNS, etc.)
Il me semble qu'à une époque, les virus changeaient les DNS du poste
pour empêcher les mises à jour de l'anti-virus... il faudrait
vérifier... c'est certainement encore le cas de certain... tout comme
ils changeaient le fichier lm_host.

C'est très simple à mettre en oeuvre, cela permet une meilleur
sécurité (et aussi un filtrage effectivement).
Maintenant, quelle est la contrepartie ?
Aucune pour la plupart des bons systèmes (libre).
Si je regarde mon poste sous MS windows, pour les raisons de virus, il
se trouve que l'anti-virus fait ses requêtes sur ses propres DNS il me
semble (vague souvenir d'avoir autoriser l'appli dans zone alarme). là
aussi à vérifier.
Par défaut je dirais que cela ne devrais pas avoir d'impact, mais à
vérifier si certains services sensibles fonctionne toujours. Et bien
sur cela dépend de l'infra : dans un réseau sécurisé, les antivirus se
mettent à jour sur un serveur interne et non directement sur internet,
donc aucun impact.

A mon avis, c'est l'application de la sécurité par DMZ, pas chère et efficace.

--
Guillaume




Archives gérées par MHonArc 2.6.16.

Haut de le page