DNS (Domain Name System) est une méthode avec une longue histoire. Elle permet d'attribuer des noms de domaine aux ordinateurs avec des adresses IP afin que les ordinateurs aient des noms de caractères. Par exemple, l'ordinateur avec l'adresse IP 207.46.193.254 est le serveur Microsoft www. Microsoft.com. Le DNS est bien conçu et fonctionne très bien la plupart du temps. Cependant, il y a toujours des situations insatisfaisantes et cela surviendra, causant des maux de tête aux administrateurs. Alors comment trouver les indices de son échec ? Quels sont les domaines de votre système DNS qui ne sont pas idéaux ?
Y a-t-il un modèle à suivre ? La réponse est oui. Voici sept péchés des serveurs DNS pour votre référence :
1. Utilisez une ancienne version de BIND.
Bind, en tant que logiciel de serveur DNS open source, est actuellement le logiciel de serveur DNS le plus utilisé au monde. Presque la plupart des anciennes versions de BIND présentent des vulnérabilités graves et bien connues. Les attaquants peuvent exploiter ces vulnérabilités pour faire tomber nos serveurs de noms DNS et compromettre les hôtes qui les exécutent. Par conséquent, vous devez vous assurer d’utiliser la dernière version de BIND et de la corriger à temps.
2. Placez tous les serveurs de noms de domaine importants dans le même sous-réseau.
Dans ce cas, la panne d’un équipement, comme un switch ou un routeur, ou une panne d’une connexion réseau empêcherait les internautes d’accéder à votre site internet ou de vous envoyer des emails.
3. Autoriser la récursion vers des demandeurs non autorisés.
Si la situation suivante est définie :
(récursion oui|non; [oui]
allow-recursion { address_match_list } ; [tous les hôtes]
|
C'est dangereux. Ici, l'option de récursivité spécifie si nommé interroge d'autres serveurs de noms de domaine au nom du client. Les serveurs de noms ne sont généralement pas configurés pour désactiver la récursion. Nous devrions au moins autoriser la récursivité pour nos propres clients, mais désactiver la récursivité pour les requêtes externes. Parce que si vous pouvez gérer des requêtes récursives pour n'importe quel client, vous exposerez le serveur de noms à un empoisonnement du cache et à des attaques par déni de service.
4. Autorisez les serveurs de noms secondaires non autorisés à effectuer des transferts de zone.
Le transfert de zone fait référence au processus de copie des fichiers de base de données de zone entre plusieurs serveurs DNS. Si vous fournissez des services de transfert de zone à des demandeurs arbitraires, vous exposerez le serveur de noms de domaine aux attaquants, provoquant ainsi un crash du serveur.
5. Aucun redirecteur DNS n'est utilisé.
Un redirecteur DNS est un serveur qui effectue des requêtes DNS pour le compte d'autres services DNS. De nombreux logiciels de serveur de noms, notamment les serveurs DNS de Microsoft et certains anciens serveurs de noms BIND, ne se protègent pas de manière adéquate contre l'empoisonnement du cache, et d'autres logiciels de serveur DNS présentent également des vulnérabilités qui peuvent être exploitées par des réponses malveillantes. Mais de nombreux administrateurs autorisent ces serveurs de noms à interroger directement d'autres serveurs de noms sur Internet, sans utiliser de redirecteurs du tout.
6. Définition incorrecte de la valeur de début d'autorité (SOA).
SOA marque le début des données de zone et définit les paramètres qui affectent l'ensemble de la zone. De nombreux administrateurs définissent une valeur de zone trop basse, ce qui peut entraîner des perturbations du système lorsque les requêtes de vidage ou les transferts de zone commencent à échouer. Depuis que la RFC a redéfini la SOA, certaines personnes ont réinitialisé la durée de vie négative de la mise en cache, la rendant trop élevée.
7. Enregistrements NS incompatibles dans les données d'autorisation et de zone.
Certains administrateurs ajoutent ou suppriment des serveurs de noms principaux mais oublient d'apporter les modifications correspondantes aux données de délégation de leur zone (appelées données de délégation). Cela prolongera le temps nécessaire à la résolution des noms de domaine et réduira la flexibilité.
Bien sûr, ce ne sont là que quelques erreurs courantes que les administrateurs peuvent commettre, mais elles peuvent servir de référence de base pour configurer votre serveur DNS.