Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Faille DNS : Les outils d'exploitation sont disponibles dans Metasploit

Faille DNS : Les outils d'exploitation sont disponibles dans Metasploit
2008-07-242013-02-11actualités et événementsfr
Les cartes viennent d'être quelque peu re-distribuées : Comme évoqué dans mon bulletin d'hier, le framework Metasploit intègre désormais le module permettant d'exploiter les serveurs DNS vulnérables à la faille  de poisoning. Il n'est pas (jamais) trop tard pour bien faire :...
Publié le 24 Juillet 2008 par Jean-François Audenard dans actualités et événements

Les cartes viennent d'être quelque peu re-distribuées : Comme évoqué dans mon bulletin d'hier, le framework Metasploit intègre désormais le module permettant d'exploiter les serveurs DNS vulnérables à la faille  de poisoning.

Il n'est pas (jamais) trop tard pour bien faire : Patchez vos serveurs DNS ou re-configurez les pour forwarder les demandes de résolution vers des serveurs DNS sécurisés.

Les cibles d'attaques sur internet étant très nombreuses, un attaquant "opportuniste" aura tendance à se tourner sur les "quick wins" en priorité (et je ne parle pas des "scripts kiddies").

C'est pourquoi je vous propose 4 recommandations supplémentaires (certaines très classiques, pas de "breaking news" je vous rassure).

1) Séparez les fonctions de vos serveurs DNS : Faites qu'un serveur DNS ne soit pas autoritaire et resolver à la fois : Cela permettra d'éviter que vos zones "primaires/autoritaires" soit elles-aussi mises à mal.

2) Limitez l'accès à vos resolvers : Ils ne doivent répondre qu'aux requêtes en provenance de vos clients et uniquement d'eux. Cad que vous ne devez pas être en "open resolvers" comme il y en a beaucoup (trop) sur Internet.

3) Mettez en place des mécanismes de supervision (lisez la doc de votre serveurs DNS, certains d'entre eux proposent des fonctions très intéressantes), mettez à jour vos IDS/IPS afin d'utiliser les signatures de détection d'attaques qui commencent à émerger

4) .... En cas de doute ou même périodiquement, vous pouvez toujours "flusher" le cache de vos serveurs DNS afin de faire disparaitre toute trace de poisoning...

Pour ceux qui souhaitent en savoir plus, les deux articles suivants décrivent plus en détail ce qui est disponible dans Metasploit :

Pour finir sur une note positive, avez-vous vu que le processus d'adoption de DNSSEC pour la zone ".org" a été récemment annoncé ? Pour en suivre le déploiement, je vous invite à consulter un site dédié au sujet.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage