Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Faille DNS Poisoning : Il n'est pas encore trop tard pour se protéger

Faille DNS Poisoning : Il n'est pas encore trop tard pour se protéger
2008-07-232013-02-11actualités et événementsfr
Comme précisé dans mon post d'hier, les détails sur la faille de DNS poisoning sont désormais connus. Des experts dans le domaine de la sécurité comme Dave Aitel d'Immunity ou de HD Moore estiment [1] que le développement d'un outil est une tâche peu complexe et son temps de mise au...
Publié le 23 Juillet 2008 par Jean-François Audenard dans actualités et événements

Comme précisé dans mon post d'hier, les détails sur la faille de DNS poisoning sont désormais connus. Des experts dans le domaine de la sécurité comme Dave Aitel d'Immunity ou de HD Moore estiment [1] que le développement d'un outil est une tâche peu complexe et son temps de mise au point de l'ordre de la journée.

Le SANS Internet Storm Center (SANS ISC) recommande un "PATCH NOW" dans son bulletin d'information intitulé "SANS ISC, Dan Kaminsky's DNS bug: revealed? - Patch!".

Dans ce contexte, comment réagir rapidement pour protéger votre organisation et ses activités ?

Votre fournisseur d'accès Internet (ISP) peut-il vous aider ?

Pour commencer, il n'est jamais trop tard pour bien faire : Patchez vos serveurs DNS configurés en resolvers. Les patchs sont disponibles depuis maintenant quelques semaines, toutes les informations utiles et liens sont disponibles dans les bulletins du CERT US (US-CERT Vulnerability Note VU#800113) ou du CERT-IST (CERT-IST/AV-2008.310, Vulnérabilité DNS).

Si, pour diverses raisons, vous ne pouvez patcher vos serveurs, ou si vous manquez de temps pour vérifier la non-régression des correctifs, la configuration de vos serveurs en des "forwarders" vous permet de déléguer la résolution des noms à un ou plusieurs DNS qui eux sont patchés : En procédant de la sorte, vos serveurs sont protégés car plus en communication directe avec l'Internet.

Des guides de configuration "DNS forwarders" pour les serveurs ISC Bind sont disponibles à cette page [2] ou pour les serveurs DNS en environnement Microsoft ICI [3].

Quels serveurs "fiables" utiliser ? Ceux de votre fournisseur d'accès Internet (ISP) qui devraient être sécurisés ou ceux d'acteurs spécialisés dans le domaine (par exemple www.opendns.com).

Pour les clients d'Orange Business Services :

Ils peuvent reconfigurer leurs serveurs DNS privés afin de renvoyer (ou "forwarder") leurs requêtes de résolution DNS vers les serveurs DNS des plateformes de service. En procédant de la sorte vous protégez automatiquement vos serveurs DNS des attaques en poisoning. Ceci fait, vous pouvez plus sereinement procéder à leur mise à jour pour ensuite désactiver ce renvoi ou "forward".

Ces serveurs DNS, aussi connus sous le nom de "Serveurs DNS Oléane" sont accessibles via les adresses IP 194.2.0.20 et 194.2.0.50. Ils sont réservés à l'usage exclusif des clients d'Orange Business Services.

Ces serveurs DNS sont bien évidemment à jour des derniers patchs de sécurité et implémentent des mécanismes évolués pour contrer les attaques de "DNS poisoning". Cela pourra d'ailleurs peut-être faire l'objet d'un futur bulletin.

[1] NetworkWorld, With DNS flaw now public, attack code imminent, July 23, 2008 http://www.networkworld.com/news/2008/072308-with-dns-flaw-now-public.html?hpg1=bn

[2] ISC, Setting up BIND to forward to patched name server
ttp://www.isc.org/index.pl?/sw/bind/index.php

[3] Microsoft, COMMENT FAIRE : Configuration de DNS pour l'accès à Internet dans Windows Server 2003
http://support.microsoft.com/kb/323380

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage