Attaque du cache DNS

Attaque du cache DNS - Sécurité - Windows & Software

Marsh Posté le 05-10-2005 à 15:03:14    

Bonjour,
 
Je viens d'être victime d'une attaque sur mon serveur DNS (NT4.0). Concrètement, le cache, qui contenait jusque là la liste des serveurs root, a été modifié (de nouveaux serveurs "bidon" les ont remplacé).
J'ai cherché et j'ai vu à plusieurs reprises que ce problème était lié à une faille dans le serveur DNS de NT 4.0 et... c'est tout ! Pas de résolution ou de patch pour corriger le problème !
 
Si vous avez des idées ou des retours d'expérience, n'hésitez pas :D
 
Merci !
 

Reply

Marsh Posté le 05-10-2005 à 15:03:14   

Reply

Marsh Posté le 05-10-2005 à 15:04:34    

Si C ton firewall, met un autre firewall en front-end!

Reply

Marsh Posté le 05-10-2005 à 15:09:50    

Veloci_RaptoR a écrit :

Si C ton firewall, met un autre firewall en front-end!


 
Quoi ?

Reply

Marsh Posté le 05-10-2005 à 15:29:56    

Reply

Marsh Posté le 05-10-2005 à 15:52:40    

Reply

Marsh Posté le 14-10-2005 à 09:59:21    

Re-bonjour !!
 
J'ai bien mis le registre des mes DNS "à jour" et depuis quelques temps je n'avais plus d'erreur, mais vla ti pas que ce matin :
"Le serveur DNS a créé une boucle CNAME en chargeant l'enregistrement CNAME à aley.com.. Un lien dans la boucle CNAME : le nom DNS aley.com. est l'alias du CNAME aley.com.. Consultez les messages voisins pour d'autres liens dans la boucle CNAME."
Je ne comprends même pas ce que signifie ce message  :pt1cable: (les deux CNAME font référence l'un à l'autre et donc celà crée une boucle c'est ça ?)
 
Si vous avez des idées...
Merki !


Message édité par moldar le 14-10-2005 à 10:45:01
Reply

Marsh Posté le 14-10-2005 à 10:52:01    

dans le cas d'une faille dans l'implémentation d'un serveur DNS, un firewall ne sert à rien puisqu'il laisse passer le traffic DNS qui est valide.
C'est une attaque/faille applicative et un FW n'y peut rien la ...

Reply

Marsh Posté le 14-10-2005 à 11:01:43    

trictrac a écrit :

dans le cas d'une faille dans l'implémentation d'un serveur DNS, un firewall ne sert à rien puisqu'il laisse passer le traffic DNS qui est valide.
C'est une attaque/faille applicative et un FW n'y peut rien la ...


 
C'est le serveur DNS de NT4, c'est donc une faille/trou de sécurité/gruyère en lui même.
Ce qu'il y a c'est que je trouve pas de patch...
 

Reply

Marsh Posté le 14-10-2005 à 11:15:01    

Bonjour, tu as mis le SP6a??

Reply

Marsh Posté le 14-10-2005 à 11:24:10    

Malheureusement oui, il est à jour niveau "windowsupdate".

Reply

Marsh Posté le 14-10-2005 à 11:24:10   

Reply

Marsh Posté le 14-10-2005 à 11:40:06    

trictrac a écrit :

dans le cas d'une faille dans l'implémentation d'un serveur DNS, un firewall ne sert à rien puisqu'il laisse passer le traffic DNS qui est valide.
C'est une attaque/faille applicative et un FW n'y peut rien la ...


 
Heureusement que un Firewall peu bloques les trames non conforme. Il bloque les ports et fait aussi de l'analyse de contenu


Message édité par SylvainDNS le 14-10-2005 à 11:40:21
Reply

Marsh Posté le 14-10-2005 à 13:23:56    

non, pas un FW ... un reverse proxy, oui.
Un firewall s'arrete au niveau 3, voire 4 si on inclut la validité des séquences TCP ... mais pas plus loin.
Et c'est bien le plus grand danger, c'est que nombre d'entreprises se sentent protégée car derrière un FW. Hors, de nos jours, a cause justement de l'efficacité des nouveau FW (gestion des états, séquencement TCP, reforgeages des paquets ... ) les attaques se sont déplacées vers le niveau applicatif : une requete DNS mal formée exploitant une faille de l'implémentation win du serveur DNS passe sans probleme un FW. Ce dernier n'est pas fait pour connaitre tous les protocoles du monde, et c'est pas son role.
Pour ca, il faudrait mettre en place un reverse proxy DNS, mais je sais meme pas si ca existe ...

Reply

Marsh Posté le 14-10-2005 à 14:11:05    

Tout ça pour dire que je suis foutu...
Mais je suis d'accord avec toi tric, ça se passe dans les couches basses...


Message édité par moldar le 14-10-2005 à 14:16:07
Reply

Marsh Posté le 14-10-2005 à 14:18:36    

Perso j'utilise Arkoon comme FireWall, il fait du filtrage applicatif (IDPS)
Exemple pour le DNS :
 
http://www.foufouille.com/forum/idps.jpg

Reply

Marsh Posté le 14-10-2005 à 14:30:19    

Yep, aujourd'hui, la plupart des firewall permettent d'analyser les trames (donc oui, ça fé un peu proxy) pour les filtrer intelligement (cisco fait surtout ça dans leurs PIX).
ex.:  
 
Le firewall voit qu'un gars lance un grand nombre de connexions autorisé en même temps, alors il va décider de la bloquer car il considère ça comme un attaque.
 
C'est un firewall "intelligent" ;)

Reply

Marsh Posté le 14-10-2005 à 14:32:18    

M'a l'air pas mal cet Arkoon...
Mais bon, moi j'ai un Netasq et pas de reverse proxy :D

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed