Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit une solution à un problème où la vulnérabilité du serveur DNS aux attaques de mise en cache du cache du serveur DNS.
Numéro de base de connaissances d’origine : 2678371
Symptômes
Qu’est-ce que l’enregistrement du cache DNS et comment l’empêcher ? décrit l’enregistrement du cache DNS comme suit :
L’enregistrement du cache DNS est lorsqu’une personne interroge un serveur DNS pour savoir (snoop) si le serveur DNS a un enregistrement DNS spécifique mis en cache, et donc déduire si le propriétaire du serveur DNS (ou ses utilisateurs) a récemment visité un site spécifique.
Cela peut révéler des informations sur le propriétaire du serveur DNS, telles que le fournisseur, la banque, le fournisseur de services, etc. qu’ils utilisent. En particulier si cela est confirmé (snooped) plusieurs fois sur une période.
Cette méthode peut même être utilisée pour collecter des informations statistiques , par exemple à quel moment le propriétaire du serveur DNS accède généralement à sa banque nette, etc. La valeur de durée de vie restante de l’enregistrement DNS mis en cache peut fournir des données très précises pour cela.L’enregistrement du cache DNS est possible même si le serveur DNS n’est pas configuré pour résoudre de manière récursive pour les tiers, tant qu’il fournit des enregistrements du cache également à des tiers.
Les audits de sécurité peuvent signaler que diverses implémentations de serveur DNS sont vulnérables aux attaques de mise en cache qui permettent à un attaquant distant d’identifier les domaines et les hôtes qui ont été résolus [récemment] par un serveur de noms donné.
Une fois que ce rapport de vulnérabilité de mise en cache est lu :
Divulgation d’informations à distance du cache du serveur DNS
Résumé :
Le serveur DNS distant est vulnérable aux attaques d’enregistrement de cache.
Description :
Le serveur DNS distant répond aux requêtes pour les domaines tiers qui n’ont pas le bit de récursivité défini. Cela peut permettre à un attaquant distant de déterminer quels domaines ont récemment été résolus via ce serveur de noms et, par conséquent, quels hôtes ont été récemment visités. Par exemple, si un attaquant s’intéressait à savoir si votre entreprise utilise le services en ligne d’une institution financière particulière, il serait en mesure d’utiliser cette attaque pour créer un modèle statistique concernant l’utilisation de cette institution financière. Bien sûr, l’attaque peut également être utilisée pour trouver des partenaires B2B, des modèles de surf web, des serveurs de messagerie externes, etc. Remarque : S’il s’agit d’un serveur DNS interne qui n’est pas accessible aux réseaux externes, les attaques sont limitées au réseau interne. Cela peut inclure des employés, des consultants et des utilisateurs potentiellement sur un réseau invité ou une connexion Wi-Fi si prise en charge.
Facteur de risque :
Moyenne
Score de base CVSS :5.0
CVSS2#AV :N/AC :L/Au :N/C :P/I :N/A :N
Voir aussi :
http://www.rootsecure.net/content/downloads/pdf/dns_cache_snooping.pdf
Solution :
Contactez le fournisseur du logiciel DNS pour obtenir un correctif.
Cause
Cette erreur est généralement signalée sur les serveurs DNS qui effectuent une récursivité.
Résolution
Il n’existe aucun correctif de code, car il s’agit d’un choix de configuration.
Il existe trois options :
Laissez la récursivité activée si le serveur DNS reste sur un réseau d’entreprise qui ne peut pas être atteint par des clients non approuvés
N’autorisez pas l’accès public aux serveurs DNS effectuant une récursivité
Désactiver la récursivité
Plus d’informations
Par défaut, les serveurs DNS Microsoft sont configurés pour autoriser la récursivité.
La récursivité du nom peut être désactivée globalement sur un serveur DNS Microsoft, mais elle ne peut pas être désactivée par client ou par interface.
La majorité des serveurs DNS Microsoft sont des pièces de monnaie avec le rôle serveur contrôleur de domaine. Ces serveurs hébergent généralement des zones hôtes et résolvent les noms DNS pour les appareils | appliances, clients membres, serveurs membres et contrôleurs de domaine dans une forêt Active Directory, mais peuvent également résoudre les noms des parties plus importantes d’un réseau d’entreprise. Étant donné que les serveurs DNS Microsoft sont généralement déployés derrière des pare-feu sur des réseaux d’entreprise, ils ne sont pas accessibles aux clients non approuvés. Les administrateurs de serveurs de ce paramètre doivent déterminer si la désactivation ou la limitation de la récursivité DNS est nécessaire.
La désactivation globale de la récursivité n’est pas une modification de configuration qui doit être prise légèrement, car cela signifie que le serveur DNS ne peut pas résoudre les noms DNS sur les zones qui ne sont pas conservées localement. Cela nécessite une planification DNS minutieuse. Par exemple, les clients ne peuvent généralement pas être pointés directement sur ces serveurs.
La décision de désactiver la récursivité (ou non) doit être prise en fonction du rôle que le serveur DNS est destiné à effectuer au sein du déploiement. Si le serveur est destiné à récurser les noms de ses clients, la récursivité ne peut pas être désactivée. Si le serveur est destiné à retourner des données uniquement hors des zones locales et qu’il n’est jamais destiné à récurser ou transférer pour les clients, la récursivité peut être désactivée.