Open DNS servers

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Open DNS servers

Messagepar stephadou » 03 Mars 2006 17:59

Salut à tous,
j'ai configuré mon serveur DNS, sous DEBIAN Sarge.
mais quant je test ma résolution inverse, j'ai quelque chose comme :
mon_addresse_ip.domaine_de_mon_fournisseur_ip

En regardant le dnsreport, j'ai un "fail" sur Open DNS servers

Qu'est ce que cela veut dire ???
Est ce une erreure grave ???

Merci de m'apporter une reponse. :cry:
stephadou
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 11 Août 2004 17:28

Messagepar stephadou » 03 Mars 2006 18:01

Au fait le site de dnsreport : http://www.dnsreport.com/
stephadou
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 11 Août 2004 17:28

Re: Open DNS servers

Messagepar tomtom » 03 Mars 2006 20:21

stephadou a écrit:Salut à tous,
j'ai configuré mon serveur DNS, sous DEBIAN Sarge.
mais quant je test ma résolution inverse, j'ai quelque chose comme :
:mon_addresse_ip.domaine_de_mon_fournisseur_ip

Ca, c'est normal, ton IP appartient à ton fournisseur, et les resolutions inverses sont faites par lui.
Certains te proposent de le personaliser si tu as une ip fixe (free par exemple, mais l'operation est irreversible et non modifiable, je ne comprends pas tellement pourquoi..)


En regardant le dnsreport, j'ai un "fail" sur Open DNS servers

Qu'est ce que cela veut dire ???
Est ce une erreure grave ???

Merci de m'apporter une reponse. :cry:

Dans mon vocabulaire, un "open dns" est un serveur DNS en mode recursif, c'est à dire que s'il ne connait pas la reponse à une requete, il va faire une requete vers un serveur autorité de la zone et retourner la reponse au client.
C'est un risque de securité, car ce genre de DNS peut se faire "poisonner" assez facilement avec des serveurs DNS piégés, et en plus ça consomme des ressources inutiles.
Il me semble que Bind est dans cette config par defaut.
Il y a d'autres attaques possibles contre les serveurs recursifs...

C'est juste une option de bind à desactiver je pense.

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar stephadou » 04 Mars 2006 11:36

Merci tomtom,
je penses que tes explications m'on permis de bien comprend :P

Mais est ce que le fait que bind désactive l'option "open Dns" par défaut,
peut m'empêcher m'avoir accès a certains service !!!

Encore une merci :roll:
stephadou
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 11 Août 2004 17:28

Messagepar tomtom » 04 Mars 2006 15:05

Normalement, non.

Tu peux autoriser par exemple les requets recursives pour un lan, et n'autoriser que les requetes sur ton domaine depuis l'exterieur.
Tout ça doit etre expliqué dans la doc de bind.

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar stephadou » 06 Mars 2006 16:24

OK,
Il se trouve que certains serveur de messagerie n'autorise pas de mail venant de machine n'ayant pas de resolution inverse,
dans ce cas, cela pourrais me poser quelque problème.

Qu' en pensez vous :wink:
stephadou
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 11 Août 2004 17:28


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron