Quels sont les risques pratiques liés à l'activation des mises à jour DNS non sécurisées sous Windows?

9

Quels sont les risques pratiques liés à l'activation des mises à jour DNS non sécurisées sous Windows?

Pour autant que je trouve que l'activation des mises à jour DNS non sécurisées est une exigence pour permettre aux clients DHCP Linux d'enregistrer leurs noms avec un FQDN.

Je veux savoir quels sont les risques pratiques impliqués dans cela afin d'évaluer si c'est correct de les activer ou non.

Pour autant que je sache, une machine ne serait pas en mesure de reprendre un autre nom réservé, ce qui serait la seule véritable préoccupation que j'aie à présent.

Évidemment, ce serait le DDOS mais étant donné que nous parlons ici de l'intranet, je doute que cela puisse être un vrai risque.

L'avez-vous activé sur votre domaine ou non? Avez-vous déjà dû le désactiver en raison de problèmes avec celui-ci?

domain-name-system  active-directory  dhcp  internal-dns 
Sorin
source
Eh bien, si vous voulez que quelqu'un puisse déclarer que n'importe quel nom d'hôte est le leur (comme les boîtes DSL grand public) ...
joshudson

Réponses:

10

Peu sûr

Vous ne devez essentiellement jamais autoriser les mises à jour non sécurisées. Personnellement, je n'aime même pas que le serveur DNS vous permette même de désactiver les mises à jour sécurisées. Cela permet à toute personne sur votre réseau (comme un pirate) d'enregistrer des enregistrements DNS sans authentification Active Directory requise. Cela permettrait à l'attaquant de "falsifier" un nom DNS sur votre réseau et de rediriger les gens vers un autre serveur que celui qu'ils pensaient aller.

Un autre exemple de cas où ce paramètre peut gâcher votre journée accidentellement plutôt que par malveillance ... quelqu'un a désactivé les mises à jour sécurisées ... tous les HP ILOs (gestion hors bande) sur toutes les machines du réseau ont soudainement pu commencer l'enregistrement dynamique leurs propres enregistrements DNS ... mais les OIT ont été nommés de la même manière que les serveurs, ils ont donc écrasé les enregistrements DNS des serveurs hôtes!

La désactivation des mises à jour sécurisées est une idée terrible. Mais ne le fais pas.

Pour une solution possible pour que vos clients Linux tirent parti de DHCP afin d'enregistrer les enregistrements DNS en toute sécurité, cela pourrait aider: Enregistrer des enregistrements pour ma boîte Linux sur mon serveur DNS / DHCP Windows 2008

Ryan Ries
source
Ouais, il m'est arrivé une fois où quelqu'un a branché un ordinateur avec le même nom qu'un serveur et parce que mon prédécesseur avait désactivé toutes les formes de sécurité, l'entrée DNS du serveur a été remplacée par ce PC aléatoire, donc toutes les demandes des utilisateurs au serveur se retrouvant sur ce PC !!!
ETL
@ETL avez-vous mentionné que ce "serveur" était probablement hors ligne depuis longtemps et c'est pourquoi une autre machine a pu prendre son nom. Je doute que cela puisse se produire lorsque la machine est en marche.
sorin
@sorin - le serveur était définitivement opérationnel. Un serveur Linux avec, si je me souviens bien, une entrée DNS statique (qui n'a pas non plus été verrouillée pour l'édition)
ETL
Je travaille sur la mise en œuvre de la solution à partir du message lié, j'espère que cela fonctionnera.
sorin
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.