Forum Linux.général Séparation autoritaire / récursif

Posté par bobmoutarde le 08 mai 2014 à 16:26. Licence CC By‑SA.

Étiquettes :

mai

2014

Hello,

Je configure actuellement BIND pour mettre en place un système DNS.
Je me suis posé la question suivante :

Faut-il séparer la fonction Autoritaire et Récursive ?

J'ai des zones sur lesquelles je suis maître et d'autres non. Est-ce que cela pose un soucis de sécurité de mixer les deux types ?

Cordialement,

# Séparation autoritaire / récursif

Posté par poiuy le 09 mai 2014 à 22:40. Évalué à 1.

Faut-il séparer la fonction Autoritaire et Récursive ?

Il vaut mieux. Je te conseille de regarder la conférence que Stéphane Bortzmeyer a donnée dans le cadre d' « il était une fois Internet », il explique les problématiques que l'on rencontre en mélangeant les deux. Elle est disponible ici : http://www.iletaitunefoisinternet.fr/dns-bortzmeyer/.

J'ai des zones sur lesquelles je suis maître et d'autres non. Est-ce que cela pose un soucis de sécurité de mixer les deux types ?

De quel souci de sécurité veux-tu parler ?
- [^] # Re: Séparation autoritaire / récursif
  
  Posté par bobmoutarde le 11 mai 2014 à 13:14. Évalué à 1.
  
  Merci pour le lien, c'est très intéressant !
  
  En étant maître sur la zone, il faut un serveur autoritaire. Et pour les autres un serveur récursif donc ça rejoignait ma première question de savoir si je dois créer deux VM un auto/un resolver ou si je pouvais faire les deux rôles en même temps.
  - [^] # Re: Séparation autoritaire / récursif
    
    Posté par poiuy le 11 mai 2014 à 18:27. Évalué à 1.
    
    Le fait d'utiliser un même démon bind pour faire un serveur DNS faisant autorité et un résolveur posent les mêmes problèmes de sécurité qu'en séparant les deux rôles.
    La « sécurité » que tu as l'air d'évoquer rejoint plutôt la sensibilité de ta configuration à des attaques de type DOS. Cela n'est pas en soi un problème de sécurité mais de disponibilité, de fiabilité, et de bon comportement de ton serveur sur l'internet.
    
    Si tu veux éviter les attaques DOS, je te conseille de commencer par lire ces liens :
    http://www.bortzmeyer.org/dns-attaque-ns-point.html
    http://www.cymru.com/Documents/secure-bind-template.html
    
    Note : tu constateras qu'un serveur DNS, même correctement configuré, continue de participer à une attaque par amplification en envoyant tout de même une réponse de type REFUSED/SERVFAIL.
    La configuration devient alors plus complexe, je te renvoie à ce genre de lien pour commencer :
    http://www.mill-yard.com/2013/07/centos-bind-blocking-dns-reflection-or-amplification-ddos-attacks-using-recursive-dns-lookups/
    
    Si tu veux sécuriser ton serveur, je te conseille de commencer par lire le chapitre sur la sécurité du livre « DNS and BIND » par Cricket Liu et Paul Albitz chez O'Reilly qui est bien fait.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.

# Séparation autoritaire / récursif

[^] # Re: Séparation autoritaire / récursif

[^] # Re: Séparation autoritaire / récursif