06mai 2007
[Article MISC] Mon serveur DNS, mon IDS oublié ;-)
14:42 - Par chris - articles - 2 commentaires
Le numéro de Mai/Juin 2007 de MISC publie un article de votre serviteur sur l'utilisation d'un serveur DNS d'entreprise en tant que sonde de détections d'intrusion. Enjoy !
Le numéro de Mai/Juin 2007 de MISC est sorti 
Au milieu d'articles pointus sur la sécurité de la VOIP (par exemple), vous pourrez y lire un article écrit par mes soins, bien moins expert certes que ses congénères mais pouvant peut-être vous aider dans votre lutte quotidienne contre les intrusions au sein de votre LAN chéri 
L'idée : utiliser votre serveur DNS en tant que sonde de détection d'intrusion (aka IDS).
Les prérequis :
- avoir une architecture DNS répondant aux critères de sécurité décrits dans cet article,
- avoir une interconnexion avec l'internet ENTIEREMENT basée sur des proxies (HTTP notamment) ou des relais (SMTP, DNS).
La mise en oeuvre :
- sur le serveur BIND, rendre actif le log des requêtes reçues par le serveur,
- au sein de ces requêtes, identifier toutes les adresses IP n'étant PAS celles des serveurs relais ou proxies.
Vous avez avec cette liste d'adresses IP une liste potentielle des postes infectés (ou mal configurés ).
Le reste c 'est chez votre libraire préféré ;-) !
2 commentaires
Pas mal l'idée, pas mal du tout même
Par contre, tu ne trouveras que les postes infectés par des virus lançant des requêtes DNS.
Merci et tu as tout à fait raison :
1) c'est pour cela que l'on peut coupler cette recherche avec une recherche sur les requêtes rejetées par les ACL sur le routeur (postes lambda vers Internet). La liste des postes sera alors exhaustive
2) le point le plus important tant pour la recherche sur le DNS que côté routeur est de disposer d'une architecture entièrement "proxyifiée" (proxy http, relais smtp et interdiction de résolution DNS externe pour les postes).