Photo
Syndiquer ce site (rss)
Syndiquer ce site (XML)

J'adooore le web

29/03/2006

[Sécurité] Alerte AFNIC sur les DNS ouverts et sa solution

LA SOLUTION A ETE TESTEE.
VOUS POUVEZ MAINTENANT L'APPLIQUER SANS PROBLEME.

Salut à tous,
pour ceux qui ne sont pas adhérents AFNIC, le registre .FR, un mail à été envoyé ce matin pour avertir d'un gros problème avec les DNS.
Voici ce message et la solution que j'ai trouvé pour Bind sur RedHat OVH:


----- Original Message -----
From: "AFNIC"
To:
Sent: Wednesday, March 29, 2006 11:06 AM
Subject: Avertissement concernant les serveurs DNS récursifs ouverts


[Attached is an english version, if necessary.]

Vous l'avez peut-être vu dans la presse, les attaques par déni de service utilisant des serveurs DNS pour l'amplification sont en brusque augmentation.

Ces attaques ont en commun d'utiliser des serveurs DNS récursifs ouverts. Un serveur DNS récursif est dit ouvert lorsqu'il répond à des requêtes du monde entier (et pas seulement de son réseau local, comme il devrait le faire). Il peut alors servir de relais pour l'attaque par déni de service, engageant ainsi potentiellement la responsabilité
de son administrateur. La réponse DNS étant typiquement plus grosse que la requête, il y a amplification de l'attaque, permettant à l'attaquant d'économiser sa bande passante.

L'AFNIC tient à attirer l'attention de tous ses membres sur le danger que représentent les serveurs DNS récursifs ouverts. Ils ont peu d'usages légitimes alors que leur rôle dans les attaques actuelles en fait une menace pour tout l'Internet. L'AFNIC recommande fortement la fermeture de ces serveurs ouverts, selon les méthodes exposées dans les références. Par exemple, pour le serveur DNS BIND, l'usage de "recursion no" est demandé. Pour le service récursif à destination du réseau local (et des clients, pour un FAI), il faut utiliser une deuxième machine ou bien un deuxième démon sur la même machine ou encore les vues de BIND 9.

Vous pouvez naturellement demander détails ou aide à l'AFNIC.

L'AFNIC, ainsi que les autres registres de TLD, poursuit la réflexion quant aux autres mesures à adopter contre ce risque. Une des possibilités discutées est le refus de servir les requêtes des serveurs DNS récursifs ouverts. Pour l'instant, les études montrent qu'une part importante de serveurs de noms sur le réseau sont des récursifs ouverts, ce qui mérite notre attention collective et devrait faire l'objet de mesures correctives de la part des gestionnaires de serveurs de noms.


Références :

Securing an Internet Name Server
http://www.cert.org/archive/pdf/dns.pdf. Une très bonne synthèse pratique pour l'administrateur système.

DNS Amplification attacks
http://www.isotf.org/news/DNS-Amplification-Attacks.pdf. Une bonne description des attaques actuelles.

The Continuing Denial of Service Threat Posed by DNS Recursion
http://www.us-cert.gov/reading_room/DNS-recursion121605.pdf. L'avis du CERT états-unien.

Stop abusing my computer in DDOSes, thanks
http://weblog.barnet.com.au/edwin/cat_networking.html. Une description du premier cas connu de cette attaque, connu sous le nom de "x.p.ctrc.cc".

[En français] Il est recommandé de fermer les serveurs DNS récursifs ouverts
http://www.bortzmeyer.org/fermer-les-recursifs-ouverts.html. Inclus une description détaillée de l'attaque.

---------------

-- LA SOLUTION --
Il suffit donc d'éditer le fichier "/etc/named.conf" pour mettre en debut de fichier :
acl recurseallow { 212.27.32.132;ADRESSE.IP.PUBLIQUE.DE.VOTRE.SERVEUR;127.0.0.1;};
212.27.32.132 => ns.ovh.net au cas où, on ne sait jamais...
puis de rajouter dans la section options :
allow-recursion { recurseallow; };

N'essayez pas de rajouter simplement "recursion no;" dans options, vous risquez de casser les envois de mail avec qmail.

Merci à Xavier de la ML OVH pour son aide.

16:35 Publié dans Webmastering | Lien permanent | Commentaires (2) | Envoyer cette note