[Résolu] Empêcher la récolte d'informations auprès du DNS

par **Grung** » 07 Juin 2007 15:16

Bonjour,

j'ai devant moi un serveur DNS microsoft, et dès que j'envoi

host -a -l <mondomaine>

je reçois une table de correspondance: nom de machine / adresse ip
cette faille permet d'avoir beaucoup d'informations sur le réseau

comment bloquer cette demande de requête ?

je vous remercie d'avance de votre aide
bonne fin de journée

par **arapaho** » 07 Juin 2007 15:55

Alors ..... réfléchissement ....gnnnn..... moins '-l', ça initie un transfert de zone ....gnnnnn... donc ...hummmf.... pour éviter ça ....hmmmm... il faut limiter les transferts de zones autorisés ..... pfou ......

par **Grung** » 07 Juin 2007 16:12

oui ça j'ai compris

mais où peut on règler ce paramètre ?
je suis entrin de me balader sur le site de bill, mais pour l'instant je ne trouve pas.

par **arapaho** » 07 Juin 2007 16:14

Dans les propriétés de la zone ?

par **fred-info** » 07 Juin 2007 17:00

Salut,

je vais répondre à coté, mais juste à coté. Histoire de montrer que les fuites sont graves, très graves avec MS.

Petit exercie pratique de fin de semaine :lol:

1/ installer ethereal (si ce n'est pas déjà fait) ...

2/ Double cliquer sur la sympathique petite horloge de la barre des taches.

3/ Aller sur l'onglet temps internet. Désactiver l'option synchroniser.

4/ Lancer ethereal en capture sur votre eth.

5/ Retourner dans la sympathique petite horloge et réactiver la synchro par défaut.

6/ Analyser votre capture. En gardant à l'esprit que ce que vous voyez n'est pas ce que vous envoyez.
(La capture décrite ci-dessus est en local mais il se passe beaucoup de choses dans les paquets avant la destination.)

En face :

Par l'analyse du champ XFF votre ip interne est connue ( à priori)
L'adresse du proxy (c'est lui qui fait la requete) est connue, c'est sur.
Les heures de connexions de la machine sont connues du site NTP.

Une petite analyse par site doit être assez sympa

Moi je trouve que c'est déjà pas mal comme fuites d'info.

Et ça ce n'est que la gentille petite horloge de MS.
Je n'ai pas du tout envie de lancer le débat des live update (par exemple)

Pour ce qui est des DNS :

J'ai un peu plus de mal à comprendre comment un serveur DNS en local (lan) va laisser transpirer des infos sur le "net" voire pas "net"

Tu vas quand même pas me dire que tu fais des transferts de zones avec l'exterieur, si ce n'est pas en vpn sur un site de ton 'groupe'.

Là j'aimerais bien qq infos supplémentaires.

Au plaisir de te lire

A+

par **Grung** » 07 Juin 2007 17:10

Bonjour,

Je suis tout simplement stagiaire dans une entreprise et je réalise un audit, et mes droits aux serveurs sont assez restreints.
J'ai reperé cela sur le serveur dns qui utilise W Server 2000, et l'admin de ce serveur m'a demandé de trouver comment se débarrasser de cette "faille"

donc il faudrait désactiver le transfert de zone sous le serveur windows mais comment je ne sais pas car je n'ai pas l'habitude sur des serveurs de ce type :roll:

par **fred-info** » 07 Juin 2007 17:40

e suis tout simplement stagiaire dans une entreprise et je réalise un audit,

Ok, et tu crois qu'en ne connaissant pas (ne maitrisant pas) ton périmètre d'action tu vas réussir à réaliser quelque chose de fiable que tu ne comprends pas?

Tu veux quoi, des réponses toutes faites?

As-tu déjà administré un, ou des serveurs DNS avec tranfert de zone, si oui, tu sais comment faire, y a ka cliquer. Si non ...

Je sais ma réponse n'est pas très cool

Mais, tu m'excuses un audit d'un stagiaire c'est pas un boulot qui doit être fait par "les autres"
Sinon t'apprendras rien.

Demande à "ton client" de te fournir une machine (même faible) et fais tes transferts de zones, bidouille les dns sur cette machine, vois comment ça marche, comprends ce que tu fais, sinon ça sert à rien, a mon avis.

Mais je fais partie des gens qui savent qu'il peuvent toujours se tromper. Même dans un conseil.

A+

par **Gandalf** » 07 Juin 2007 18:07

fred-info a écrit:Je sais ma réponse n'est pas très cool

Effectivement, alors on reste cooooooooooool .... Grung est dans une situation un peu délicate, il doit résussir son stage et l'admin semble être un prototype de feignasse qui ne sait pas forcément comment faire !

Peace :lol:

par **Grung** » 08 Juin 2007 09:53

Oui c'est pas très cool comme réponse, et Gandalf a raison à propos d'un certain prototype

Mais le problème c'est que je n'ai pas de pratique sur des W server, j'ai fais beaucoup d'Unix

donc c'est vrai j'avoue sur ce point je voudrais une réponse toue faîtes, car je n'ai accès à rien, c'est comme ci je cherchais quelque chose dans le noir

ce que je gagnerais en retour ? est que je connaîtrais un peu mieux ce système de clic et que ma "cote d'amour" va augmenter tout simplement

PS: je trouve qu'on ait très vite jugé et incendié ici :roll:

je suis un peu déçu

Bonne journée

par **Gandalf** » 08 Juin 2007 10:29

Salut Grung, il est clair qu'il te faut agir sur les transferts de zone, puisque l'option -l de la commande host s'en sert pour rapatrier toutes les infos.
Donc sous MS Windows 2003 serveur, tu lances la console dnsmgmt.msc, puis tu clic droit sur ton domaine, ensuite tu vas dans Transfert de Zones et tu ne les "autorises uniquement vers les serveurs listés dans l'onglet serveur de nom".
Ca devrait le faire, sinon repost on trouvera autre chose.

PS : ne jusge pas trop vite Ixus, c'est une communauté prête à aider, même si certains confondent Informatique et Compétition, laisse courrir .....

@ +

par **arapaho** » 08 Juin 2007 11:16

Oula ! Alors là non .... Je suis absolument et définitivement pas d'accord.

Grung a écrit:donc c'est vrai j'avoue sur ce point je voudrais une réponse toue faîtes, car je n'ai accès à rien, c'est comme ci je cherchais quelque chose dans le noir

ce que je gagnerais en retour ? est que je connaîtrais un peu mieux ce système de clic et que ma "cote d'amour" va augmenter tout simplement

Clairement, peut-être que vis à vis de ta question fort peu détaillée, les réponses ont été relativement aggressives. En particulier la mienne.
Par contre, ta réponse 'ala' "Non mais je connais gars, faut pas me prendre pour une branque", elle me fait sourire; vue qu'une simple http://www.google.fr/search?hl=fr&q=Win ... ogle&meta= permet d'avoir la réponse.

Qui plus est, je t'ai donné la réponse lors de ma deuxième intervention.

Grung a écrit:PS: je trouve qu'on ait très vite jugé et incendié ici je suis un peu déçu

Etre jugé, et pas avoir jugé caliméro. Ha oui: http://www.leconjugueur.com/

par **Gandalf** » 08 Juin 2007 11:28

Je trouve le ton employé dans ce post un peu raide à mon gout, si ça continue je vérouille.

par **fred-info** » 08 Juin 2007 11:36

Je présente mes excuses à tous ceux que j'ai pu froisser.

Désolé.

par **Grung** » 08 Juin 2007 13:36

Bonjour Monsieur arapaho,

je n'ai qu'une seule chose vous à dire: vous avez raison et j'ai tort! Je ne suis qu'un novice en la matière, c'est vrai je ne peux pas être à la hauteur de votre expérience professionnelle et de vos connaissances dans ce domaine. L'ignorance est, en résumé, une erreur de l'Homme.

D'autre part je vous remercie d'avoir corrigé mes fautes de conjugaison, encore là c'est un domaine que je ne maîtrise pas trop...mais bon pour cela je préfère en parler sur les forums adéquats.

Sinon pour parler d'autres choses: je voudrais dire à fred-info qu'il n'y a pas de mal et un grand remerciement à Gandalf pour son soutien, d'ailleurs s'il ferme le post, je lui communiquerai par mp l'avancée de sa solution qui va être proposé à la "feignasse", mais c'est dur pour le faire bouger :wink:

Bonne journée à tous!

par **Grung** » 09 Juin 2007 11:05

C'est bon, il a bougé et la méthode proposée par Gandalf marche

merci maintenant je ne peux pu demander le transfert de zone, cool

bonne journée à tous :wink:

[Résolu] Empêcher la récolte d'informations auprès du DNS

[Résolu] Empêcher la récolte d'informations auprès du DNS

Qui est en ligne ?