--- title: Windows et Active Directory cours 4 authors: jeremy.delbarre tags: ACDA, jeremy.delbarre --- # DNS - Service de résolution de nom - Resources critique sur internet - UDP/53 pour les requete et reponse - TCP/53 pour les redirections - base de données utilisée pour stocker les enregistrement - fichier texte - annuaire Active Directory - plusieurs type d'enregistrement - A: nom de machines/adresse IP - MX: serveur SMTP du domaine - SOA: donnée administrative de la zone - NS: serveur de la zone - CNAME: alias - SRV: localisation de service - PTR: pointeur pour la résolution inverse - les données sont organisée hiérarchiquement en zone: - la racine . - les domaines de premier niveau Ex: fr, net, com - les domaines pour les entreprises et les particulier ## Zone - Zone principale - Zone en lecture/écriture (fichier ou intégre a l'AD) - Zone secondaire - zone en lecture seule, réplique d'une autre zone (principale) - Zone de stub - zone copie d'une autre zone ne contenant que les enregistrements SOA, NS et A - permet de fournir les élement principaux sans donnée l'intégralité - Zone de rechercher inversé - stocke les PTR - Zone GlobalNames - permet la résolution de nom cours Netbios ## type de DNS - Serveur DNS Principale - serveur d'autorité d'une zone (SOA) - responsable de la correspondance - un par zone - Serveur DNS secondaire - permet de redonder le serveur principale pour éviter les surcharges - Serveur relais - resilution des noms en cache - client DNS - dispose d'un resolver en local - dispose lui aussi d'un cache DNS - peut s'enregistrer dynamiquement sur un serveur DNS ## réplication des zones - Transfert de Zone - réplication de tout ou partie des enregistrement DNS - de type maitre/esclave - entre le server DNS principale et secondaire - utilise le protocole DNS sur le TCP/53 - si la zone est intégrée dans l'AD - Zone hébergée uniquement sur des controleurs de domaine - replication multimaitre (comme pour l'AD) - modifiable par l'ensemble des serveurs DNS ## mécanisme de résolution - soit le DNS l'a deja dans le cache soit il va le demandé - deux mode - mode itératif - il renvoie l'addresse d'un autre serveur susceptible d'effectuer la résolution - le client vas donc relancer la requete sur l'autre serveur jusqu'a avoir récuper l'IP - mode récursif - vas demander a son serveur DNS - c'est le serveur DNS qui s'occupe de faire les requtes - le client attend une réponse de son propre serveur DNS - dans la vraie vie aucun des deux n'est utilisé c'est un mélange des deux - le client vas attendre une réponse de son serveur DNS - c'est le serveur DNS qui va faire le travail avec le mode itératif ## vulnérabilité et solutions - recherche manuelle - fastidieux mais discret - nslookup - parade - limiter les informations aux seules nécéssaires - séparer les infos privée et public - transfert de zone - tunneling DNS - fuite d'information via des canaux caché - corruption de résolution - rediriger les requetes d'un client vers un serveur maitrisé par un attaquant - modification du host ou de la config DNS - DNS cache poisoning - Déni de service - TSIG/GSS-TSIG - mécanisme d'authentification - signature des échanges - cyptographie symétrique ## TSIG étape - client cherche le serveur DNS - authorise le serveur - tente une maj non securisé (qui est refusé) - negocie le protocole a utilisé - demande une update des des DNS - le DNS demande a l'AD ## DNSSEC - extension de sécurité DNS - gestion des clés interne au DNS - authentification a l'origine des donnée -