Fermer l`Open-Resolver

Fermer l‘Open-Resolver
Client/Projet:
CCC
Version/Date:
1.0
15.07.2013
Auteur/Auteurs:
green.ch Auteurs Team
Seite 1/12
1 Table des matières
Table des matières .................................................................................................................. 2
A Observations générales ...................................................................................................... 3
2.1
Objectif de ce document .................................................................................................. 3
2.2
Comment fonctionne une attaque Dns amplifiée?................................................................ 3
2.3
Contre-mesures ............................................................................................................. 4
2.3.1
Quels sont les PC zombies et comment protéger son PC? .............................................. 4
2.3.2
Désactiver l‘Open Resolver ........................................................................................ 4
2.3.3
Vérifiez la connexion Server ou DNS........................................................................... 5
3
Fermer l‘Open Resolver ......................................................................................................... 6
3.1
DSL Modem/Router ......................................................................................................... 6
3.1.1
Fermer l‘Open Resolver du Zyxel P660 (similaire pour les autres appareils Zyxel) ............ 6
3.1.2
Fermer un Open Resolver sur la Fritz!Box 7390(Workaround) ........................................ 7
3.2
Windows DNS Server .....................................................................................................10
3.3
Bind DNS Server ...........................................................................................................12
1
2
Seite 2/12
2 A Observations générales
2.1 Objectif de ce document
Les serveurs DNS ouverts sur internet posent un danger à haut risque. Par ce qu'on appelle cela une
attaque d’amplification DNS. Le serveur DNS qui est ouvert devient une cible et peut être abusé par
n'importe quelle attaque. Cela provoque des dommages à la personne concernée. En outre, l'infrastructure réseau devient inutilement alourdie.
Par conséquent, il est nécessaire de limité les demmandes du serveur DNS en circuit ouvert ou la plage
d'adresses IP.
Ce document décrit comment configuré le serveur DNS de telle sorte qu'il ne peut plus être abusé par
un Angreiffer.
2.2 Comment fonctionne une attaque Dns amplifiée?
En combinaison avec IP-Spoofing et récursion ouverte, des agresseurs exécutent une attaque DDoS
d’amplification DNS comme c'est indiqué plus loin.
1 L'attaquant recueille une "zombie armée". Il s'agit généralement d’un PC compromis sur Internet.
2 Dans le fichier de zone propre (ou piraté) du serveur de nom, il écrit un temps machine qui génère de
grands paquets de réponse. Dans le fichier de zone de votre propre DNS est écrit un surcoît de données
que les paquets de réponse ne sont plus caplables de gérer.
3 L'attaquant ordonne à ses «zombies» effectuent une requête DNS continue dans le fichier de zone manipulé. Les Zombies envoient la demande d'abord à un serveur de DNS ouvert. Comme expéditeur de
l'adresse IP, les Zombies utilisent l'IP dans le but de la pirater.
4 Si le serveur DNS encore ouvert présente une demande dans le fichier de zone compromise, la demande sera cette fois-ci exécutée. Le serveur de DNS ouvert prend le résultat (temps machine) dans son
cache.
5 Le serveur DNS ouvert, dit maintenant qu'il retourne la réponse à un zombie. Depuis la période d'enquête, cependant, falsifiées (usurpation d'adresse IP), la réponse est envoyée à la victime.
6 Maintenant, la victime est spammé avec de gros paquets de réponse inutiles. Les grandes réponses
DNS viennent en plusieurs paquets IP de la victime et il doit y être réassemblés. ainsi
Les résultats sont dévastateurs. Sous réserve des contre-mesures et la robustesse du serveur DNS cible,
la fonctionnalité du serveur DNS est soit sévèrement limitée ou arrêtée au pire. Services pour lesquels le
Seite 3/12
serveur DNS qui fournit la résolution de nom n’est plus disponibles. Outre le travail de réparation est
créé ainsi que la perte économique pour la victime.
2.3 Contre-mesures
Malheureusement, il ne sera pas possible de prévenir de telles attaques en général. Cependant, un pirate
peut être privé de ses «outils». Voici ce qui peut être appliquée aux deux points suivants.
1. Chez Zombie – Botnet
2. Chez Open Resolvern
2.3.1 Quels sont les PC zombies et comment protéger son PC?
Un Zombie-Botnet se compose, habituellement, d'un assemblage d’ordinateurs contaminés. Chaque ordinateur qui est connecté à internet peut le devenir via les piüces jointes ou les virus . Si l'ordinateur est
donc contaminé, il devient le Zombie et accomplit les ordres de son "maître". Dans le cas décrit ici en
rapport avec une attaque d’amplification DNS.
Quand on scanne son ordinateur régulièrement, avec un programme anti-virus, on peut agir simplement
sur les virus et les pièces jointes. En outre, on n'empêche l'envahissement de virus pendant la lecture
d'e-mail aussi en empêchant toutes fenêtres de publicitée « Pop-up ». Onse restreint simplement aux
sites de confiance.
2.3.2 Désactiver l‘Open Resolver
Ouvert lesrésolveurs DNS sont des systèmes qui sont exploités inconsciemment ou consciemment par
les internautes. Ce n'est pas nécessairement le serveur DNS. Il ya aussi les modems DSL qui opèrent
dans la configuration par défaut en tant qu'arbitres (exemple: ZyXEL P66R-D1).
Serveur DNS BIND ou comme serveur DNS Windows peut également être configuré comme un résolveur
ouvert.
Pour résoudre les problèmes, la récursivité doit être coupée sur les serveurs DNS. De plus il doit être
défini pour chaque serveur DNS qui ont un IP de faire des requêtes DNS (par exemple, seulement à partir
de votre propre réseau). Cela empêche l'utilisation abusive des étrangers pour ouvrir le résolveur.
Pour les modems qui fonctionnent comme des résolveurs ouverts, la fonction peut être désactivée habituellement dans la configuration.
Seite 4/12
2.3.3 Vérifiez la connexion Server ou DNS
Avec un truc simple, n'importe quel utilisateur peut tester pour voir si son serveur ou un périphérique
DSL est un résolveur ouvert.
REMARQUE: L'ordinateur de test ne doit pas être situé dans le même réseau que le serveur
DNS. Faites le test d'un accès Internet indépendant.
1. Déterminez l'adresse IP que vous souhaitez vérifier. Pour un serveur, ce qui devrait être connu.
Avec une connexion DSL, vous pouvez les afficher sur le site Web www.wieistmeineip.de
2. Ouvrez la barre de coomande de Windows (CMD).
3. Veuillez écrire les commandes suivantes:
a) Nslookup –q=all (Enter)
b) Server <IP Adresse> (Enter) exemple l: Server 8.8.8.8
c) green.ch (Enter)
4.
Obtenez une réponse selon le schéma à l'article 3, que vous avez avec la plus grande probabilité
d'un résolveur ouvert dans votre système .
Seite 5/12
5. Obtenez un time-out comme le montre la figure ci-dessous, il n’y a pas de résolveur ouvert exploité par des tiers.
3 Fermer l‘Open Resolver
3.1 DSL Modem/Router
Si le modem DSL crée un résolveur ouvert, s'il vous plaît consulter le manuel de votre appareil. Comme
par exemple avec un modem Zyxel (P660R).
3.1.1 Fermer l‘Open Resolver du Zyxel P660 (similaire pour les autres appareils Zyxel)
Les réglages d'usine pour le ZyXEL P660 incluent une ouverture vers le serveur DNS Internet. Vous pouvez ouvrir le serveur DNS dans la console Web sous l’onglet "Avancé - Télécommande MGMT - DNS".
Procédez comme suit:
1. Ouvrez votre navigateur et tapez l’adresse Ip suivante : 192.168.1.1
2. Enregistez vous avec votre nom d’utilisateur et mot de passe, ci ceux-ci sont ceux d’origine, cela
devrait fonctionner avec les identifiants suivants :
Nom d‘utilisateur: admin
Mot de passe: 1234
3. Ensuite, allez dans "Advanced - MGMT distance - DNS", puis le "Status d'accès" de WAN à LAN.
4. Cliquez sur „Apply“ pour enregister les changements.
Seite 6/12
3.1.2 Fermer un Open Resolver sur la Fritz!Box 7390(Workaround)
Une fois que vous désactivez la case NAT 7390 dans les paramètres du réseau de la FRITZBOX 7390.
Le routeur agit comme un résolveur ouvert. Si le Nat doit forcément rester désactivé, vous pouvez fermer l'Open Resolver avec Workaround de la manière suivante :
1. Ouvrer votre navigateur et tappez l’adresse IP de votre Fritz!Box 7390 ein. L’adresse IP standard de votre Fritz!Box 7390 est 192.168.178.1.
2. Loggez vous ensuite à l’aide de votre mot de passe.
3. Vérifiez s’il y a une nouvelle version pour le Firmware de l’appareil et si nécessaire faites une
mise à jour. Cette étape est facultative, mais fortement recommandée!
4.
Activez la console en mode expert. Il suffit de cliquer sur "Mode : standard".
Ensuite la ligne devrait ressembler à cela:
Seite 7/12
5. Maintenant, cliquez sur "Internet  Données d’accès " et sélectionnez l'onglet "Serveur DNS".
Sélectionnez «Utiliser autre serveur DNSv4" et entrez dans les champs "Serveur DNSv4 privilégié» et «Serveur DNSv4 alternatif", entrez l'adresse IP 255.255.255.255 .
Cliquez sur «Appliquer » pour enregistrer les paramètres.
La deuxiemme variante pour fermer un Open Resolver est d’activer le Nat à nouveau.
1. Loggez vous dans la console du Fritz!Box et activez le mode Expert.
2. Allez ensuite dans "Réseau domestique  Réseau  Configuration rèseau" et cliquez là sur les
"Adresses IPv4".
Seite 8/12
3. Supprimer "Désactiver le NAT" dans les options , puis cliquez sur OK pour accepter la modification.
Seite 9/12
3.2 Windows DNS Server
1. Ouvrez le „Server Manager“
2. Choisissez votre DNS-Server (click droit) et allez dans „Properties“ (Installation)
Seite 10/12
3. Dans l'onglet "Avancé" (étendu) vous cochez l'option "Désactiver la récursivité (c. désactive les
transitaires)
4. Définir l'onglet "Interfaces", les adresses IP qui sont autorisés à poster des requêtes DNS.
Seite 11/12
3.3 Bind DNS Server
L’intégralité de ces instructions est omise. La configuration de Bind est très complexe. Par conséquent,
seuls deux conseils sont donnés sur la façon de faire un serveur BIND9 ouvert et un peu plus sûr.
Les paramètres doivent être entrés dans les named.conf.options de fichiers.
1. Si vous n’avez pas besoin des récursions, vous pouvez les désactiver facilement. Cela se fait avec
l’entrée suivante dans « named.conf.options :
recursion no;
N'oubliez pas de redémarrer le service après avoir sauvé les nouveaux changements. Dans Debian et Ubuntu vous faites cela avec la commande / etc/init.d/bind9 redémarrage.
Portez une attention particulière à la syntaxe dans named.conf.options! Une petite faute de
frappe et le service refuse de redémarrer.
2. Restreindre l'accès externe à votre serveur DNS se fait avec l'entrée suivante dans named.conf.options :
allow-recursion { 192.168.1.0/24; 80.1.1.1; };
recursion yes;
Cela signifie que seuls les ordinateurs du réseau interne ou externe définie reçoit une réponse des
serveurs DNS récursifs. Les adresses IP doivent être réglées en fonction de votre configuration.
Seite 12/12