Gilles Mocellin a écrit :
>Le Jeudi 8 Septembre 2005 00:00, tzacos a écrit :
>
>
>>[SNIP]
>>
>>Le problemes c est que rien n'est securisé, n'importe qui peut
>>envoyer une demande de transfert de zone non?
>>
>>
>
>Non, les secondaires doivent être dans une section allow-transfert {} du
>primaire.
>
>Maintenant, je crois qu'il y a moyen de faire ça encore plus sécurisé
>avec des clef, mais j'ai pas regardé, trop lourd pour nous en interne.
>
>
Je parlais de DNSMASQ qui ne permet pas de le faire.
par contre Bind le fait tres bien. Non seulement il gere des ACL par IP
mais aussi par clef. Et si on veut on peut meme crypter les fichiers de
zones.
Le probleme, c'est qu'une attaque bien planifiée va d'abord consister à
récuperer un maximum d'infos sur le réseau que l'on vise. Le DNS est
donc une cible privilégié de cette prise d'information.
Les allow-transfert par IP ne permettent pas de protéger efficacement.
Ca limite certe mais n'importe quel spoofing en viend à bout aisément.
Les clefs restent en effet le meilleur moyen actuel pou rprotéger des
transferts. C'est d'ailleurs la meme chose pour les autorisations de
modifications.
Laurent
____________________________________________________
Want to buy your Pack or Services from Mandriva?
Go to http://store.mandriva.com
Join the Club : http://www.mandrivaclub.com
____________________________________________________
