Bonjour,
 
Je viens d'être victime d'une attaque sur mon serveur DNS (NT4.0). Concrètement, le cache, qui contenait jusque là la liste des serveurs root, a été modifié (de nouveaux serveurs "bidon" les ont remplacé).
J'ai cherché et j'ai vu à plusieurs reprises que ce problème était lié à une faille dans le serveur DNS de NT 4.0 et... c'est tout ! Pas de résolution ou de patch pour corriger le problème !
 
Si vous avez des idées ou des retours d'expérience, n'hésitez pas
 
Merci !
 

Si C ton firewall, met un autre firewall en front-end!

 
Quoi ?

http://support.microsoft.com/defau [...] -us;241352

 
Je venais de tomber dessus !
   

Re-bonjour !!
 
J'ai bien mis le registre des mes DNS "à jour" et depuis quelques temps je n'avais plus d'erreur, mais vla ti pas que ce matin :
"Le serveur DNS a créé une boucle CNAME en chargeant l'enregistrement CNAME à aley.com.. Un lien dans la boucle CNAME : le nom DNS aley.com. est l'alias du CNAME aley.com.. Consultez les messages voisins pour d'autres liens dans la boucle CNAME."
Je ne comprends même pas ce que signifie ce message   (les deux CNAME font référence l'un à l'autre et donc celà crée une boucle c'est ça ?)
 
Si vous avez des idées...
Merki !

dans le cas d'une faille dans l'implémentation d'un serveur DNS, un firewall ne sert à rien puisqu'il laisse passer le traffic DNS qui est valide.
C'est une attaque/faille applicative et un FW n'y peut rien la ...

 
C'est le serveur DNS de NT4, c'est donc une faille/trou de sécurité/gruyère en lui même.
Ce qu'il y a c'est que je trouve pas de patch...
 

Bonjour, tu as mis le SP6a??

Malheureusement oui, il est à jour niveau "windowsupdate".

 
Heureusement que un Firewall peu bloques les trames non conforme. Il bloque les ports et fait aussi de l'analyse de contenu

non, pas un FW ... un reverse proxy, oui.
Un firewall s'arrete au niveau 3, voire 4 si on inclut la validité des séquences TCP ... mais pas plus loin.
Et c'est bien le plus grand danger, c'est que nombre d'entreprises se sentent protégée car derrière un FW. Hors, de nos jours, a cause justement de l'efficacité des nouveau FW (gestion des états, séquencement TCP, reforgeages des paquets ... ) les attaques se sont déplacées vers le niveau applicatif : une requete DNS mal formée exploitant une faille de l'implémentation win du serveur DNS passe sans probleme un FW. Ce dernier n'est pas fait pour connaitre tous les protocoles du monde, et c'est pas son role.
Pour ca, il faudrait mettre en place un reverse proxy DNS, mais je sais meme pas si ca existe ...

Tout ça pour dire que je suis foutu...
Mais je suis d'accord avec toi tric, ça se passe dans les couches basses...

Perso j'utilise Arkoon comme FireWall, il fait du filtrage applicatif (IDPS)
Exemple pour le DNS :
 

Yep, aujourd'hui, la plupart des firewall permettent d'analyser les trames (donc oui, ça fé un peu proxy) pour les filtrer intelligement (cisco fait surtout ça dans leurs PIX).
ex.:  
 
Le firewall voit qu'un gars lance un grand nombre de connexions autorisé en même temps, alors il va décider de la bloquer car il considère ça comme un attaque.
 
C'est un firewall "intelligent"

M'a l'air pas mal cet Arkoon...
Mais bon, moi j'ai un Netasq et pas de reverse proxy