Sécurisation du service Interne - ematthewephec/adminproject Wiki

Liste des vulnérabilités

Tout d'abord pour ce qui concerne l'ERP nous avons fais la même sécurisation que le service Web que vous pouvez retrouver ici

En revanche, en se qui concerne le SOA interne et le Résolveur voici les risques :

Spoofing et cache poisoning

Cela va être utiliser afin de rediriger les utilisateurs vers un autres site internet permettant au pirates de voler les données personnelles des utilisateurs.

DDoS (Denis of Service)

Cela consiste envoyer une multitude de requêtes simultanément au serveur DNS afin de le surcharger et donc de le rendre hors service.

Solution Faille de sécurité comblée Explication
DNSSEC Spoofing et cache poisoning DNSSEC permet de signer les données DNS afin de garantir à l'utilisateur qu'il est sur le site web qu'il désire
Anti DDOS OVH DDoS Les vps que nous utilisons sont sécurisés contre le DDos par OVH
DOT Spoofing et cache poisoning Dns Over TLS permet le cryptage des données DNS afin de les rendre inutilisables

Solutions misent en place

Voici les solutions misent en place dans le service interne

Https et UFW

  • Comme expliqué précédemment nous effectués les mêmes mesures de sécurités que pour le service Web qui vous pouvez retrouver ici

DNSSEC

  • Génération des clé via les commandes suivantes
 dnssec-keygen -a RSASHA256 -b 2048 -f KSK intranet
 dnssec-keygen -a RSASHA256 -b 1280 intranet
  • Activé le DNSSEC dans le fichier named.conf.option en ajoutant les deux directives suivantes
 dnssec-enable yes;
 dnssec-validation auto;
  • Renomer les fichiers contenant les clés
 mv ... intranet.ksk.key
 mv ... intranet.ksk.private

 mv ... intranet.zsk.key
 mv ... intranet.zsk.private
  • Paramètrage du fichier de zone en indiquant les lignes suivantes
 $INCLUDE intranet.ksk.key

 $INCLUDE intranet.zsk.key
  • Signer la zone dns avec la commande dnssec-signzon

  • Modifier le nom du fichier de zone

 file “intranet.signed”;
  • Pour tester si votre zone est bien signée voici
dig DNSKEY YOUR-DOMAIN-NAME +short
dig DS YOUR-DOMAIN-NAME +trace