Bonjour,
Je me suis posé une question dernièrement par hasard:
L'ICANN a annoncé qu'en 2009 l'ouverture des noms de domaine à l'extension,
si j'ai bien compris théoriquement on aura maintenant le droit de créer des
noms de domaine internet se finissant avec l'extension de son choix (surement
avec quelques exceptions) pour son site internet par exemple.
Par exemple je pourrai créer mon site internet www.monsite.abc accessible
depuis le web.
Etant administrateur système pour une société qui utilise Active Directory
2003, la question que je me pose concerne la sécurité, est ce que cette
ouverture des extensions de domaines ne va t'elle pas potientellement offrir
de nouvelles techniques d'attaque de type fishing particulièrement sur les
intranets des sociétés depuis internet???
En effet Active Directory est étroitement lié à DNS, maintenant imaginons
que l'active directory que je gère à pour nom monentreprise.abc, rien
n'empêchera une personne malveillante de créer un site internet
site1234.monentreprise.abc pour se faire passer pour un site de mon intranet
et essayer de détourner des informations de mon réseau vers son site internet
Si mon est AD bien conçu, vous allez me dire normalement mes clients
utilisent les serveurs DNS de l'AD qui font autorité sur la zone .abc et donc
ne vont pas rediriger de requete DNS .abc vers internet. Mais comme
maintenant .abc est aussi un nom de domaine internet légitime avec beaucoup
de sites intéressants. Que dois je faire?? je ne peux certainement pas faire
ajouter à la main tous les site *.abc autorisé ou encore moins faire
confiance à toute le domaine .abc d'internet!
De plus comme j'ai configuré Internet Explorer pour que *.abc soit reconnu
comme intranet, il pourrait très bien envoyer des informations
d'authentification kerberos ou NTLM vers des sites internet *.abc de
confiance certes mais c'est quand même très risqué!
Et j'ai testé, j'ai créé un enregistrement DNS A dans ma zone dns AD appelé
googletest.monentreprise.abc avec une vrai adresse ip de google, résultat
avec IE:
Je passe quand meme par le proxy car il m'affiche bien google et il me
marque bien en bas que c'est une zone intranet! (car j'ai déclaré *.abc dans
les exceptions proxy)
Bref je sais pas si on me suis ou si je suis complètement à coté mais
l'ouverture des extensions des noms de domaine ne rentrerait-il pas en
conflit avec le modèle AD lié fortement à DNS?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Emmanuel Dreux
Oui pourquoi pas... mais à 185 000$ de frais de dossiers, il faut que ça en vaille le coup. Et l'heureux propriétaire sera tellement fiché qu'on pourra le suivre à la trace.
Bonjour, Je me suis posé une question dernièrement par hasard:
L'ICANN a annoncé qu'en 2009 l'ouverture des noms de domaine à l'extension, si j'ai bien compris théoriquement on aura maintenant le droit de créer des noms de domaine internet se finissant avec l'extension de son choix (surement avec quelques exceptions) pour son site internet par exemple.
Par exemple je pourrai créer mon site internet www.monsite.abc accessible depuis le web.
Etant administrateur système pour une société qui utilise Active Directory 2003, la question que je me pose concerne la sécurité, est ce que cette ouverture des extensions de domaines ne va t'elle pas potientellement offrir de nouvelles techniques d'attaque de type fishing particulièrement sur les intranets des sociétés depuis internet???
En effet Active Directory est étroitement lié à DNS, maintenant imaginons que l'active directory que je gère à pour nom monentreprise.abc, rien n'empêchera une personne malveillante de créer un site internet site1234.monentreprise.abc pour se faire passer pour un site de mon intranet et essayer de détourner des informations de mon réseau vers son site internet
Si mon est AD bien conçu, vous allez me dire normalement mes clients utilisent les serveurs DNS de l'AD qui font autorité sur la zone .abc et donc ne vont pas rediriger de requete DNS .abc vers internet. Mais comme maintenant .abc est aussi un nom de domaine internet légitime avec beaucoup de sites intéressants. Que dois je faire?? je ne peux certainement pas faire ajouter à la main tous les site *.abc autorisé ou encore moins faire confiance à toute le domaine .abc d'internet! De plus comme j'ai configuré Internet Explorer pour que *.abc soit reconnu comme intranet, il pourrait très bien envoyer des informations d'authentification kerberos ou NTLM vers des sites internet *.abc de confiance certes mais c'est quand même très risqué!
Et j'ai testé, j'ai créé un enregistrement DNS A dans ma zone dns AD appelé googletest.monentreprise.abc avec une vrai adresse ip de google, résultat avec IE:
Je passe quand meme par le proxy car il m'affiche bien google et il me marque bien en bas que c'est une zone intranet! (car j'ai déclaré *.abc dans les exceptions proxy)
Bref je sais pas si on me suis ou si je suis complètement à coté mais l'ouverture des extensions des noms de domaine ne rentrerait-il pas en conflit avec le modèle AD lié fortement à DNS?
Cordialement, Larry B.
Oui pourquoi pas... mais à 185 000$ de frais de dossiers, il faut que ça en
vaille le coup.
Et l'heureux propriétaire sera tellement fiché qu'on pourra le suivre à la
trace.
"Larry B." <LarryB@discussions.microsoft.com> a écrit dans le message de
news:D3E03CD5-359E-43AD-8726-740917190F51@microsoft.com...
Bonjour,
Je me suis posé une question dernièrement par hasard:
L'ICANN a annoncé qu'en 2009 l'ouverture des noms de domaine à
l'extension,
si j'ai bien compris théoriquement on aura maintenant le droit de créer
des
noms de domaine internet se finissant avec l'extension de son choix
(surement
avec quelques exceptions) pour son site internet par exemple.
Par exemple je pourrai créer mon site internet www.monsite.abc accessible
depuis le web.
Etant administrateur système pour une société qui utilise Active Directory
2003, la question que je me pose concerne la sécurité, est ce que cette
ouverture des extensions de domaines ne va t'elle pas potientellement
offrir
de nouvelles techniques d'attaque de type fishing particulièrement sur les
intranets des sociétés depuis internet???
En effet Active Directory est étroitement lié à DNS, maintenant imaginons
que l'active directory que je gère à pour nom monentreprise.abc, rien
n'empêchera une personne malveillante de créer un site internet
site1234.monentreprise.abc pour se faire passer pour un site de mon
intranet
et essayer de détourner des informations de mon réseau vers son site
internet
Si mon est AD bien conçu, vous allez me dire normalement mes clients
utilisent les serveurs DNS de l'AD qui font autorité sur la zone .abc et
donc
ne vont pas rediriger de requete DNS .abc vers internet. Mais comme
maintenant .abc est aussi un nom de domaine internet légitime avec
beaucoup
de sites intéressants. Que dois je faire?? je ne peux certainement pas
faire
ajouter à la main tous les site *.abc autorisé ou encore moins faire
confiance à toute le domaine .abc d'internet!
De plus comme j'ai configuré Internet Explorer pour que *.abc soit reconnu
comme intranet, il pourrait très bien envoyer des informations
d'authentification kerberos ou NTLM vers des sites internet *.abc de
confiance certes mais c'est quand même très risqué!
Et j'ai testé, j'ai créé un enregistrement DNS A dans ma zone dns AD
appelé
googletest.monentreprise.abc avec une vrai adresse ip de google, résultat
avec IE:
Je passe quand meme par le proxy car il m'affiche bien google et il me
marque bien en bas que c'est une zone intranet! (car j'ai déclaré *.abc
dans
les exceptions proxy)
Bref je sais pas si on me suis ou si je suis complètement à coté mais
l'ouverture des extensions des noms de domaine ne rentrerait-il pas en
conflit avec le modèle AD lié fortement à DNS?
Oui pourquoi pas... mais à 185 000$ de frais de dossiers, il faut que ça en vaille le coup. Et l'heureux propriétaire sera tellement fiché qu'on pourra le suivre à la trace.
Bonjour, Je me suis posé une question dernièrement par hasard:
L'ICANN a annoncé qu'en 2009 l'ouverture des noms de domaine à l'extension, si j'ai bien compris théoriquement on aura maintenant le droit de créer des noms de domaine internet se finissant avec l'extension de son choix (surement avec quelques exceptions) pour son site internet par exemple.
Par exemple je pourrai créer mon site internet www.monsite.abc accessible depuis le web.
Etant administrateur système pour une société qui utilise Active Directory 2003, la question que je me pose concerne la sécurité, est ce que cette ouverture des extensions de domaines ne va t'elle pas potientellement offrir de nouvelles techniques d'attaque de type fishing particulièrement sur les intranets des sociétés depuis internet???
En effet Active Directory est étroitement lié à DNS, maintenant imaginons que l'active directory que je gère à pour nom monentreprise.abc, rien n'empêchera une personne malveillante de créer un site internet site1234.monentreprise.abc pour se faire passer pour un site de mon intranet et essayer de détourner des informations de mon réseau vers son site internet
Si mon est AD bien conçu, vous allez me dire normalement mes clients utilisent les serveurs DNS de l'AD qui font autorité sur la zone .abc et donc ne vont pas rediriger de requete DNS .abc vers internet. Mais comme maintenant .abc est aussi un nom de domaine internet légitime avec beaucoup de sites intéressants. Que dois je faire?? je ne peux certainement pas faire ajouter à la main tous les site *.abc autorisé ou encore moins faire confiance à toute le domaine .abc d'internet! De plus comme j'ai configuré Internet Explorer pour que *.abc soit reconnu comme intranet, il pourrait très bien envoyer des informations d'authentification kerberos ou NTLM vers des sites internet *.abc de confiance certes mais c'est quand même très risqué!
Et j'ai testé, j'ai créé un enregistrement DNS A dans ma zone dns AD appelé googletest.monentreprise.abc avec une vrai adresse ip de google, résultat avec IE:
Je passe quand meme par le proxy car il m'affiche bien google et il me marque bien en bas que c'est une zone intranet! (car j'ai déclaré *.abc dans les exceptions proxy)
Bref je sais pas si on me suis ou si je suis complètement à coté mais l'ouverture des extensions des noms de domaine ne rentrerait-il pas en conflit avec le modèle AD lié fortement à DNS?
Cordialement, Larry B.
Lognoul, Marc \(Private\)
Bonjour,
Etant donnée que vous gardez toujours le contrôle de votre DNS et donc de manière dont les clients et le proxy vont résoudre les noms internet, le problème de sécurité est relativement limité. De plus, rien de vous empêche de nommer votre AD d'un manière et de faire acquisition du domaine Internet homonyme. Choisissez de préférence un .net ;)
-- Marc [Heureux celui qui a pu pénétrer les causes secrètes des choses] [Blog: http://www.marc-antho-etc.net/blog/]
"Larry B." wrote in message news:
Bonjour, Je me suis posé une question dernièrement par hasard:
L'ICANN a annoncé qu'en 2009 l'ouverture des noms de domaine à l'extension, si j'ai bien compris théoriquement on aura maintenant le droit de créer des noms de domaine internet se finissant avec l'extension de son choix (surement avec quelques exceptions) pour son site internet par exemple.
Par exemple je pourrai créer mon site internet www.monsite.abc accessible depuis le web.
Etant administrateur système pour une société qui utilise Active Directory 2003, la question que je me pose concerne la sécurité, est ce que cette ouverture des extensions de domaines ne va t'elle pas potientellement offrir de nouvelles techniques d'attaque de type fishing particulièrement sur les intranets des sociétés depuis internet???
En effet Active Directory est étroitement lié à DNS, maintenant imaginons que l'active directory que je gère à pour nom monentreprise.abc, rien n'empêchera une personne malveillante de créer un site internet site1234.monentreprise.abc pour se faire passer pour un site de mon intranet et essayer de détourner des informations de mon réseau vers son site internet
Si mon est AD bien conçu, vous allez me dire normalement mes clients utilisent les serveurs DNS de l'AD qui font autorité sur la zone .abc et donc ne vont pas rediriger de requete DNS .abc vers internet. Mais comme maintenant .abc est aussi un nom de domaine internet légitime avec beaucoup de sites intéressants. Que dois je faire?? je ne peux certainement pas faire ajouter à la main tous les site *.abc autorisé ou encore moins faire confiance à toute le domaine .abc d'internet! De plus comme j'ai configuré Internet Explorer pour que *.abc soit reconnu comme intranet, il pourrait très bien envoyer des informations d'authentification kerberos ou NTLM vers des sites internet *.abc de confiance certes mais c'est quand même très risqué!
Et j'ai testé, j'ai créé un enregistrement DNS A dans ma zone dns AD appelé googletest.monentreprise.abc avec une vrai adresse ip de google, résultat avec IE:
Je passe quand meme par le proxy car il m'affiche bien google et il me marque bien en bas que c'est une zone intranet! (car j'ai déclaré *.abc dans les exceptions proxy)
Bref je sais pas si on me suis ou si je suis complètement à coté mais l'ouverture des extensions des noms de domaine ne rentrerait-il pas en conflit avec le modèle AD lié fortement à DNS?
Cordialement, Larry B.
Bonjour,
Etant donnée que vous gardez toujours le contrôle de votre DNS et donc de
manière dont les clients et le proxy vont résoudre les noms internet, le
problème de sécurité est relativement limité.
De plus, rien de vous empêche de nommer votre AD d'un manière et de faire
acquisition du domaine Internet homonyme. Choisissez de préférence un .net
;)
--
Marc
[Heureux celui qui a pu pénétrer les causes secrètes des choses]
[Blog: http://www.marc-antho-etc.net/blog/]
"Larry B." <LarryB@discussions.microsoft.com> wrote in message
news:D3E03CD5-359E-43AD-8726-740917190F51@microsoft.com...
Bonjour,
Je me suis posé une question dernièrement par hasard:
L'ICANN a annoncé qu'en 2009 l'ouverture des noms de domaine à
l'extension,
si j'ai bien compris théoriquement on aura maintenant le droit de créer
des
noms de domaine internet se finissant avec l'extension de son choix
(surement
avec quelques exceptions) pour son site internet par exemple.
Par exemple je pourrai créer mon site internet www.monsite.abc accessible
depuis le web.
Etant administrateur système pour une société qui utilise Active Directory
2003, la question que je me pose concerne la sécurité, est ce que cette
ouverture des extensions de domaines ne va t'elle pas potientellement
offrir
de nouvelles techniques d'attaque de type fishing particulièrement sur les
intranets des sociétés depuis internet???
En effet Active Directory est étroitement lié à DNS, maintenant imaginons
que l'active directory que je gère à pour nom monentreprise.abc, rien
n'empêchera une personne malveillante de créer un site internet
site1234.monentreprise.abc pour se faire passer pour un site de mon
intranet
et essayer de détourner des informations de mon réseau vers son site
internet
Si mon est AD bien conçu, vous allez me dire normalement mes clients
utilisent les serveurs DNS de l'AD qui font autorité sur la zone .abc et
donc
ne vont pas rediriger de requete DNS .abc vers internet. Mais comme
maintenant .abc est aussi un nom de domaine internet légitime avec
beaucoup
de sites intéressants. Que dois je faire?? je ne peux certainement pas
faire
ajouter à la main tous les site *.abc autorisé ou encore moins faire
confiance à toute le domaine .abc d'internet!
De plus comme j'ai configuré Internet Explorer pour que *.abc soit reconnu
comme intranet, il pourrait très bien envoyer des informations
d'authentification kerberos ou NTLM vers des sites internet *.abc de
confiance certes mais c'est quand même très risqué!
Et j'ai testé, j'ai créé un enregistrement DNS A dans ma zone dns AD
appelé
googletest.monentreprise.abc avec une vrai adresse ip de google, résultat
avec IE:
Je passe quand meme par le proxy car il m'affiche bien google et il me
marque bien en bas que c'est une zone intranet! (car j'ai déclaré *.abc
dans
les exceptions proxy)
Bref je sais pas si on me suis ou si je suis complètement à coté mais
l'ouverture des extensions des noms de domaine ne rentrerait-il pas en
conflit avec le modèle AD lié fortement à DNS?
Etant donnée que vous gardez toujours le contrôle de votre DNS et donc de manière dont les clients et le proxy vont résoudre les noms internet, le problème de sécurité est relativement limité. De plus, rien de vous empêche de nommer votre AD d'un manière et de faire acquisition du domaine Internet homonyme. Choisissez de préférence un .net ;)
-- Marc [Heureux celui qui a pu pénétrer les causes secrètes des choses] [Blog: http://www.marc-antho-etc.net/blog/]
"Larry B." wrote in message news:
Bonjour, Je me suis posé une question dernièrement par hasard:
L'ICANN a annoncé qu'en 2009 l'ouverture des noms de domaine à l'extension, si j'ai bien compris théoriquement on aura maintenant le droit de créer des noms de domaine internet se finissant avec l'extension de son choix (surement avec quelques exceptions) pour son site internet par exemple.
Par exemple je pourrai créer mon site internet www.monsite.abc accessible depuis le web.
Etant administrateur système pour une société qui utilise Active Directory 2003, la question que je me pose concerne la sécurité, est ce que cette ouverture des extensions de domaines ne va t'elle pas potientellement offrir de nouvelles techniques d'attaque de type fishing particulièrement sur les intranets des sociétés depuis internet???
En effet Active Directory est étroitement lié à DNS, maintenant imaginons que l'active directory que je gère à pour nom monentreprise.abc, rien n'empêchera une personne malveillante de créer un site internet site1234.monentreprise.abc pour se faire passer pour un site de mon intranet et essayer de détourner des informations de mon réseau vers son site internet
Si mon est AD bien conçu, vous allez me dire normalement mes clients utilisent les serveurs DNS de l'AD qui font autorité sur la zone .abc et donc ne vont pas rediriger de requete DNS .abc vers internet. Mais comme maintenant .abc est aussi un nom de domaine internet légitime avec beaucoup de sites intéressants. Que dois je faire?? je ne peux certainement pas faire ajouter à la main tous les site *.abc autorisé ou encore moins faire confiance à toute le domaine .abc d'internet! De plus comme j'ai configuré Internet Explorer pour que *.abc soit reconnu comme intranet, il pourrait très bien envoyer des informations d'authentification kerberos ou NTLM vers des sites internet *.abc de confiance certes mais c'est quand même très risqué!
Et j'ai testé, j'ai créé un enregistrement DNS A dans ma zone dns AD appelé googletest.monentreprise.abc avec une vrai adresse ip de google, résultat avec IE:
Je passe quand meme par le proxy car il m'affiche bien google et il me marque bien en bas que c'est une zone intranet! (car j'ai déclaré *.abc dans les exceptions proxy)
Bref je sais pas si on me suis ou si je suis complètement à coté mais l'ouverture des extensions des noms de domaine ne rentrerait-il pas en conflit avec le modèle AD lié fortement à DNS?
