Ouverture des noms de domaine à l'extension

Le
Larry B.
Bonjour,
Je me suis posé une question dernièrement par hasard:

L'ICANN a annoncé qu'en 2009 l'ouverture des noms de domaine à l'extension,
si j'ai bien compris théoriquement on aura maintenant le droit de créer des
noms de domaine internet se finissant avec l'extension de son choix (surement
avec quelques exceptions) pour son site internet par exemple.

Par exemple je pourrai créer mon site internet www.monsite.abc accessible
depuis le web.

Etant administrateur système pour une société qui utilise Active Directory
2003, la question que je me pose concerne la sécurité, est ce que cette
ouverture des extensions de domaines ne va t'elle pas potientellement offrir
de nouvelles techniques d'attaque de type fishing particulièrement sur les
intranets des sociétés depuis internet???


En effet Active Directory est étroitement lié à DNS, maintenant imaginons
que l'active directory que je gère à pour nom monentreprise.abc, rien
n'empêchera une personne malveillante de créer un site internet
site1234.monentreprise.abc pour se faire passer pour un site de mon intranet
et essayer de détourner des informations de mon réseau vers son site internet

Si mon est AD bien conçu, vous allez me dire normalement mes clients
utilisent les serveurs DNS de l'AD qui font autorité sur la zone .abc et donc
ne vont pas rediriger de requete DNS .abc vers internet. Mais comme
maintenant .abc est aussi un nom de domaine internet légitime avec beaucoup
de sites intéressants. Que dois je faire?? je ne peux certainement pas faire
ajouter à la main tous les site *.abc autorisé ou encore moins faire
confiance à toute le domaine .abc d'internet!
De plus comme j'ai configuré Internet Explorer pour que *.abc soit reconnu
comme intranet, il pourrait très bien envoyer des informations
d'authentification kerberos ou NTLM vers des sites internet *.abc de
confiance certes mais c'est quand même très risqué!

Et j'ai testé, j'ai créé un enregistrement DNS A dans ma zone dns AD appelé
googletest.monentreprise.abc avec une vrai adresse ip de google, résultat
avec IE:

Je passe quand meme par le proxy car il m'affiche bien google et il me
marque bien en bas que c'est une zone intranet! (car j'ai déclaré *.abc dans
les exceptions proxy)

Bref je sais pas si on me suis ou si je suis complètement à coté mais
l'ouverture des extensions des noms de domaine ne rentrerait-il pas en
conflit avec le modèle AD lié fortement à DNS?


Cordialement,
Larry B.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Emmanuel Dreux
Le #18149291
Oui pourquoi pas... mais à 185 000$ de frais de dossiers, il faut que ça en
vaille le coup.
Et l'heureux propriétaire sera tellement fiché qu'on pourra le suivre à la
trace.

--
Cordialement,
Emmanuel Dreux
http://www.ilinfo.fr

"Larry B." news:
Bonjour,
Je me suis posé une question dernièrement par hasard:

L'ICANN a annoncé qu'en 2009 l'ouverture des noms de domaine à
l'extension,
si j'ai bien compris théoriquement on aura maintenant le droit de créer
des
noms de domaine internet se finissant avec l'extension de son choix
(surement
avec quelques exceptions) pour son site internet par exemple.

Par exemple je pourrai créer mon site internet www.monsite.abc accessible
depuis le web.

Etant administrateur système pour une société qui utilise Active Directory
2003, la question que je me pose concerne la sécurité, est ce que cette
ouverture des extensions de domaines ne va t'elle pas potientellement
offrir
de nouvelles techniques d'attaque de type fishing particulièrement sur les
intranets des sociétés depuis internet???


En effet Active Directory est étroitement lié à DNS, maintenant imaginons
que l'active directory que je gère à pour nom monentreprise.abc, rien
n'empêchera une personne malveillante de créer un site internet
site1234.monentreprise.abc pour se faire passer pour un site de mon
intranet
et essayer de détourner des informations de mon réseau vers son site
internet

Si mon est AD bien conçu, vous allez me dire normalement mes clients
utilisent les serveurs DNS de l'AD qui font autorité sur la zone .abc et
donc
ne vont pas rediriger de requete DNS .abc vers internet. Mais comme
maintenant .abc est aussi un nom de domaine internet légitime avec
beaucoup
de sites intéressants. Que dois je faire?? je ne peux certainement pas
faire
ajouter à la main tous les site *.abc autorisé ou encore moins faire
confiance à toute le domaine .abc d'internet!
De plus comme j'ai configuré Internet Explorer pour que *.abc soit reconnu
comme intranet, il pourrait très bien envoyer des informations
d'authentification kerberos ou NTLM vers des sites internet *.abc de
confiance certes mais c'est quand même très risqué!

Et j'ai testé, j'ai créé un enregistrement DNS A dans ma zone dns AD
appelé
googletest.monentreprise.abc avec une vrai adresse ip de google, résultat
avec IE:

Je passe quand meme par le proxy car il m'affiche bien google et il me
marque bien en bas que c'est une zone intranet! (car j'ai déclaré *.abc
dans
les exceptions proxy)

Bref je sais pas si on me suis ou si je suis complètement à coté mais
l'ouverture des extensions des noms de domaine ne rentrerait-il pas en
conflit avec le modèle AD lié fortement à DNS?


Cordialement,
Larry B.


Lognoul, Marc \(Private\)
Le #18151421
Bonjour,

Etant donnée que vous gardez toujours le contrôle de votre DNS et donc de
manière dont les clients et le proxy vont résoudre les noms internet, le
problème de sécurité est relativement limité.
De plus, rien de vous empêche de nommer votre AD d'un manière et de faire
acquisition du domaine Internet homonyme. Choisissez de préférence un .net
;)

--
Marc
[Heureux celui qui a pu pénétrer les causes secrètes des choses]
[Blog: http://www.marc-antho-etc.net/blog/]



"Larry B." news:
Bonjour,
Je me suis posé une question dernièrement par hasard:

L'ICANN a annoncé qu'en 2009 l'ouverture des noms de domaine à
l'extension,
si j'ai bien compris théoriquement on aura maintenant le droit de créer
des
noms de domaine internet se finissant avec l'extension de son choix
(surement
avec quelques exceptions) pour son site internet par exemple.

Par exemple je pourrai créer mon site internet www.monsite.abc accessible
depuis le web.

Etant administrateur système pour une société qui utilise Active Directory
2003, la question que je me pose concerne la sécurité, est ce que cette
ouverture des extensions de domaines ne va t'elle pas potientellement
offrir
de nouvelles techniques d'attaque de type fishing particulièrement sur les
intranets des sociétés depuis internet???


En effet Active Directory est étroitement lié à DNS, maintenant imaginons
que l'active directory que je gère à pour nom monentreprise.abc, rien
n'empêchera une personne malveillante de créer un site internet
site1234.monentreprise.abc pour se faire passer pour un site de mon
intranet
et essayer de détourner des informations de mon réseau vers son site
internet

Si mon est AD bien conçu, vous allez me dire normalement mes clients
utilisent les serveurs DNS de l'AD qui font autorité sur la zone .abc et
donc
ne vont pas rediriger de requete DNS .abc vers internet. Mais comme
maintenant .abc est aussi un nom de domaine internet légitime avec
beaucoup
de sites intéressants. Que dois je faire?? je ne peux certainement pas
faire
ajouter à la main tous les site *.abc autorisé ou encore moins faire
confiance à toute le domaine .abc d'internet!
De plus comme j'ai configuré Internet Explorer pour que *.abc soit reconnu
comme intranet, il pourrait très bien envoyer des informations
d'authentification kerberos ou NTLM vers des sites internet *.abc de
confiance certes mais c'est quand même très risqué!

Et j'ai testé, j'ai créé un enregistrement DNS A dans ma zone dns AD
appelé
googletest.monentreprise.abc avec une vrai adresse ip de google, résultat
avec IE:

Je passe quand meme par le proxy car il m'affiche bien google et il me
marque bien en bas que c'est une zone intranet! (car j'ai déclaré *.abc
dans
les exceptions proxy)

Bref je sais pas si on me suis ou si je suis complètement à coté mais
l'ouverture des extensions des noms de domaine ne rentrerait-il pas en
conflit avec le modèle AD lié fortement à DNS?


Cordialement,
Larry B.


Publicité
Poster une réponse
Anonyme