Dans votre parefeu il faut éditer la règle UDP qui Autorise votre ordinateur à demander au serveur DNS de transformer un nom en une adresse IP (par exemple www.serveury.com en 192.67.68.69) en remplaçant la plage de port entre 1024 et 5000 par 49152 et 65535.
Quel est l'intérêt à la base de restreindre la plage de ports sources pour les requêtes DNS sortantes à autre chose que 1024-65535 ?
Lorsque le système dispose lui-même d'une plage restreinte, cela permet de bloquer une partie des malwares qui essayeraient de profiter du fait que le port 53 est ouvert sur toutes les machines pour initier une connexion malveillante. Mais cela ne concerne qu'une partie, et probablement une très faible partie, de ces malwares, puisque la plage de ports utilisée par le système est connue, et un malware un peut réfléchi utilisera un port source situé dans la bonne fourchette, pour ne pas se faire remarquer. La meilleure défense à ce niveau là reste de fixer en dur l'adresse des DNS, et de n'autoriser le port 53 que vers ces adresses là. Cela garantie (à 99%[1]) qu'aucun malware ne pourra utiliser ce port pour franchir le filtre IP.
[1] Il reste toujours la possibilité de corrompre l'un des serveurs DNS pour qu'il puisse recevoir les données, mais on est là dans l'attaque de haut vol.
Pascal Hambourg n'était pas loin de dire :
Dans votre parefeu il faut éditer la règle UDP qui Autorise votre
ordinateur à demander au serveur DNS de transformer un nom en une
adresse IP (par exemple www.serveury.com en 192.67.68.69) en remplaçant
la plage de port entre 1024 et 5000 par 49152 et 65535.
Quel est l'intérêt à la base de restreindre la plage de ports sources
pour les requêtes DNS sortantes à autre chose que 1024-65535 ?
Lorsque le système dispose lui-même d'une plage restreinte, cela
permet de bloquer une partie des malwares qui essayeraient de profiter
du fait que le port 53 est ouvert sur toutes les machines pour initier
une connexion malveillante. Mais cela ne concerne qu'une partie, et
probablement une très faible partie, de ces malwares, puisque la plage
de ports utilisée par le système est connue, et un malware un peut
réfléchi utilisera un port source situé dans la bonne fourchette, pour
ne pas se faire remarquer.
La meilleure défense à ce niveau là reste de fixer en dur l'adresse
des DNS, et de n'autoriser le port 53 que vers ces adresses là. Cela
garantie (à 99%[1]) qu'aucun malware ne pourra utiliser ce port pour
franchir le filtre IP.
[1]
Il reste toujours la possibilité de corrompre l'un des serveurs DNS
pour qu'il puisse recevoir les données, mais on est là dans l'attaque
de haut vol.
Dans votre parefeu il faut éditer la règle UDP qui Autorise votre ordinateur à demander au serveur DNS de transformer un nom en une adresse IP (par exemple www.serveury.com en 192.67.68.69) en remplaçant la plage de port entre 1024 et 5000 par 49152 et 65535.
Quel est l'intérêt à la base de restreindre la plage de ports sources pour les requêtes DNS sortantes à autre chose que 1024-65535 ?
Lorsque le système dispose lui-même d'une plage restreinte, cela permet de bloquer une partie des malwares qui essayeraient de profiter du fait que le port 53 est ouvert sur toutes les machines pour initier une connexion malveillante. Mais cela ne concerne qu'une partie, et probablement une très faible partie, de ces malwares, puisque la plage de ports utilisée par le système est connue, et un malware un peut réfléchi utilisera un port source situé dans la bonne fourchette, pour ne pas se faire remarquer. La meilleure défense à ce niveau là reste de fixer en dur l'adresse des DNS, et de n'autoriser le port 53 que vers ces adresses là. Cela garantie (à 99%[1]) qu'aucun malware ne pourra utiliser ce port pour franchir le filtre IP.
[1] Il reste toujours la possibilité de corrompre l'un des serveurs DNS pour qu'il puisse recevoir les données, mais on est là dans l'attaque de haut vol.
Pascal Hambourg
Stephane Catteau a écrit :
La meilleure défense à ce niveau là reste de fixer en dur l'adresse des DNS, et de n'autoriser le port 53 que vers ces adresses là. Cela garantie (à 99%[1]) qu'aucun malware ne pourra utiliser ce port pour franchir le filtre IP.
[1] Il reste toujours la possibilité de corrompre l'un des serveurs DNS pour qu'il puisse recevoir les données, mais on est là dans l'attaque de haut vol.
Beaucoup plus simplement, il reste la possibilité de téléphoner maison au travers de requêtes DNS particulières qui aboutissent sur un serveur DNS contrôlé par le destinataire de la communication. L'efficacité en terme de débit risque de ne pas être énorme, mais on doit pouvoir faire des trucs sympa avec des requêtes TXT par exemple.
Stephane Catteau a écrit :
La meilleure défense à ce niveau là reste de fixer en dur l'adresse
des DNS, et de n'autoriser le port 53 que vers ces adresses là. Cela
garantie (à 99%[1]) qu'aucun malware ne pourra utiliser ce port pour
franchir le filtre IP.
[1]
Il reste toujours la possibilité de corrompre l'un des serveurs DNS
pour qu'il puisse recevoir les données, mais on est là dans l'attaque
de haut vol.
Beaucoup plus simplement, il reste la possibilité de téléphoner maison
au travers de requêtes DNS particulières qui aboutissent sur un serveur
DNS contrôlé par le destinataire de la communication. L'efficacité en
terme de débit risque de ne pas être énorme, mais on doit pouvoir faire
des trucs sympa avec des requêtes TXT par exemple.
La meilleure défense à ce niveau là reste de fixer en dur l'adresse des DNS, et de n'autoriser le port 53 que vers ces adresses là. Cela garantie (à 99%[1]) qu'aucun malware ne pourra utiliser ce port pour franchir le filtre IP.
[1] Il reste toujours la possibilité de corrompre l'un des serveurs DNS pour qu'il puisse recevoir les données, mais on est là dans l'attaque de haut vol.
Beaucoup plus simplement, il reste la possibilité de téléphoner maison au travers de requêtes DNS particulières qui aboutissent sur un serveur DNS contrôlé par le destinataire de la communication. L'efficacité en terme de débit risque de ne pas être énorme, mais on doit pouvoir faire des trucs sympa avec des requêtes TXT par exemple.
