Your browser either does not support JavaScript or you have turned JavaScript off.

Open DNS Resolver

KB-3500   |   Exemple de configuration   |   Crée le 17.11.2014   |   Dernière mise à jour: 14.09.2018

Open DNS Resolver

 

De temps en temps les fournisseurs d'accès à Internet indiquent à leurs clients un risque de sécurité potentiel sous la notion de « Open DNS Resolver ». Le contenu approximatif de cette notification est le suivant :

 

« ...nous avons remarqué que votre adresse IP traite des requêtes DNS comme « Open Resolver ». Ou vous disposez d'un serveur DNS ouvert, ou votre routeur répond à des requêtes DNS de l'Internet. »

 

Bien qu'il n'y ait pas de risque de sécurité immédiat pour l'utilisateur d'une telle adresse IP, ces routeurs peuvent facilement être utilisés pour des attaques d'amplification DNS. Le propre routeur est ainsi utilisé comme outil pour une attaque ciblée contre une tierce partie. Ces attaques augmentent de plus en plus et provoquent des charges considérables sur les réseaux des fournisseurs. Pour éviter ces attaques il est important de connaître les lacunes et de les combler autant que possible.

 

Même si le traitement des requêtes DNS provenant de l'Internet n'est pas directement dangereux pour son propre réseau, le fournisseur peut débrancher certaines connexions du réseau. Dans un tel cas la connectivité serait coupée.

 

 

Comment tester sa connexion ?


Thinkbroadband offre une simple solution de test, lors duquel le serveur de test initie une requête DNS sur l'adresse IP publique de son propre réseau. Le résultat montre si la requête DNS a été traitée ou pas.

 

 

Test avec nslookup
 

La commande nsloolup est idéale sur des connexions WAN complexes, par exemple avec des routeurs en mode transparent routing pour la terminaison de PPPoE ou pour l'utilisation de plusieurs adresses IP publiques. Cette commande initie une requête DNS pour la résolution du nom à une adresse IP définie et affiche le résultat.

 

À noter : Les adresses IP publiques de son propre réseau ne peuvent pas être vérifiées ainsi ! L'ordinateur pour le test doit être situé sur un réseau indépendant. Les commandes peuvent être effectuées dans l'invite de commandes Windows ou dans le terminal OSX.

 

  1. Exécuter NsLookup : nslookup -q=any
     
  2. Définir l'adresse IP WAN comme serveur DNS : server 8.8.8.8
     
  3. Entrer n'importe quel nom DNS valable pour la résolution : www.switch.ch

 

Si le nom est résolu, NsLookup affiche l'adresse IP et quelques autres informations sur l'entrée DNS. Au contraire, si l'adresse IP vérifiée ne traite pas de requêtes DNS, un message d'erreur s'affiche.

 

 

FAQ

 

Un scanner de port indique que le port 53 est disponible depuis l'Internet. Est-ce que cela signifie que mon réseau est maintenant ouvert pour des requêtes DNS?
 

Par le menu « Port Scan », DNSTools effectue un test de l'adresse IP WAN et établit une liste des ports ouverts. Le port 53 pour les requêtes DNS devrait normalement être fermé. Cependant, un port ouvert ne signifie pas nécessairement qu'une requête est traitée par un service correspondant. Le test de Thinkbroadband donne plus de certitude.

 

 

Est-ce que le comportement décrit est un bogue du routeur?
 

En termes de technique de réseau, rien ne s'oppose à traiter une requête DNS de l'Internet. La requête est acceptée correctement, le nom de domaine fourni est annulé et l'adresse IP est retournée. Ce n’est qu’à cause des abus pour réaliser des attaques qu’il a été nécessaire de refuser les requêtes dans la configuration de base. Toutefois, il est possible que quelques routeurs sans pare-feu n'arrivent pas à filtrer les requêtes DNS ou à désactiver le service DNS. D'autres routeurs nécessitent des modifications de configuration manuelles.

 

 

Mon réseau traite des requêtes DNS de l'Internet. Comment puis-je éviter cela ?


La plupart des routeurs Zyxel bloquent les enquêtes DNS de l'Internet déjà dans les paramètres d'usine. Si ce n'est pas le cas, vous pouvez suivre cette démarche :
 

  • Assurez-vous que le pare-feu est activé.
     
  • Beaucoup de routeurs ADSL de la série Prestige 660 peuvent réduire le service DNS à l'interface LAN. Pour cela, sélectionnez « LAN » dans le paramétrage « Access Status » dans le menu « Advanced > Remote MGNT > DNS ».
     
  • Redirection de port 53 vers une IP non utilisée, par exemple 192.168.1.250. Ainsi, un scanner de port reconnait encore un port ouvert, mais une requête DNS concrète tourne à vide.

 

 

Est-ce que tous les routeurs et pare-feux peuvent bloquer les enquêtes DNS de l'Internet ?


Quelques modèles ou modes d'exploitation spécifiques ne peuvent pas du tout ou pas entièrement contrôler les requêtes DNS.
 

  • Routeurs en mode transparent routing : à ce jour, il n'y a pas de solution. Le routeur peut alternativement être utilisé en mode Bridge. Il est possible que cela nécessite d'autres modifications de configuration sur le réseau.
     
  • P870H/HN : Si le P870H/HN est configuré via l'assistant, il ne réagit pas aux requêtes DNS de l'Internet. S'il est configuré manuellement, il faut mettre le pare-feu sur enable dans le profil Internet ptm.0/ppp.0. C'est seulement nécessaire jusqu'à la version 3 du firmware, les versions ultérieures contiennent des configurations de base adaptées.


 

Plus d'informations et liens sur le sujet :

 

http://securitywatch.pcmag.com/hacking/310118-are-you-a-zombie-how-to-check-for-open-dns-resolvers

http://www.green.ch/Portals/0/Support/pdf/Anleitung_OpenResolver_DE.pdf

http://www.thinkbroadband.com/tools/dnscheck.html

http://www.dnstools.ch/

http://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1