1 votes

Alchemical avatar

Comment sécuriser Windows Server 2012 R2 contre l'attaque "open recursive resolver" ?

Demandé el 8 de Août, 2015
Quand la question a-t-elle été
4615 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai reçu un courriel d'un fournisseur d'accès Internet indiquant que notre serveur avait participé à une attaque DDOS contre l'un de ses serveurs et que nous semblions utiliser un "résolveur récursif ouvert".

L'adresse IP qu'ils ont donnée correspond à l'un de nos serveurs de développement, qui fonctionne sous Windows Server 2012 R2. J'ai fait quelques recherches sur Google et suivi les instructions suivantes ( https://technet.microsoft.com/en-us/library/Cc771738.aspx?f=255&MSPPError=-2147217396 ) pour désactiver la récursion dans le Gestionnaire DNS. Mes questions sont les suivantes :

  1. La désactivation de l'option de récursion devrait-elle suffire pour que cela ne se reproduise plus ?

  2. Est-il possible de supprimer le serveur DNS sur ce serveur ? Je ne savais même pas qu'il était apparemment installé par défaut. Nous utilisons des serveurs DNS externes pour tout. Je voudrais garder notre surface d'attaque minimale en général.

Demandé el 8 de Août, 2015 par Alchemical

0 votes

Avatar de joeqwerty

Is it OK to delete the DNS Server on this server? - Comment le saurions-nous ? Nous ne savons pas pourquoi il a été installé sur ce serveur. Parlez à votre équipe de développement ou à toute autre entité utilisant ce serveur et demandez-leur pourquoi il est installé.

Commenté el 8 de Août, 2015 par joeqwerty

0 votes

Avatar de Alchemical

Le serveur est juste utilisé comme un serveur web, comme je l'ai mentionné, nous n'utilisons que des serveurs DNS externes. En fait, nous ne savions pas que le DNS était installé par défaut - nous n'avons jamais fait l'effort d'installer le DNS ou de le configurer. Donc, à ma connaissance, nous n'utilisons PAS le serveur DNS local. Je n'ai jamais rencontré ce problème auparavant et je veux m'assurer qu'il n'est pas utilisé à d'autres fins par Windows Server en interne, etc.

Commenté el 8 de Août, 2015 par Alchemical

0 votes

Avatar de Drifter104

Eh bien, il n'est pas installé par défaut, il doit être sélectionné et installé. Nous ne pouvons pas vous dire pourquoi il est là. Vous devez vérifier si l'une des machines internes utilise le DNS. Le contenu des zones DNS devrait vous donner une idée de ce qu'il fait.

Commenté el 8 de Août, 2015 par Drifter104
Afficher 1 autres commentaires

Réponses

Trop de publicités?

0voto

MattDeany avatar
MattDeany Points 21

Si j'étais vous, j'aborderais la question du point de vue du réseau. Configurez un pare-feu pour enregistrer tout le trafic vers 53/udp and 53/tcp sur le serveur. Déterminez ce qui utilise le service.

Si personne ne sait pourquoi le DNS a été installé, et que vous le désactivez, le seul moyen de savoir si vous nécessaire ce sera d'examiner ce qui a cassé.

Répondu el 8 de Août, 2015 par MattDeany (21 Points )

0voto

yagmoth555 avatar
yagmoth555 Points 15629

Comme j'ai vu dans le commentaire que le serveur est utilisé seulement comme un serveur web, s'il vous plaît permettre seulement le port nécessaire être ouvert au serveur. Cette mesure bloquera l'utilisation non autorisée de ce DNS.

Sur un petit pare-feu soho, beaucoup mettent le serveur public dans un dmz ouvert, mais avec un pare-feu avancé, il est plus sage de créer un vlan public pour le serveur et de ne transférer que le port requis, comme http/https dans votre cas.

Répondu el 8 de Août, 2015 par yagmoth555 (15629 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X