56 votes

Chris Roberts avatar

Windows 7 : "la résolution du nom de l'hôte local est gérée par le DNS lui-même". Pourquoi ?

Demandé el 5 de Mai, 2009
Quand la question a-t-elle été
73854 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Après 18 ans d'hébergement de fichiers sous Windows, j'ai été surpris de voir cela dans la version 7100 de Windows 7 :

# localhost name resolution is handled within DNS itself.
#   127.0.0.1 localhost
#   ::1 localhost

Quelqu'un sait-il pourquoi ce changement a-t-il été introduit ? Je suis sûr qu'il doit y avoir un raisonnement.

Et, ce qui est peut-être plus pertinent, existe-t-il des autres changements importants liés au DNS dans Windows 7 ? Cela me fait un peu peur de penser que quelque chose d'aussi fondamental que la résolution du nom du localhost a changé... cela me fait penser qu'il y a d'autres changements subtils mais importants à la pile DNS dans Win7.

Demandé el 5 de Mai, 2009 par Chris Roberts

0 votes

Avatar de Chris Roberts

Prime ajoutée. La spéculation sur la sécurité est bonne (et presque certainement correcte), mais j'espère que la prime attirera quelqu'un qui a étudié en détail les changements DNS de Win7.

Commenté el 12 de Mai, 2009 par Chris Roberts

0 votes

Avatar de ltd

Quelqu'un peut-il expliquer en quoi cela est lié à cet autre problème ? stackoverflow.com/questions/1416128/ et quelle est la véritable solution ? Je pense que je vais décommenter l'entrée ipv4 localhost dans mon fichier host pour l'instant.

Commenté el 11 de Juin, 2010 par ltd

Réponses

Trop de publicités?

33voto

David Crow avatar
David Crow Points 7704

J'ai vérifié auprès d'un développeur de l'équipe Windows, et la réponse actuelle est beaucoup plus inoffensive que les autres réponses à ce post :)

À un moment donné, lorsque le monde passera de l'IPV4 à l'IPV6, l'IPV4 sera éventuellement désactivé/désinstallé par les entreprises qui souhaitent simplifier la gestion du réseau dans leur environnement.

Avec Windows Vista, lorsque l'IPv4 était désinstallé et l'IPv6 activé, une requête DNS pour une adresse A (IPv4) aboutissait à la boucle IPv4 (qui provenait du fichier hosts). Cela posait évidemment des problèmes lorsque IPv4 n'était pas installé. La solution a consisté à déplacer les entrées de bouclage IPv4 et IPv6 toujours présentes de l'hôte vers le résolveur DNS, où elles peuvent être désactivées indépendamment.

-Jean

Répondu el 18 de Mai, 2009 par David Crow (7704 Points )

1 votes

Avatar de Joey deVilla

Si vous avez un lien direct avec l'équipe Windows, pouvez-vous s'il vous plaît leur demander de s'assurer que le NSEC3 est pris en charge ? La validation DNSSEC sans NSEC3 sera inutile ! Je sais pertinemment que .com utilisera NSEC3 lorsqu'il sera signé en 2011.

Commenté el 19 de Mai, 2009 par Joey deVilla

0 votes

Avatar de Joey deVilla

(c'est-à-dire dans le résolveur de stub en cours de validation).

Commenté el 19 de Mai, 2009 par Joey deVilla

3 votes

Avatar de Christian

9 ans et demi plus tard, nous utilisons toujours IPv4 :)

Commenté el 23 de Novembre, 2018 par Christian

7voto

Joey deVilla avatar
Joey deVilla Points 4487

Windows 7 introduit la prise en charge (facultative) de DNSSEC validation. Les contrôles se trouvent sous "Name Resolution Policy" dans le plugin "Local Group Policy" ( c:\windows\system32\gpedit.msc )

Malheureusement, il ne supporte pas (AFAIK) RFC 5155 NSEC3 que de nombreux opérateurs de grandes zones (y compris les .com ) utiliseront lorsqu'ils mettront en œuvre le protocole DNSSEC au cours des deux prochaines années.

Répondu el 5 de Mai, 2009 par Joey deVilla (4487 Points )

0 votes

Avatar de aharden

Je seconde une relation avec la mise en œuvre de DNSSEC : news.softpedia.com/news/ .

Commenté el 13 de Mai, 2009 par aharden

5voto

mafro avatar
mafro Points 587

Étant donné que de plus en plus d'applications sous Windows utilisent l'IP pour se parler à elles-mêmes, y compris probablement un certain nombre de services Windows, je pourrais voir quelqu'un changer localhost pour qu'il pointe vers un autre endroit comme un vecteur d'attaque intéressant. Je pense qu'il a été modifié dans le cadre du programme de Microsoft SDL .

Répondu el 5 de Mai, 2009 par mafro (587 Points )

3voto

Jeff Thomas avatar
Jeff Thomas Points 183

Je pense qu'il s'agit également d'une tentative de renforcer leur sécurité. En "corrigeant" localhost pour qu'il pointe toujours vers le loopback, ils peuvent éviter les attaques par empoisonnement DNS, qui commencent à se manifester dans la nature.

Je suis cependant d'accord pour dire que c'est un peu dérangeant à certains niveaux...

Répondu el 5 de Mai, 2009 par Jeff Thomas (183 Points )

2voto

Pierre Espenan avatar
Pierre Espenan Points 256

Je serais curieux de savoir s'il est possible de redéfinir localhost dans le DNS lui-même. L'utilisation de fichiers en texte clair pour gérer ces paramètres n'aurait jamais pu être considérée comme une bonne pratique de sécurité. Il me semble que les nouvelles mesures de sécurité de Microsoft vont au-delà de la prévention de l'accès à la racine et s'attaquent plus profondément aux vulnérabilités nuancées. Je ne suis pas sûr que l'on puisse garder une longueur d'avance sur les "black hats" motivés, quoi qu'il en soit.

Répondu el 5 de Mai, 2009 par Pierre Espenan (256 Points )

2 votes

Avatar de Utilisateur non enregistré

Localhost est juste un autre enregistrement A dans votre zone, c'est seulement la convention qui le fait pointer vers 127.0.0.1. Donc oui, vous pouvez faire pointer localhost vers ce que vous voulez, et si un attaquant peut prendre le contrôle du serveur DNS, il peut changer cet enregistrement pour l'ensemble du réseau d'ordinateurs W7 plutôt que pour un seul ordinateur avec un fichier hosts. C'est un problème notoire pour les serveurs DNS racine que les gens n'incluent pas d'enregistrement A localhost dans leur zone, de sorte que la requête est envoyée à la racine : bit.ly/ybu1a

Commenté el 16 de Mai, 2009 par Utilisateur non enregistré

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X