Les architectures évoluent mais qu'en est-il de la sécurité des réseaux ?
Souvent il est nécessaire de faire le point sur les avantages d'une migration lors de la réalisation des POC (Proof of Concept), mais il est encore plus important de valider les inconvénients que drainent les nouvelles technologies.
Depuis quelques semaines Microsoft nous propose via écrans interposés, mailing massif et inondation publicitaire sa nouvelle monture du système d'exploitation orientée poste utilisateur (Windows 7) avec tout le potentiel qu'il apporte pour le client final, mais un point n'est pas abordé, celui de la sécurité des réseaux d'entreprises.
Pour preuve une petite fonctionnalité somme toute annondine s'est glissée dans la liste des améliorations, c'est le LLMNR.
Que peut apporter cette nouvelle fonctionnalité au sein d'une entreprise ?
Microsoft a développé un nouveau service appelé le LLMNR.
Le LLMNR ? C'est un nouveau protocole que Microsoft a préparé et officialisé se nommant le Link-Local Multicast Name Resolution.Lien Microsoft sur le LLMNR
A quoi peut-il servir ?
Lorsque la résolution de noms n'est plus disponible, les postes clients du LAN peuvent alors devenir une autorité de nom et répondre aux requêtes DNS. Cette technologie est très intéressante sur le papier.
Les inconvénients ?
Très simple, puisque chaque poste peut agir en tant qu'autorité DNS au sein d'un réseau via ce protocole, si le cache local d'une de ces machine est erroné (action malveillante ou erreur) l'ensemble du réseau sera affecté.
Scénario:
- Le poste A souhaite allez sur le site de sa banque.
- Le poste B a été piraté et diffuse de mauvaise requêtes
- Le poste B lui est autorité DNS sur le réseau
- Le poste A envoie des informations au poste B en croyant parler au site bancaire
- Les informations d'identification du site bancaire sont sauvegardées sur le poste B et réutilisé ultérieurement.
Qui peut le faire ?
Tous les postes depuis Windows Vista et Windows 2008.
En quoi est-ce une faille sur le LAN ?
Par définition au sein d'un LAN client il ne peut pas y avoir d'autre autorités DNS que régit par à l'AD ou serveurs BIND sous l'autorité de l'Administrateur local. Autant limiter les serveurs DNS au sein d'un LAN pour garantir la fiabilité et l'intégrité du réseau.
Comment s'en parer ?
En appliquant une GPO spécifique décrite ci-dessous. Procédure de désactivation
employé NEOCLES