#PROTIP
Comment empêcher à peu de frais les systèmes d'un LAN d'accéder aux ressources d'un domaine web ? Différents contextes peuvent légitimer ce type de besoin: un malware résident a été repéré au sein du LAN essayant de contacter un hôte extérieur par son nom FQDN fixe pour exfiltrer des données ou prendre des prérogatives, un nouveau service Cloud hébergé sur un domaine extérieur doit être rendu inopérant pour les utilisateurs du LAN,...
La solution qui vient naturellement à l'idée est l'utilisation du DNS.
Imaginons que le domaine à bloquer soit malware.ex, il suffit simplement de créer une nouvelle zone DNS "malware.ex" sur le serveur DNS ayant autorité au sein du LAN. Aucun enregistrement particulier supplémentaire à créer.
Dès que le cache DNS client se videra, ces deniers n'auront plus accès au domaine concerné...
Attention: si le malware ou les clients utilisent un proxy d'entreprise pour se connecter à internet il faudra créér la zone "malware.ex" sur le serveur DNS utilisé par le proxy web.
En effet lors de l'utilisation d'un proxy la resolution DNS peut être déléguée de la manière suivante:
- l'utilisateur ou le malware cherche a se connecter sur le domaine malware.ex
- l'adresse malware.ex est cherchée dans les exceptions du proxy client (visibles dans "Ne pas utiliser de proxy pour les adresses..." dans les options de configuration du browser)
- si malware.ex figure dans la liste des exclusions proxy client, le client se connecte directement à la cible via la requète suivante:
GET /control.php HTTP/1.1
Host:foo.malware.ex
...en réalisant lui même la résolution DNS.
- si malware.ex ne figure pas dans la liste des exclusions proxy client, le client se connecte à son proxy via la requète suivante:
GET http://foo.malware.ex/control.php HTTP/1.1
et dans son rôle de mandataire, le proxy réalisera la résolution DNS (ie: à la place du client) et se connectera directement à la cible.
(à completer)
Aucun commentaire:
Enregistrer un commentaire