Re: Conseils sur la protection d'un accès VPN.
Salut,
Jean-Yves F. Barbier a écrit :
> On Tue, 31 Jan 2012 14:27:44 +0100
> Olivier <oza_4h07@yahoo.fr> wrote:
>
>> 1. Via un ISP (type OVH, 1and1, ...), j'enregistre les domaines
>> mondomaine.fr et foobar.mondomaine.fr.
>
> foobar n'est pas un domaine, mais un s/s domaine du domain
> mondomain.fr
Techniquement un sous-domaine est aussi un domaine, au même titre que
example.net est un sous-domaine de net qui est un sous-domaine de la racine.
>> Est-il possible à un tiers de découvrir l'existence de
>> foobar.mondomaine.fr à partir de la seule connaissance de
>> mondomaine.fr ?
Oui, si on peut accéder au contenu de la zone, via AXFR comme décrit par
Pierre-Arnaud, en ayant connaissance du fichier de zone par tout moyen
licite ou illicite, en examinant les requêtes DNS reçues par un serveur
récursif (Google, OpenDNS, les FAI...). Sinon par force
brute/dictionnaire comme on fait pour les parties gauches d'adresses
mail ou les mots de passe.
>> Si oui, est-il possible de contrôler ou limiter cette
>> possibilité ?
Ne pas autoriser tout le monde à faire un transfert de zone. Contre la
force brute, choisir un sous-domaine improbable comme on choisirait un
mot de passe.
>> 2. Que penser de l'idée d'utiliser un nom de domaine plutôt qu'une
>> adresse IP pour accéder à un VPN, (afin de pouvoir re-diriger le
>> trafic vers un serveur VPN de secours) ?
Cela a l'avantage de permettre de façon transparente de changer
l'adresse IP cible, voire de faire de la redondance ou de l'équilibrage
avec plusieurs adresses. Mais cela a l'inconvénient de dépendre de
l'infrastructure DNS.
Reply to: