Réseau : comment faire un audit de ses DNS ?

Pourquoi auditer les services DNS ?

Les audits prennent du temps, mais ils peuvent aussi être extrêmement bénéfiques pour les entreprises. Les audits DNS contribuent à maintenir une couche de service fiable et performante qui permet aux systèmes clients de trouver rapidement des ressources. Les avantages des audits DNS sont notamment les suivants

• Identification des erreurs de configuration.
• Identification des vulnérabilités.
• Assurance du contrôle des versions.
• Examen de la conformité.
• Garantie des performances du service.
• Contrôle de l'accès administratif.

Les audits DNS sont également l'occasion de vérifier l'existence de nouvelles fonctionnalités qu'une entreprise n'a pas encore mises en œuvre. Les administrateurs réseau peuvent utiliser le processus d'audit pour commencer à planifier la mise à jour des fonctionnalités du DNS.

Quand auditer les services DNS ?

La fréquence à laquelle les administrateurs réseau doivent vérifier leurs paramètres DNS dépend des circonstances propres à leur entreprise. Toutefois, en règle générale, la meilleure pratique consiste à planifier des audits DNS trimestriels. Il est essentiel que les administrateurs réseau prévoient une période d'examen. Le DNS est un service essentiel dans la plupart des environnements réseau et nécessite une attention régulière.

Des examens trimestriels sont un bon début, mais divers événements devraient inciter à des audits plus fréquents des DNS :

• Changements majeurs dans le réseau. Mises à jour du réseau, telles que les extensions et les consolidations, les migrations dans le nuage ou les déploiements de nouveaux services.
• Incidents de sécurité. Incidents de sécurité liés à la résolution de noms ou à d'autres aspects du réseau.
• Événements de disponibilité. Problèmes de connectivité WAN ou LAN, temps d'arrêt des serveurs ou routage entre bureaux.
• Changements dans la structure de l'entreprise. Changements entreprisenels, tels que le changement de nom ou de marque d'une entreprise ou son acquisition.

Les administrateurs réseau peuvent envisager de mettre en place une liste de contrôle DNS après l'un des événements susmentionnés. Une documentation complète peut faciliter le processus d'audit DNS. Confirmez tout, de l'accès administratif aux performances du réseau en passant par les journaux et les alertes. Cela permet de s'assurer que la résolution de noms est disponible pour les appareils clients et les services du réseau.

Les administrateurs réseau doivent également vérifier régulièrement les fichiers de log. La journalisation du DNS peut inciter à une enquête plus approfondie sur certains événements ou justifier un examen complet du DNS. Les outils de surveillance et de journalisation automatisés peuvent fournir des alertes en cas d'incident.

Comment auditer les services DNS

Les paramètres spécifiques varient selon que le réseau héberge le DNS sous Windows, Linux ou un mélange des deux. Quoi qu'il en soit, les principaux outils utilisés sont les consoles d'administration, les commandes en ligne et les utilitaires d'analyse des fichiers journaux, tels que Event Viewer et rsyslog.

Lorsque les administrateurs réseau examinent attentivement leurs paramètres DNS, ils peuvent vouloir diviser le service en différents aspects, tels que l'accès administratif, les paramètres client et la sécurité.

1/ Examinez la partie logicielle du service DNS

La première étape d'un audit DNS consiste à examiner le logiciel qui lance le service de résolution de noms. Tout d'abord, les administrateurs réseau doivent s'assurer que le service démarre avec le serveur et qu'il fonctionne sans problème. Ils doivent également vérifier la version du logiciel de service DNS utilisée par leur entreprise. Les entreprises devraient avoir des normes minimales en matière de version.

Les administrateurs doivent également examiner les fichiers journaux spécifiques au serveur. Dans le cadre de ce processus, ils doivent configurer avec soin les fonctions de surveillance et d'alerte des services de journalisation afin d'obtenir un état de service précis et actualisé.

2/ Examinez les enregistrements des opérations de maintenance

Lorsque les administrateurs réseau effectuent un audit, ils doivent vérifier l'exactitude de plusieurs enregistrements de maintenance. Il s'agit des enregistrements de ressources client - en particulier les enregistrements statiques - et des enregistrements de service DNS, tels que les enregistrements de début d'autorité et de serveur de noms. Recherchez et supprimez les artefacts, tels que les enregistrements statiques inutiles pour les périphériques qui ne sont plus présents sur le réseau.

3/ Vérifiez si les accès administrateur sont appropriés

Il est essentiel pour la cybersécurité de savoir quels utilisateurs disposent d'un accès administrateur au réseau. Les administrateurs réseau doivent revoir les contrôles d'accès pour les comptes d'utilisateurs qui peuvent se connecter aux serveurs DNS. Seuls les administrateurs autorisés devraient avoir accès à la console de gestion DNS.

Outre les comptes individuels, les administrateurs réseau doivent également vérifier l'appartenance à des groupes pour les privilèges DNS et envisager de limiter l'appartenance à des groupes administratifs. Par exemple, les systèmes Windows permettent à plusieurs groupes administratifs d'accéder au DNS, notamment les suivants :

• Administrateurs locaux.
• Administrateurs de domaine.
• Administrateurs d'entreprise.
• Administrateurs DNS.

Les administrateurs réseau peuvent envisager de restreindre l'accès aux seuls utilisateurs nécessaires.

4/ Vérifiez les paramètres des clients et les performances du réseau

Le protocole DHCP loue et attribue des adresses IP aux appareils clients. Ces derniers doivent recevoir au moins deux serveurs DNS dans le cadre de la configuration IP. Les administrateurs réseau doivent vérifier les paramètres DHCP pour confirmer que c'est bien le cas et s'assurer que le DHCP dirige ces périphériques clients vers des serveurs DNS proches afin de préserver les performances.

Les administrateurs doivent également s'assurer que les paramètres du pare-feu sont appropriés pour la résolution des noms des clients et les transferts de zone DNS entre serveurs, y compris les ports 53/TCP et 53/UDP du pare-feu.

5/ Vérifiez que le réseau est assez fonctionnel pour la connectivité DNS

Dans les environnements centrés sur Microsoft, le DNS est généralement intégré à Active Directory. Cela signifie que le moteur de réplication AD peut répliquer les informations DNS et les stocker sur les contrôleurs de domaine AD. Les deux services étant étroitement liés, les administrateurs réseau doivent vérifier les entrées de l'observateur d'événements AD lorsqu'ils auditent et dépannent le DNS dans ces environnements.

Les administrateurs réseau doivent également vérifier les fichiers journaux et les consoles d'administration pour s'assurer que les transferts de zones DNS et la réplication AD fonctionnent correctement. En outre, ils doivent examiner les sites AD pour s'assurer que les appareils clients trouvent le contrôleur de domaine ou le serveur DNS le plus proche.

Enfin, les administrateurs doivent examiner les performances du réseau pour s'assurer que le DNS fonctionne bien. Les équipes réseau doivent vérifier le trafic, le filtrage du pare-feu et les informations de routage. Le DNS étant un service très utilisé, les meilleures pratiques sont essentielles pour optimiser le trafic réseau.

6/ Vérifiez que les paramètres avancés sont corrects

Enfin, les administrateurs réseau doivent s'assurer que leurs paramètres avancés sont corrects et optimisés pour le DNS. Il est important de vérifier les certificats et les autorités de certification associés aux configurations de sécurité DNS. Des certificats périmés, expirés ou mal configurés peuvent interrompre la résolution des noms. Les administrateurs doivent les mettre à jour si nécessaire pour éviter tout problème.

En outre, les administrateurs réseau doivent vérifier les configurations pour DNS-over-HTTPS ou DNS-over-TLS si celles-ci sont utilisées sur le réseau. Ces deux services protègent la confidentialité et la manipulation des résolutions de noms. Une mauvaise configuration peut empêcher les services de fonctionner comme prévu, c'est pourquoi il est important de vérifier qu'ils sont correctement configurés.

Utilisez des outils réseau pour les audits

Les administrateurs réseau peuvent envisager d'utiliser divers outils pour examiner les paramètres DNS. Des applications telles que Nmap peuvent mettre en évidence les erreurs de configuration des services, les paramètres des ports de pare-feu et les dispositifs indésirables sur le réseau.

Des outils comme Wireshark capturent le trafic réseau, ce qui les rend utiles pour visualiser les informations de réplication DNS ou les communications DNS client-serveur. D'autres outils de performance réseau, tels que iPerf3 de Linux, sont également utiles.