Oui, la commutation DNS peut être restreinte à différents niveaux d'un réseau ou d'un appareil pour garantir que les utilisateurs ou les systèmes utilisent uniquement des serveurs DNS spécifiques fournis par un administrateur réseau ou des politiques de sécurité.
Cela peut être utile pour empêcher le contournement des contrôles de contenu, pour se protéger contre certains types d'attaques de logiciels malveillants ou simplement pour garantir que la résolution de noms est gérée de manière efficace et sécurisée. Ici, je détaille comment cela peut être fait dans différents scénarios :
Dans les routeurs ou les pare-feu
La plupart des routeurs et pare-feu vous permettent de configurer des règles pour restreindre le trafic DNS à des serveurs spécifiques. Par exemple, vous pouvez configurer un routeur pour autoriser uniquement les requêtes DNS vers les serveurs que vous spécifiez, bloquant ainsi toute tentative de requête vers d'autres serveurs DNS.
Ceci est accompli par des règles de pare-feu qui interceptent le trafic sur le port 53 (le port standard pour le trafic DNS) et autorisent uniquement le trafic vers les adresses IP des serveurs DNS approuvés.
Dans les systèmes d'exploitation
Windows, Mac OS, Linux
Les systèmes d'exploitation de bureau vous permettent de configurer les paramètres DNS, mais la restriction des modifications nécessite des étapes supplémentaires. Cela peut être géré via des stratégies de groupe dans les environnements Windows (GPO) ou en définissant les autorisations appropriées sur les systèmes Unix (tels que macOS et Linux).
Par exemple, sous Windows, les stratégies de groupe peuvent être utilisées pour empêcher les utilisateurs de modifier les paramètres DNS dans les propriétés de leur connexion réseau.
Appareils mobiles (iOS, Android)
Sur les appareils mobiles, les restrictions peuvent être plus difficiles à mettre en œuvre universellement en raison des différences entre les systèmes d'exploitation et les couches de personnalisation des fabricants.
Cependant, les applications de gestion des appareils mobiles (MDM) peuvent offrir la possibilité de restreindre les paramètres réseau, y compris les serveurs DNS.
Via un logiciel tiers
Il existe des applications et des outils de sécurité qui peuvent restreindre la modification des serveurs DNS sur des appareils individuels. Ces outils peuvent faire partie de packages de sécurité Internet ou d'applications de contrôle parental qui, entre autres, limitent l'accès aux paramètres du système.
Considérations de sécurité
Il est important de noter que si la restriction de la commutation DNS peut accroître la sécurité, elle peut également affecter les fonctionnalités si les serveurs DNS configurés rencontrent des problèmes ou si les utilisateurs doivent se connecter à des réseaux dans différents environnements (tels que des ordinateurs portables qui se déplacent entre le bureau et la maison).
Il est donc crucial de maintenir une bonne gestion des serveurs DNS autorisés et de garantir qu’ils sont fiables et sécurisés.
Dans MikroTik RouterOS
Cette pratique peut être problématique pour diverses raisons, notamment le contournement des politiques de contenu, le filtrage de sites Web, ou même pour des raisons de sécurité, afin d'éviter les attaques de phishing ou de logiciels malveillants via un DNS malveillant. Il existe deux solutions principales pour garantir que, quels que soient les paramètres DNS sur les appareils des utilisateurs, le trafic DNS est géré conformément aux politiques réseau :
1. DNS transparent avec redirection NAT
Cette technique est utilisée lorsque le routeur MikroTik agit comme un serveur DNS et que vous souhaitez que tout le trafic DNS des clients soit dirigé vers lui, même si le client a configuré manuellement un serveur DNS différent sur son appareil.
Pour mettre en œuvre cette configuration, une règle NAT est créée sur le routeur MikroTik qui intercepte tout le trafic destiné au port 53 (le port standard du trafic DNS) et le redirige vers le routeur MikroTik lui-même.
De cette façon, même si un client a configuré un DNS différent, tel que 8.8.8.8 (Google DNS), le trafic DNS est réellement traité par MikroTik. La configuration sur l'appareil client ne change pas visuellement, mais le trafic DNS est effectivement redirigé.
Exemple de règle pour un DNS transparent :
/ip firewall nat add action=redirect chain=dstnat dst-port=53 protocol=udp to-ports=53
/ip firewall nat add action=redirect chain=dstnat dst-port=53 protocol=tcp to-ports=53
Ces règles redirigent tout le trafic destiné au port 53 vers le port 53 du routeur MikroTik, garantissant que le routeur gère les requêtes DNS.
2. Forcer l'utilisation d'un DNS spécifique avec NAT dst-nat
Lorsque vous souhaitez forcer l'utilisation d'un serveur DNS spécifique, qu'il soit interne ou externe (autre que le routeur MikroTik), vous pouvez configurer une règle NAT qui intercepte le trafic DNS et le redirige vers l'IP du serveur DNS souhaité, en utilisant dst-nat
.
Ce paramètre est utile si vous gérez un serveur DNS interne pour contrôler l'accès à Internet ou si vous préférez utiliser un DNS externe spécifique pour des raisons de fiabilité, de performances ou de filtrage de contenu.
Exemple de règle pour forcer un DNS spécifique :
/ip firewall nat add action=dst-nat chain=dstnat dst-port=53 protocol=udp to-addresses=192.168.1.1 to-ports=53
/ip firewall nat add action=dst-nat chain=dstnat dst-port=53 protocol=tcp to-addresses=192.168.1.1 to-ports=53
Remplace 192.168.1.1
avec l'adresse IP du serveur DNS que vous souhaitez forcer. Ces règles garantissent que tout le trafic destiné au port 53 est redirigé vers le serveur DNS spécifié, quels que soient les paramètres DNS sur les appareils des utilisateurs.
Considérations finales
Les deux techniques sont efficaces pour gérer la manière dont les requêtes DNS sont résolues au sein d'un réseau et peuvent aider à maintenir la cohérence des politiques réseau, à améliorer la sécurité et à optimiser les performances.
Cependant, il est important de prendre en compte les besoins spécifiques de votre réseau et de vos utilisateurs lors de la mise en œuvre de ces solutions, ainsi que de maintenir les meilleures pratiques en matière de sécurité et de confidentialité.
Il n'y a aucun tag pour ce message.
1 commentaire sur « La modification du DNS peut-elle être restreinte ? »
Salut oui! Vous souhaitez forcer votre utilisateur à utiliser le DNS que vous souhaitez utiliser