Protocoles de résolution de noms
Introduction
Les protocoles LLMNR, NBNS et mDNS sont des protocoles de Microsoft Windows qui servent de méthodes alternatives de résolution de noms.
Bien que chacun de ces protocoles ait été remplacé par le protocole DNS, certains sont encore utilisés dans des contextes spécifiques. Aucun de ces protocoles n'utilise de moyen de validation pour leurs requêtes de diffusion, ce qui les rend vulnérables à des réponses malveillantes distribuées par un attaquant, ce qui peut compromettre la sécurité du réseau.
Ce document s'adresse aux administrateur système, responsable de la sécurité ou responsable informatique, ce guide vous accompagnera dans toutes les étapes de configuration de manière simple et compréhensible. Les explications sont appuyées par des captures d'écran pour faciliter la mise en œuvre des recommandations.
Recommandations générales
Il est fortement recommandé de désactiver les protocoles tels que LLMNR, NBNS, et mDNS dans les environnements réseau, car ils peuvent présenter des vulnérabilités potentielles en permettant à des attaquants de fournir de fausses informations de résolution de noms, ce qui pourrait compromettre la sécurité du réseau. Pour ce faire, vous pouvez utiliser des GPO pour désactiver LLMNR et mDNS, et configurer des paramètres appropriés dans votre infrastructure DHCP pour désactiver NBNS. Cette démarche contribuera à renforcer la sécurité de votre réseau en éliminant les vecteurs potentiels d'attaque exploitant ces protocoles et en garantissant que la résolution de noms s'effectue de manière plus sécurisée et contrôlée par le biais du DNS.
Impact sur le système :
Dans un réseau, un attaquant peut écouter les protocoles LLMNR, mDNS ou NBNS pour intercepter des requêtes de connexion mal adressées. Par exemple, si un utilisateur essaie de se connecter à un serveur \\testingserveur avec une adresse mal saisie (ex. \\testserveur), et que cette requête ne trouve pas de correspondance au niveau du serveur DNS, le système tente alors de trouver le serveur via LLMNR, mDNS ou NBNS. L'attaquant peut répondre à cette requête, prétendant que l'adresse mal saisie pointe vers son propre système.
Lorsque l'utilisateur tente de se connecter à ce qu'il pense être le bon serveur, il envoie ses informations d'identification à l'attaquant.
Ce dernier peut alors essayer de déchiffrer ces informations pour accéder au mot de passe de l'utilisateur et ainsi réutiliser ses informations d'authentification à des fins malveillantes.
Méthode technique
Désactivation de LLMNR avec GPO
Sur un domaine:
Pour désactiver le protocole LLMNR sur un domaine, nous allons utiliser une stratégie de groupe (GPO). Pour cela rendez-vous sur l'Editeur de stratégie de groupe et créez une nouvelle GPO pour l'ensemble des ordinateurs de l'environnement.
Naviguez jusqu'à "Stratégie locale de l'ordinateur / Configuration de l'ordinateur / Modèles d'administration / Client DNS".
Activez l'option "Désactiver la résolution de noms multidiffusion" en la configurant sur "Activé".
Hors domaine:
Pour désactiver le protocole LLMNR sur un ordinateur ce trouvant hors d'un domaine nous allons devoir modifier la valeur d'un registre.
Pour cela rendez-vous dans l'éditeur de registre et rechercher la clé HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
Affecter la valeur 0 au paramètre EnableMulticast
Désactivation de NBNS
La désactivation de NBNS peut être effectuée de différentes manières en fonction de votre environnement (DHCP ou ordinateur individuel) :
Environnement DHCP :
Accédez à la gestion DHCP, puis faites un clic droit sur "Options de la plage" correspondant au réseau que vous modifiez, et cliquez sur "Configurer les options".
Sélectionnez l'onglet "Avancé" et modifiez la "Classe de fournisseur" en "Microsoft Windows 2000 options". Cochez ensuite la case "001 Microsoft Disable Netbios Option" dans la zone "Options disponibles" et définissez la "Saisie de données" sur 0x2. Cliquez sur "OK". Les nouveaux paramètres seront pris en compte lors du renouvellement des adresses par les clients.
Ordinateur individuel :
Accédez au "Centre Réseau et partage" et cliquez sur "Modifier les paramètres de l'adaptateur".
Cliquez avec le bouton droit sur "Connexion réseau local" puis sélectionnez "Propriétés".
Double-cliquez sur "Protocole Internet version 4 (TCP/IPv4)".
Rendez vous dans l'onglet "Avancé".
Accédez à la section "WINS" (Windows Internet Name Service). Cochez l'option "Désactiver NetBIOS sur TCP/IP".
Désactivation de mDNS
Attention ! La désactivation mDNS peut avoir des conséquences négatives inattendues. La mise en miroir et le partage d'écran sans fil dans les salles de conférence peuvent cesser de fonctionner. L'accès aux imprimantes peut être interrompu. De nombreuses autres problématiques peuvent surgir en raison des dépendances étendues des services à mDNS.
Pour désactiver le MDNS, rendez-vous dans les fonction avancées de sécurité du par feu de Windows Defenders. Recherchez let désactivez a règle mDNS(UDP-Entrée) sur les profiles "domaine" et "public".
Lexique
LLMNR (Link-Local Multicast Name Resolution)
Le protocole LLMNR (Link-Local Multicast Name Resolution) a vu le jour en 2001. Il résout le nom des ordinateurs du voisinage si aucun réseau DNS (Domain Name System) n'est installé sur le réseau. Le répondeur LLMNR fonctionne lorsque vous utilisez un ordinateur pourvu de la fonction d'émetteur LLMNR, par exemple Windows Vista.
NBNS (NetBIOS Name Service)
Le protocole NBNS (NetBIOS Name Service), a lui vu le jour dans les années 1980, est principalement utilisé dans les réseaux Windows plus anciens pour la résolution de noms NetBIOS en convertissant les noms d'ordinateurs en adresses IP.
DNS (Domain Name System)
Le DNS est un système de noms de domaine qui traduit les noms de domaine compréhensibles par l'homme en adresses IP utilisées par les ordinateurs pour se connecter sur Internet. Il s'agit d'un pilier essentiel de l'infrastructure Internet.
mDNS (Multicast DNS)
Le protocole mDNS (Multicast Domain Name Service), introduit en 2000, permet la résolution de noms de domaine en multicast au sein de réseaux locaux, facilitant la découverte et la communication entre des appareils, notamment ceux fabriqués par Apple, via des noms de domaine lisibles par l'homme tels que "nom.local".
DHCP (Dynamic Host Configuration Protocol)
DHCP est un protocole réseau qui automatise la configuration IP des appareils sur un réseau. Il attribue dynamiquement des adresses IP, des masques de sous-réseau, des passerelles et d'autres paramètres réseau aux appareils connectés, simplifiant ainsi la gestion des réseaux.
GPO (Group Policy Object - Objet de stratégie de groupe)
GPO est une fonctionnalité d'Active Directory qui permet aux administrateurs de définir des règles de configuration et de sécurité pour les utilisateurs et les ordinateurs dans un domaine Windows. Ces règles sont ensuite appliquées de manière uniforme à tous les membres du domaine pour garantir la cohérence et la conformité au sein du réseau.