DNS

L’utilisation de certains services (par exemple proxy web) nécessite la résolution de noms de domaine. Dans le cas d’une compromission des serveurs DNS utilisés, un attaquant peut alors rediriger les flux vers des correspondants illégitimes.

R25 | SNS | Choisir des serveurs DNS maîtrisés
Il est recommandé de configurer des résolveurs DNS maîtrisés dans le menu Configuration > Système > Configuration > Paramètres réseaux.

R25 ⁃ | SNS | Modifier les serveurs DNS par défaut
Il est recommandé de remplacer les résolveurs DNS configurés par défaut par ceux du fournisseur d’accès si aucun n’est maîtrisé dans le SI.

La base d’objets d’un pare-feu SNS permet de créer des objets de type statique ou dynamique. Ces derniers dépendent d’un nom de domaine régulièrement résolu par le pare-feu SNS. Il en existe par défaut une quinzaine qui portent un nom se terminant par stormshieldcs.eu ou stormshield.eu dont une partie est représentée sur l'image ci-dessous (ces noms peuvent évoluer en fonction des mises à jour). L’application de la recommandation R30 permet de bloquer par défaut ces requêtes DNS.

L’utilisation d’un miroir interne (recommandation R24) permet à un pare-feu SNS de ne pas avoir à contacter directement les serveurs de mise à jour de Stormshield. De plus, l’utilisation de serveurs DNS maîtrisés (recommandation R25) permet de déporter la gestion des adresses des autres services de Stormshield (gestion des licences, etc.).

R26 | SNS | Limiter l'usage des objets dynamiques
Il est recommandé de supprimer les objets dynamiques non utilisés et de reconfigurer les objets restants en mode statique dans le menu Configuration > Objets > Réseau.
Les objets dynamiques étant des objets locaux, ils ne peuvent pas être supprimés depuis un serveur SMC.

R26 | SMC | Limiter l'usage des objets dynamiques
Il est recommandé de supprimer les objets dynamiques (type FQDN) non utilisés et de reconfigurer les objets restants en mode statique dans le menu Objets réseau.