Note :

Protégez votre réseau interne Oracle Cloud Infrastructure à l'aide d'un pare-feu DNS

Présentation

Il est essentiel de contrôler les actions de vos instances de machine virtuelle afin de pouvoir contrôler leur comportement. Dans la plupart des cas, les requêtes du système de noms de domaine (DNS) sont oubliées et ne sont pas contrôlées ou surveillées, laissant la voie ouverte à une machine compromise pour se connecter aux serveurs de commande et de contrôle (C2) et télécharger des logiciels malveillants, par exemple. La possibilité de contrôler et de bloquer ces interrogations sortantes sur les serveurs C2 et d'autres types de serveurs malveillants, ajoute une couche de sécurité supplémentaire à votre réseau et vous risquez d'éviter que votre machine virtuelle et votre réseau ne soient davantage compromis.

Objectifs

Préalables

Tâche 1 : Localiser le résolveur DNS dans la console OCI

Assurez-vous qu'un VCN a déjà été créé et cliquez sur le nom du VCN. Dans la page Détails du réseau en nuage virtuel, cliquez sur Résolveur DNS.

OCI_DNS-DNS_Resolver

Tâche 2 : Configurer un point d'extrémité de réacheminement

  1. Sous Ressources, cliquez sur Points d'extrémité et sur Créer un point d'extrémité.

  2. Dans la page Créer un point d'extrémité, entrez les informations suivantes et cliquez sur Créer un point d'extrémité.

    • Nom : Entrez un nom.
    • Sous-réseau : Sélectionnez le sous-réseau où vous voulez que votre point d'extrémité de redirection.
    • Type de point d'extrémité : Sélectionnez Transfert.

    OCI_DNS-Forwarder_Creation

    Cela devrait prendre quelques minutes et lorsque vous aurez terminé, votre redirecteur DNS sera créé. Cela nous permettra de configurer une redirection des requêtes où nous le voulons, dans notre cas vers un pare-feu DNS.

    Le résolveur DNS suit un ordre indiquant comment les interrogations des instances sont résolues :

    Tout d'abord, il vérifiera toutes les vues privées attachées, puis les règles de résolveur et, en dernier, il utilisera les propres résolveurs Internet publics d'Oracle pour résoudre les noms d'hôte. Pour plus d'informations, voir Configuration et résolution.

    Dans l'étape suivante, nous voulons détourner toutes les requêtes qui ne sont pas locales (n'existent dans aucune vue privée) et les envoyer à un service de pare-feu DNS, ou à un autre serveur DNS géré par votre entreprise pour contrôler les requêtes.

    Vous pouvez choisir un service gratuit, comme OpenDNS, Quad9, ControlD et bien d'autres, ou choisir un service payant avec beaucoup plus de contrôle et de fonctionnalités, comme Cisco Umbrella, ControlD, NextDNS, InfoBlox et bien d'autres.

    Note : Nous n'avons aucune connexion avec les fournisseurs de DNS mentionnés dans la tâche 3. Ils sont utilisés à titre d'exemple en raison de la simplicité, de la facilité d'utilisation et de la configuration. Il existe de nombreux autres fournisseurs offrant des services similaires, trouvez celui qui convient le mieux à vos besoins.

Tâche 3 : Créer une règle de résolveur

Notes :

Confirmation

Autres ressources d'apprentissage

Explorez d'autres laboratoires sur la page docs.oracle.com/learn ou accédez à plus de contenu d'apprentissage gratuit sur le canal YouTube d'Oracle Learning. De plus, visitez education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir de la documentation sur le produit, visitez Oracle Help Center.