Remarques :

Protéger votre réseau interne Oracle Cloud Infrastructure à l'aide d'un pare-feu DNS

Introduction

Avoir le contrôle de ce que font vos instances de machine virtuelle est essentiel pour pouvoir contrôler leur comportement. Dans la plupart des cas, les requêtes DNS (Domain Name System) sont oubliées et non contrôlées ou surveillées, laissant la possibilité à une machine compromise de se connecter à des serveurs de commande et de contrôle (C2) et de télécharger des logiciels malveillants, par exemple. Le fait de pouvoir contrôler et bloquer ces requêtes sortantes vers les serveurs C2 et d'autres types de serveurs malveillants ajoute une couche de sécurité supplémentaire à votre réseau, et vous risquez d'éviter que votre machine virtuelle et votre réseau ne soient davantage compromis.

Objectifs

Prérequis

Tâche 1 : localisation du résolveur DNS sur la console OCI

Assurez-vous que vous avez déjà créé un VCN et cliquez sur le nom du VCN. Sur la page Détails du réseau cloud virtuel, cliquez sur Résolveur DNS.

OCI_DNS-DNS_Resolver

Tâche 2 : configurer une adresse de transfert

  1. Sous Ressources, cliquez sur Adresses et sur Créer une adresse.

  2. Sur la page Créer une adresse, entrez les informations suivantes et cliquez sur Créer une adresse.

    • Nom : entrez un nom.
    • Sous-réseau : sélectionnez le sous-réseau dans lequel vous souhaitez obtenir l'adresse de redirection.
    • Type d'adresse : sélectionnez Transfert.

    OCI_DNS-Forwarder_Creation

    Cette opération doit prendre quelques minutes et, lorsque vous avez terminé, votre transitaire DNS est créé. Cela nous permettra de configurer une redirection de requêtes là où nous voulons, dans notre cas à un pare-feu DNS.

    Le résolveur DNS suit un ordre de résolution des requêtes des instances :

    Tout d'abord, il vérifie toutes les vues privées attachées, puis les règles de résolveur et, en dernier lieu, il utilise les propres résolveurs Internet publics d'Oracle pour résoudre les noms d'hôte. Pour plus d'informations, reportez-vous à la section Configuration and Resolution.

    Dans l'étape suivante, nous voulons détourner toutes les requêtes qui ne sont pas locales (n'existent dans aucune vue privée) et les envoyer à un service de pare-feu DNS, ou à un autre serveur DNS géré par votre société pour contrôler les requêtes.

    Vous pouvez opter en choisissant un service gratuit, comme OpenDNS, Quad9, ControlD, et bien d'autres, ou choisir un service payant avec beaucoup plus de contrôle et de fonctionnalités, comme Cisco Umbrella, ControlD, NextDNS, InfoBlox et bien d'autres.

    Remarque : nous n'avons aucune connexion avec les fournisseurs DNS mentionnés dans la tâche 3. Ils sont utilisés comme exemple en raison de la simplicité, de la facilité d'utilisation et de la configuration. Il existe de nombreux autres fournisseurs fournissant des services similaires, trouvez celui qui convient le mieux à vos besoins.

Tâche 3 : créer une règle de résolveur

Remarques :

Remerciements

Ressources de formation supplémentaires

Explorez d'autres ateliers sur docs.oracle.com/learn ou accédez à d'autres contenus de formation gratuits sur le canal Oracle Learning YouTube. De plus, visitez le site education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir la documentation produit, consultez le site Oracle Help Center.