Optimiser la sécurité de Bind DNS
par Tao Zhou - Mis en ligne le 11/06/2002
Aucune société ne peut se permettre
d'ignorer la sécurité de son service
DNS, important outil qui assure la résolution
des noms d'hôtes et des
adresses IP sur Internet. Bien que
Windows 2000 offre un service DNS intégré,
BIND est le logiciel DNS le plus
largement utilisé sur Internet et bon
nombre d'administrateurs Win2K s'en
servent pour maintenir leurs serveurs
DNS Internet.
« Sécurisez votre service BIND DNS » de février 2002, j'explique les vulnérabilités des anciennes versions BIND et comment utiliser les nouveaux paramètres de contrôle d'accès BIND 8 (c'est-à -dire, BIND 8.2.3 et ultérieurs) et BIND 9 (c'est-à -dire BIND 9.1.0 et ultérieurs) pour instaurer une couche de protection de base. Mais ces paramètres ne concernent pas deux critères de sécurité importants : l'authentification et l'intégrité des données. Pour être vraiment sécurisé, un client ou serveur DNS ne doit communiquer qu'avec un serveur DNS trusted et il doit authentifier les données reçues : confirmer que personne n'a intercepté la réponse à une requête et n'a modifié son contenu pendant sa transmission sur Internet.
C'est pour garantir l'authentification et l'intégrité des données que l'IETF (Internet Engineering Task Force) a lancé le développement du standard DNSSEC (DNS Security) Internet, qui utilise la clé publique et la signature numérique que les développeurs peuvent intégrer dans leurs logiciels DNS. L'IETF a également mis au point le protocole d'authentification de transactions DNS TSIG (Transaction Signature), qui utilise la clé secrète partagée pour contribuer à la sécurité des transactions DNS. (IETF Request form Comments - RFC - 2535 et RFC 3008 expliquent DNSSEC ; RFC 2845 explique TSIG. Pour plus d'informations sur DNSSEC, on peut également visiter le site Web des ressources DNSSEC du Lab NLnet à http://www.nlnetlabs.nl/ dnssec.).
L'ICS (Internet Software Consortium), qui développe et maintient les codes source BIND, a intégré DNSSEC et TSIG dans BIND 8.2.3 et ultérieure et dans BIND 9.1.0 et ultérieure. Les nouvelles versions de BIND 9 prennent mieux en charge DNSSEC et TSIG que les versions BIND 8. Les deux générations peuvent engendrer des clés publiques et privées, mais BIND 9.1.0 a des possibilités de signature de zone étendues. C'est pourquoi cet article se concentre sur la mise en oeuvre de DNSSEC et TSIG dans BIND 9.1.3. (L'ISC n'a pas encore importé BIND 9.1.3 dans Win2K ou Windows NT, mais on peut utiliser BIND 9.1.0 sur la plupart des plates-formes UNIX et Linux. De plus, BIND Release Candidate - RC - 9.2.0 supporte Win2K et NT.) Cet article supporte que vous connaissez les principes de base de BIND, de la signature numérique, et de la clé secrète partagée.
Lire l'articleTraitement dynamique des sous-fichiers
par Gary Guthrie - Mis en ligne le 11/03/2003
Combien de fois avez-vous dû modifier
la logique d'un programme parce
que vous aviez modifié les caractéristiques
de taille des sous-fichiers d'un fichier
écran ? Une simple modification
de la taille des sous-fichiers (mot-clé
DDS SflSiz) ou du nombre d'enregistrements
d'une page de sous-fichiers
(mot-clé DDS SflPag), et voilà qu'il faut
aussi modifier le programme pour qu'il
traite correctement les sous-fichiers ...Vous devrez peut-être, par exemple,
devoir modifier les routines qui chargent
le sous-fichier, qui en font le paging,
ou qui en traitent les enregistrements.
Et si l'on pouvait modifier les caractéristiques
de taille d'un sous-fichier
sans toucher à la logique du programme
? On le peut avec les
procédures RtvSflSize (Retrieve Subfile
Size) et RtvSflPage (Retrieve Subfile
Page) du programme de service
DspFInfo ! Ces procédures vous permettent
de créer les applications pour
qu'elles extraient les caractéristiques
de taille d'un sous-fichier à l'exécution
puis qu'elles utilisent cette information,
plutôt que des références codées
en dur, pour contrôler les routines
associées au sous-fichier.
Actualités Windows NT / 2000 – Semaine 51 – 2002
Actualités du 16 au 22 Décembre 2002
Lire l'articleStratus Technologies démocratise la tolérance de panne
Nouvelle gamme de systèmes ftServer, politique de partenariat très active, segments de marchés bien identifiés : Stratus Technologies prouve, grâce au support optimisé de Windows 2000, que ses plates-formes à tolérance de pannes sont non seulement plus fiables que les clusters, mais surtout adaptées à un plus grand nombre d’applications critiques.
Lire l'articleScripter la gestion de Windows
par Christa Anderson
Scripter la gestion de Windows est
l'une de ces bonnes idées que vous
n'avez peut-être pas encore eu l'occasion
d'essayer. D'ailleurs, peut-être ne
voyez-vous pas bien ce que vous pourriez
accomplir avec un script que vous
ne puissiez faire à l'aide de l'interface
graphique. Peut-être aussi vous demandez-
vous si le temps que vous fera
gagner le scripting compensera le temps consacré à l'apprendre.
Ou bien vous sentez-vous un peu
perdu dans les TLA et le vocabulaire de
scripting : WSH, WMI, ADSI, objets,
méthodes, procédures, fonctions. Si
vous avez relégué le scripting dans la
case mentale « Trucs pour développeurs
», bien décidé à l'ignorer, vous
n'êtes pas seul.
Pourtant ce pourrait être une erreur. Plus vite que vous ne le croyez,
vous pourrez apprendre à scripter suffisamment
bien pour vous épargner du
temps et de la peine. Et plus vous scripterez,
plus ce sera vrai.
Dans cet article, j'explique quand
utiliser le scripting, quels sont ses
concepts de base, et je fournis
quelques conseils utiles (voir l'encadré
« Quelques conseils concernant les scripts »). Dans les prochains articles,
je fournirai un code VBScript qui exécute
une tâche courante et vous expliquerai
le code pas à pas. J'ai choisi
VBScript parce que Windows le supporte.
Windows possède également
JScript, mais en utilisant un langage
pour tous les exemples de code, vous
pourrez construire sur ce que vous
avez appris au cours des mois précédents.
Les tâches que j'ai déjà repérées
pour les scripts à venir proviennent
pour la plupart de requêtes de lecteurs.
Je vous incite à m'envoyer vos questions, en sachant toutefois que
cette rubrique ne peut pas fournir des
scripts pour tous les cas, et que je ne
peux pas participer efficacement au
debugging par e-mail.
Gestion, archivage de documents pour OS/400 V5R2
Afin d'améliorer la restitution et la distribution des documents, à partir d'un eServer iSeries (sous OS/400 V5R2), IBM a élargi les fonctionnalités et amélioré la facilité d'utilisation de ses logiciels Infoprint pour iSeries.
Ces nouvelles fonctionnalités maintenant directement accessibles à partir des interfaces utilisateur iSeries standard, portent essentiellement sur les capacités d' e-mail et de PDF d'Infoprint Server pour iSeries, et sur la conception graphique avancée pour Infoprint Designer.
Lire l'articleGuide des solutions
Mis en ligne le 14/02/03
Le guide des solutions AS/400 & iSeries est un supplément de iSeries News, le magazine des profesionnels AS/400 et iSeries, publié par IT-M.
Utiliser une interface HTML et RPG-CGI
par Jan Jorgensen - Mis en ligne le 26/08/02
Pour sauvegarder dans les meilleures conditions des informations
utilisateur sensibles, on dispose,
depuis la V4R1, de listes de validation
(type d'objet *VLD). A l'instar des espaces utilisateur, les
listes de validation ne peuvent être atteintes
qu'au moyen d'API ...
Pour sauvegarder dans l e s meilleures conditions des informations utilisateur sensibles, on dispose, depuis la V4R1, de listes de validation (type d'objet *VLD). Chaque entrée d'une liste de validation est constituée (1) d'un identificateur crypté lors de son stockage et (2) de données correspondantes en format libre. Pour valider une entrée, l'utilisateur doit fournir les deux éléments : l'identificateur d'entrée correct et les données, qui sont cryptées.
A l'instar des espaces utilisateur, les listes de validation ne peuvent être atteintes qu'au moyen d'API. En fait, il n'existe que deux commandes OS/400 pour traiter les listes de validation : CRTVLDL (Create Validation List) et DLTVLDL (Delete Validation List). A l'aide des API de listes de validation spéciales, on peut ajouter, modifier, supprimer, trouver, et valider des entrées.
L'un des modes d'utilisation des listes de validation consiste à stocker un nom et un mot de passe utilisateur à l'aide d'un navigateur Web. Dans ce cas, l'identificateur d'entrée serait le nom de l'utilisateur, et les données à crypter seraient son mot de passe. Quant au champ de données en format libre, il contiendrait d'éventuels renseignements supplémentaires sur l'utilisateur à stocker.
Lire l'articleSuite de sécurité iSeries-AS/400
Kisco Information Systems annonce qu'il a ajouté OnePass/400 à sa suite de sécurité iSeries-AS/400. OnePass/400 offre un contrôle d'accès, une surveillance en temps réel et des capacités d'audit pour toute activité Telnet.
OnePass/400 permet de contrôler l'accès utilisateur Telnet basé sur un second niveau de mot de passe ne pouvant être utilisé qu'une seule fois par un utilisateur.
Lire l'articleLe style RPG IV revisité
par Bryan Meyers - Mis en ligne le 11/06/2002
Avec la version 5, IBM a apporté
quelques modifications importantes
au langage RPG. La différence la plus
notable est certainement celle des spécifications
de calcul en format libre. La
V5 comporte également de nombreuses
nouvelles fonctions intégrées,
de meilleurs moyens de traitement des
erreurs, une nouvelle syntaxe de commentaires,
et bien plus.Au moment où le RPG est ainsi modifié,
il est bon de revisiter le sujet du
style de programmation en RPG IV. En
s'appuyant sur les changements de la
V5, cet article présente quelques suggestions
actualisées sur la manière
d'écrire des programmes RPG IV faciles
à lire, à comprendre, et à maintenir.
Guide du serveur Apache, 3ème partie
par Brian R. Smith - Mis en ligne le 05/02/2003
Dans la première partie de cet article
(iSeries News mai 2002), nous sommes partis de zéro
avec votre premier serveur Apache
fonctionnant sur l'iSeries. Ensuite,
(iSeries News juin 2002), nous avons vu comment ce serveur de fichiers fantaisie (HTTP) est configuré,
comment il achemine les requêtes, et
comment la GUI vous aide dans la
configuration.Dans cette 3e partie, nous allons analyser pas à pas la puissance de
l'interface utilisateur graphique (GUI)
pour vous aider à configurer le serveur
HTTP (animé par Apache).
Découvrez le 1er Pack éditorial 100%Technologique
| Le CD Digest 2002 + un abonnement de 1 an à : Windows & .Net Magazine ou iSeries News pour 85€ au lieu de 134€ Retrouvez sur ce CD l'intégralité des articles publiés en 2002 dans Windows & .Net Magazine et iSeries News. |
Les nouveautés de la semaine 46 – Windows 2000 & .Net – 2002
Tous les nouveaux produits du 11 au 17 Novembre 2002
Lire l'articleDéraciner DNS et désactiver NetBT
Supposons que vous ayez installé un serveur DNS Win2K sur votre réseau. Vous souhaitez le configurer mais vous ne pouvez pas accéder à l’onglet Forwarders parce qu’il est grisé, donc vous ne pouvez pas ordonner au serveur DNS d’utiliser un forwarder. Comme l’onglet Root Hints est lui aussi grisé, vous ne pouvez pas modifier la liste des serveurs root dont votre serveur DNS a connaissance. Que se passe-t-il ? ...
Pour répondre à une question DNS courante et pour apprendre à utiliser DHCP pour désactiver NetBT.
Ce mois-ci, je propose deux brefs sujets. Le premier répond à une question sur DNS que les lecteurs me posent fréquemment. Le second tient une promesse faite dans un article antérieur : montrer comment utiliser DHCP pour désactiver NetBIOS sur TCP/IP (NetBT) sur vos machines Windows 2000.
Lire l'articleLes nouveautés de la semaine 41 – Windows 2000 & .Net – 2002
Tous les nouveaux produits du 07 au 13 Octobre 2002
Lire l'articleOptimisation des performances d’un système iSeries
Par l'équipe Produits de Sécurité de Geac - Mis en ligne le 30/08/02
Pour un exploitant informatique il
est très désagréable de réaliser que son
système iSeries est « trop court » que
ce soit ponctuellement, lors d'opérations
exceptionnelles, ou suite à des
plaintes répétées d'utilisateurs mécontents
de la lenteur d'accès à leur application
métier.L'anticipation de ces problèmes est
possible dans une large mesure à
condition de suivre régulièrement différents
tableaux de bords que nous
vous proposons de découvrir.
Les nouveautés de la semaine 28 – Windows 2000 & .Net – 2002
Tous les nouveaux produits du 08 au 14 Juillet 2002
Lire l'articleiNotes Web Access gagne à être connu
par Jon Johnston - Mis en ligne le 26/08/02
Les premiers utilisateurs de
Webmail sur Domino attendaient avec
impatience l'arrivée de la R5 particulièrement
prometteuse : meilleures fonctionnalités,
meilleure interface, et environnement
serveur plus robuste. Mais
la première release du client Webmail
R5 les a fortement déçu. Dans cette première release, iNotes
Web Access a défini un nouveau standard
pour le e-mail de type Web dans le
domaine de la messagerie.
Les premiers utilisateurs de Webmail sur Domino attendaient avec impatience l'arrivée de la R5 particulièrement prometteuse : meilleures fonctionnalités, meilleure interface, et environnement serveur plus robuste. Mais la première release du client Webmail R5 les a fortement déçu. Elle contenait un client bourré d'applets Java qui imposait un lourd fardeau au matériel serveur et accaparait beaucoup de bande passante. Le client Webmail R5 était inutilisable sur des lignes commutées, et la non intégration de carnet d'adresses personnel manquait cruellement à ceux qui s'étaient habitués à cette fonctionnalité en R4.6.
Les changements qui jalonnaient les releases de la version R5 amélioraient l'interface client Webmail, mais le client Webmail n'était pas aussi séduisant ou fonctionnel qu'il aurait dû pour pouvoir remplacer (ou compléter) le client Notes R5.
En juillet 2001, c'était la première release d'iNotes Web Access (fichier template inotes5.ntf), qui coïncidait avec Domino R5.0.8. Au moins Lotus avait visé juste en offrant une prestation incroyable aux utilisateurs désireux d'accéder à leurs fonctions mail et calendrier/planification sur Domino au moyen d'une interface navigateur. Dans cette première release, iNotes Web Access a défini un nouveau standard pour le e-mail de type Web dans le domaine de la messagerie.
Dans cet article, je présente une vue d'ensemble du client iNotes Web Access sur l'iSeries. J'explique également l'intérêt d'utiliser iNotes pour compléter ou remplacer votre environnement client Notes existant.
Lire l'article