Optimiser la sécurité de Bind DNS

par Tao Zhou - Mis en ligne le 11/06/2002
Aucune société ne peut se permettre d'ignorer la sécurité de son service DNS, important outil qui assure la résolution des noms d'hôtes et des adresses IP sur Internet. Bien que Windows 2000 offre un service DNS intégré, BIND est le logiciel DNS le plus largement utilisé sur Internet et bon nombre d'administrateurs Win2K s'en servent pour maintenir leurs serveurs DNS Internet.

« Sécurisez votre service BIND DNS » de février 2002, j'explique les vulnérabilités des anciennes versions BIND et comment utiliser les nouveaux paramètres de contrôle d'accès BIND 8 (c'est-à -dire, BIND 8.2.3 et ultérieurs) et BIND 9 (c'est-à -dire BIND 9.1.0 et ultérieurs) pour instaurer une couche de protection de base. Mais ces paramètres ne concernent pas deux critères de sécurité importants : l'authentification et l'intégrité des données. Pour être vraiment sécurisé, un client ou serveur DNS ne doit communiquer qu'avec un serveur DNS trusted et il doit authentifier les données reçues : confirmer que personne n'a intercepté la réponse à  une requête et n'a modifié son contenu pendant sa transmission sur Internet.

C'est pour garantir l'authentification et l'intégrité des données que l'IETF (Internet Engineering Task Force) a lancé le développement du standard DNSSEC (DNS Security) Internet, qui utilise la clé publique et la signature numérique que les développeurs peuvent intégrer dans leurs logiciels DNS. L'IETF a également mis au point le protocole d'authentification de transactions DNS TSIG (Transaction Signature), qui utilise la clé secrète partagée pour contribuer à  la sécurité des transactions DNS. (IETF Request form Comments - RFC - 2535 et RFC 3008 expliquent DNSSEC ; RFC 2845 explique TSIG. Pour plus d'informations sur DNSSEC, on peut également visiter le site Web des ressources DNSSEC du Lab NLnet à  http://www.nlnetlabs.nl/ dnssec.).

L'ICS (Internet Software Consortium), qui développe et maintient les codes source BIND, a intégré DNSSEC et TSIG dans BIND 8.2.3 et ultérieure et dans BIND 9.1.0 et ultérieure. Les nouvelles versions de BIND 9 prennent mieux en charge DNSSEC et TSIG que les versions BIND 8. Les deux générations peuvent engendrer des clés publiques et privées, mais BIND 9.1.0 a des possibilités de signature de zone étendues. C'est pourquoi cet article se concentre sur la mise en oeuvre de DNSSEC et TSIG dans BIND 9.1.3. (L'ISC n'a pas encore importé BIND 9.1.3 dans Win2K ou Windows NT, mais on peut utiliser BIND 9.1.0 sur la plupart des plates-formes UNIX et Linux. De plus, BIND Release Candidate - RC - 9.2.0 supporte Win2K et NT.) Cet article supporte que vous connaissez les principes de base de BIND, de la signature numérique, et de la clé secrète partagée.

Traitement dynamique des sous-fichiers

par Gary Guthrie - Mis en ligne le 11/03/2003
Combien de fois avez-vous dû modifier la logique d'un programme parce que vous aviez modifié les caractéristiques de taille des sous-fichiers d'un fichier écran ? Une simple modification de la taille des sous-fichiers (mot-clé DDS SflSiz) ou du nombre d'enregistrements d'une page de sous-fichiers (mot-clé DDS SflPag), et voilà  qu'il faut aussi modifier le programme pour qu'il traite correctement les sous-fichiers ...Vous devrez peut-être, par exemple, devoir modifier les routines qui chargent le sous-fichier, qui en font le paging, ou qui en traitent les enregistrements.

Et si l'on pouvait modifier les caractéristiques de taille d'un sous-fichier sans toucher à  la logique du programme ? On le peut avec les procédures RtvSflSize (Retrieve Subfile Size) et RtvSflPage (Retrieve Subfile Page) du programme de service DspFInfo ! Ces procédures vous permettent de créer les applications pour qu'elles extraient les caractéristiques de taille d'un sous-fichier à  l'exécution puis qu'elles utilisent cette information, plutôt que des références codées en dur, pour contrôler les routines associées au sous-fichier.

Actualités Windows NT / 2000 – Semaine 51 – 2002

Actualités du 16 au 22 Décembre 2002

Stratus Technologies démocratise la tolérance de panne

Nouvelle gamme de systèmes ftServer, politique de partenariat très active, segments de marchés bien identifiés : Stratus Technologies prouve, grâce au support optimisé de Windows 2000, que ses plates-formes à tolérance de pannes sont non seulement plus fiables que les clusters, mais surtout adaptées à un plus grand nombre d’applications critiques.

Scripter la gestion de Windows

par Christa Anderson
Scripter la gestion de Windows est l'une de ces bonnes idées que vous n'avez peut-être pas encore eu l'occasion d'essayer. D'ailleurs, peut-être ne voyez-vous pas bien ce que vous pourriez accomplir avec un script que vous ne puissiez faire à  l'aide de l'interface graphique. Peut-être aussi vous demandez- vous si le temps que vous fera gagner le scripting compensera le temps consacré à  l'apprendre.
Ou bien vous sentez-vous un peu perdu dans les TLA et le vocabulaire de scripting : WSH, WMI, ADSI, objets, méthodes, procédures, fonctions. Si vous avez relégué le scripting dans la case mentale « Trucs pour développeurs », bien décidé à  l'ignorer, vous n'êtes pas seul.
Pourtant ce pourrait être une erreur. Plus vite que vous ne le croyez, vous pourrez apprendre à  scripter suffisamment bien pour vous épargner du temps et de la peine. Et plus vous scripterez, plus ce sera vrai.

Dans cet article, j'explique quand utiliser le scripting, quels sont ses concepts de base, et je fournis quelques conseils utiles (voir l'encadré « Quelques conseils concernant les scripts »). Dans les prochains articles, je fournirai un code VBScript qui exécute une tâche courante et vous expliquerai le code pas à  pas. J'ai choisi VBScript parce que Windows le supporte. Windows possède également JScript, mais en utilisant un langage pour tous les exemples de code, vous pourrez construire sur ce que vous avez appris au cours des mois précédents.

Les tâches que j'ai déjà  repérées pour les scripts à  venir proviennent pour la plupart de requêtes de lecteurs. Je vous incite à  m'envoyer vos questions, en sachant toutefois que cette rubrique ne peut pas fournir des scripts pour tous les cas, et que je ne peux pas participer efficacement au debugging par e-mail.

Actualités Windows NT / 2000 – Semaine 41 – 2002

Actualités du 07 au 13 Octobre 2002

Gestion, archivage de documents pour OS/400 V5R2

Afin d'améliorer la restitution et la distribution des documents, à partir d'un eServer iSeries (sous OS/400 V5R2), IBM a élargi les fonctionnalités et amélioré la facilité d'utilisation de ses logiciels Infoprint pour iSeries. 

Ces nouvelles fonctionnalités maintenant directement accessibles à partir des interfaces utilisateur iSeries standard, portent essentiellement sur les capacités d' e-mail et de PDF d'Infoprint Server pour iSeries, et sur la conception graphique avancée pour Infoprint Designer.

Guide des solutions

Mis en ligne le 14/02/03
Le guide des solutions AS/400 & iSeries est un supplément de iSeries News, le magazine des profesionnels AS/400 et iSeries, publié par IT-M.

Utiliser une interface HTML et RPG-CGI

par Jan Jorgensen - Mis en ligne le 26/08/02
Pour sauvegarder dans les meilleures conditions des informations utilisateur sensibles, on dispose, depuis la V4R1, de listes de validation (type d'objet *VLD). A l'instar des espaces utilisateur, les listes de validation ne peuvent être atteintes qu'au moyen d'API ...

Pour sauvegarder dans l e s meilleures conditions des informations utilisateur sensibles, on dispose, depuis la V4R1, de listes de validation (type d'objet *VLD). Chaque entrée d'une liste de validation est constituée (1) d'un identificateur crypté lors de son stockage et (2) de données correspondantes en format libre. Pour valider une entrée, l'utilisateur doit fournir les deux éléments : l'identificateur d'entrée correct et les données, qui sont cryptées.

A l'instar des espaces utilisateur, les listes de validation ne peuvent être atteintes qu'au moyen d'API. En fait, il n'existe que deux commandes OS/400 pour traiter les listes de validation : CRTVLDL (Create Validation List) et DLTVLDL (Delete Validation List). A l'aide des API de listes de validation spéciales, on peut ajouter, modifier, supprimer, trouver, et valider des entrées.

L'un des modes d'utilisation des listes de validation consiste à  stocker un nom et un mot de passe utilisateur à  l'aide d'un navigateur Web. Dans ce cas, l'identificateur d'entrée serait le nom de l'utilisateur, et les données à  crypter seraient son mot de passe. Quant au champ de données en format libre, il contiendrait d'éventuels renseignements supplémentaires sur l'utilisateur à  stocker.

Suite de sécurité iSeries-AS/400

Kisco Information Systems annonce qu'il a ajouté OnePass/400 à sa suite de sécurité iSeries-AS/400. OnePass/400 offre un contrôle d'accès, une surveillance en temps réel et des capacités d'audit pour toute activité Telnet.

OnePass/400 permet de contrôler l'accès utilisateur Telnet basé sur un second niveau de mot de passe ne pouvant être utilisé qu'une seule fois par un utilisateur.

Le style RPG IV revisité

par Bryan Meyers - Mis en ligne le 11/06/2002
Avec la version 5, IBM a apporté quelques modifications importantes au langage RPG. La différence la plus notable est certainement celle des spécifications de calcul en format libre. La V5 comporte également de nombreuses nouvelles fonctions intégrées, de meilleurs moyens de traitement des erreurs, une nouvelle syntaxe de commentaires, et bien plus.Au moment où le RPG est ainsi modifié, il est bon de revisiter le sujet du style de programmation en RPG IV. En s'appuyant sur les changements de la V5, cet article présente quelques suggestions actualisées sur la manière d'écrire des programmes RPG IV faciles à  lire, à  comprendre, et à  maintenir.

Guide du serveur Apache, 3ème partie

par Brian R. Smith - Mis en ligne le 05/02/2003
Dans la première partie de cet article (iSeries News mai 2002), nous sommes partis de zéro avec votre premier serveur Apache fonctionnant sur l'iSeries. Ensuite, (iSeries News juin 2002), nous avons vu comment ce serveur de fichiers fantaisie (HTTP) est configuré, comment il achemine les requêtes, et comment la GUI vous aide dans la configuration.Dans cette 3e partie, nous allons analyser pas à  pas la puissance de l'interface utilisateur graphique (GUI) pour vous aider à  configurer le serveur HTTP (animé par Apache).

Découvrez le 1er Pack éditorial 100%Technologique

Le CD Digest 2002 + un abonnement de 1 an à  : Windows & .Net Magazine ou iSeries News pour 85€ au lieu de 134€ Retrouvez sur ce CD l'intégralité des articles publiés en 2002   dans Windows & .Net Magazine et iSeries News. Offre valable jusqu'au 24/12/2002

Les nouveautés de la semaine 46 – Windows 2000 & .Net – 2002

Tous les nouveaux produits du 11 au 17 Novembre 2002

Déraciner DNS et désactiver NetBT

Supposons que vous ayez installé un serveur DNS Win2K sur votre réseau. Vous souhaitez le configurer mais vous ne pouvez pas accéder à l’onglet Forwarders parce qu’il est grisé, donc vous ne pouvez pas ordonner au serveur DNS d’utiliser un forwarder. Comme l’onglet Root Hints est lui aussi grisé, vous ne pouvez pas modifier la liste des serveurs root dont votre serveur DNS a connaissance. Que se passe-t-il ? ...

Pour répondre à une question DNS courante et pour apprendre à utiliser DHCP pour désactiver NetBT.

Ce mois-ci, je propose deux brefs sujets. Le premier répond à une question sur DNS que les lecteurs me posent fréquemment. Le second tient une promesse faite dans un article antérieur : montrer comment utiliser DHCP pour désactiver NetBIOS sur TCP/IP (NetBT) sur vos machines Windows 2000.

Les nouveautés de la semaine 41 – Windows 2000 & .Net – 2002

Tous les nouveaux produits du 07 au 13 Octobre 2002

Optimisation des performances d’un système iSeries

Par l'équipe Produits de Sécurité de Geac - Mis en ligne le 30/08/02
Pour un exploitant informatique il est très désagréable de réaliser que son système iSeries est « trop court » que ce soit ponctuellement, lors d'opérations exceptionnelles, ou suite à  des plaintes répétées d'utilisateurs mécontents de la lenteur d'accès à  leur application métier.L'anticipation de ces problèmes est possible dans une large mesure à  condition de suivre régulièrement différents tableaux de bords que nous vous proposons de découvrir.

Les nouveautés de la semaine 28 – Windows 2000 & .Net – 2002

Tous les nouveaux produits du 08 au 14 Juillet 2002

iNotes Web Access gagne à  être connu

par Jon Johnston - Mis en ligne le 26/08/02
Les premiers utilisateurs de Webmail sur Domino attendaient avec impatience l'arrivée de la R5 particulièrement prometteuse : meilleures fonctionnalités, meilleure interface, et environnement serveur plus robuste. Mais la première release du client Webmail R5 les a fortement déçu. Dans cette première release, iNotes Web Access a défini un nouveau standard pour le e-mail de type Web dans le domaine de la messagerie.

Les premiers utilisateurs de Webmail sur Domino attendaient avec impatience l'arrivée de la R5 particulièrement prometteuse : meilleures fonctionnalités, meilleure interface, et environnement serveur plus robuste. Mais la première release du client Webmail R5 les a fortement déçu. Elle contenait un client bourré d'applets Java qui imposait un lourd fardeau au matériel serveur et accaparait beaucoup de bande passante. Le client Webmail R5 était inutilisable sur des lignes commutées, et la non intégration de carnet d'adresses personnel manquait cruellement à  ceux qui s'étaient habitués à  cette fonctionnalité en R4.6.

Les changements qui jalonnaient les releases de la version R5 amélioraient l'interface client Webmail, mais le client Webmail n'était pas aussi séduisant ou fonctionnel qu'il aurait dû pour pouvoir remplacer (ou compléter) le client Notes R5.

En juillet 2001, c'était la première release d'iNotes Web Access (fichier template inotes5.ntf), qui coïncidait avec Domino R5.0.8. Au moins Lotus avait visé juste en offrant une prestation incroyable aux utilisateurs désireux d'accéder à  leurs fonctions mail et calendrier/planification sur Domino au moyen d'une interface navigateur. Dans cette première release, iNotes Web Access a défini un nouveau standard pour le e-mail de type Web dans le domaine de la messagerie.

Dans cet article, je présente une vue d'ensemble du client iNotes Web Access sur l'iSeries. J'explique également l'intérêt d'utiliser iNotes pour compléter ou remplacer votre environnement client Notes existant.

News iSeries – Semaine 25 – 2002

Semaine du 17 au 23 Juin 2002.