Archives de Catégorie: LAN

RODC: Contrôleur de domaine en lecture seule

Une nouveauté intéressante est présente depuis Windows Server 2008, il s’agit de la possibilité de définir un contrôleur de domaine en lecture seule, ce que l’on appelle aussi «RODC » pour « Read Only Domain Controller ».

L’intérêt est d’avoir un contrôleur de domaine qui contient toutes les informations qu’un contrôleur classique dispose, à l’exception des mots de passe utilisateurs. De plus, ces informations étant stockées en lecture seule aucune modification ne peut être initiée depuis un contrôleur de domaine en lecture seule.

Dans certaines entreprises, il y a plusieurs sites avec plus ou moins de personnes donc de machines à gérer. Ces personnes, au même titre que les autres personnes de l’entreprise doivent généralement pouvoir accéder aux ressources de l’entreprise, en s’authentifiant grâce à un couple identifiant – mot de passe leur appartenant.

Ces phases d’authentification consomment de la bande passante lors de la connexion sur la machine, de l’accès aux données contrôlées, etc.

Vous pouvez être réticent à l’idée de mettre en place un contrôleur de domaine supplémentaire sur ce site afin d’améliorer les performances, puisque, la sécurité physique ne sera pas forcément assurée si le serveur se trouve dans le coin d’un bureau… De plus, financièrement ce n’est pas toujours évident d’avoir un administrateur système et réseau sur place, à temps plein, pour surveiller et administrer le serveur (et ce n’est pas forcément nécessaire).

C’est là que le contrôleur de domaine RODC a tout son intérêt. Étant donné que l’on peut déterminer avec précision quels sont les mots de passe à stocker sur le serveur RODC, donc, en cas de corruption/de vol du serveur, la perte sera moindre.

Si c’est seulement des comptes utilisateurs standards qui sont dérobés, c’est moins grave qu’un compte Admin du domaine…

Les requêtes DNS sont également mises en cache car le serveur RODC peut avoir le rôle de serveur DNS de cache. Là encore, il sera en lecture seule sur les fichiers de zone et ne pourra pas effectuer de modifications mais il subira les modifications effectuées sur le ou les serveurs DNS depuis le(s)quel(s) il se réplique.

Le cache générera moins de trafic sur la liaison WAN, consommera moins de bande passante, ce qui ne pourra qu’être bénéfique.

La mise en cache des requêtes d’authentification permet d’économiser de la bande passante dans le cas où la requête est en cache, et, dans le cas où le RODC est autorisé à mettre en cache le mot de passe de l’utilisateur.

Si la requête n’est pas en cache, elle sera effectuée sur un contrôleur de domaine standard qui retournera la réponse. Elle sera ensuite mise en cache automatiquement seulement si cela est permit pour l’utilisateur concerné.

Disable Home WiFi Broadcasting

Most wireless access points and routers automatically transmit their network name (SSID) in the open. This feature of wireless network protocols is intended to allow users to dynamically discover and roam between WLANs.

However, this feature also makes it easier for hackers to break into your home network. Because SSIDs are not encrypted or otherwise scrambled, it becomes easy to grab one by snooping the WLAN looking for SSID broadcast messages coming from the router or AP. Knowing your SSID brings hackers one step closer to a successful intrusion.

In a home WiFi network, roaming is largely unnecessary and the SSID broadcast feature serves no useful purpose. You can disable this feature to improve the security of your WLAN. Once the wireless users are manually configured with the right SSID, they no longer require these broadcast messages.

Note that disabling SSID broadcast is just one of many techniques for tightening security on a wiriless network. This technique is not 100% effective, as hackers can still detect the SSID by sniffing different messages.

LAN

A local area network (LAN) is a computer network hat interconnects computers in a limited area such as a home, school, computer laboratory,  office building.

The defining characteristics of LANs, in contrast to wide area network (WAN), include their usually higher data transfer rates, smaller geographic area, and lack of a need for leased telecommunication lines.

Ethernet over twisted pair cabling, and Wi-Fi are the two most common technologies currently used to build LANs