La réponse est simple. Lorsqu'un client veut joindre un site web, www.google.fr par exemple, son système va effectuer une requête DNS pour obtenir l'IP de google.
Il est vrai qu'on pourrait installer un relais DNS ou même un serveur DNS sur la machine hébergeant PepperSpot, et là le problème ne se pose pas, on peut bloquer le DNS.
Mais si le serveur DNS est "derrière" PepperSpot, c'est-à-dire dans le réseau auquel on a pas accès, le client n'arrivera jamais à obtenir l'IP de google si on bloque le DNS, et la page d'authentification ne s'affichera pas.
Je m'explique. PepperSpot redirige le client vers sa page d'authentification lorsqu'il détecte une demande de communication TCP. Si le client ne sait pas quelle IP joindre, la requête TCP ne se fera pas. De plus, la majorité des requêtes DNS sont effectuées en UDP... Voila pourquoi il peut être utile de ne pas bloquer les DNS.
Je suis cependant de ton avis, il est mieux de limiter au maximum les communications avec le réseau non accessible avant authentification. Ca dépend avant tout de la topologie du réseau.
Mais il ne faut pas oublier qu'un simple "apt-get install bind9" sous Debian suffit à installer un relais DNS fonctionnel... De plus, il est possible de spécifier l'adresse des DNS à joindre dans la configuration de PepperSpot...
A chacun de choisir la solution qui lui convient le plus, et la politique de sécurité la plus appropriée.
[^] # Re: Vos commentaires !
Posté par Thibault Vançon . En réponse à la dépêche PepperSpot, Portail Captif nouvelle génération. Évalué à 3.
Il est vrai qu'on pourrait installer un relais DNS ou même un serveur DNS sur la machine hébergeant PepperSpot, et là le problème ne se pose pas, on peut bloquer le DNS.
Mais si le serveur DNS est "derrière" PepperSpot, c'est-à-dire dans le réseau auquel on a pas accès, le client n'arrivera jamais à obtenir l'IP de google si on bloque le DNS, et la page d'authentification ne s'affichera pas.
Je m'explique. PepperSpot redirige le client vers sa page d'authentification lorsqu'il détecte une demande de communication TCP. Si le client ne sait pas quelle IP joindre, la requête TCP ne se fera pas. De plus, la majorité des requêtes DNS sont effectuées en UDP... Voila pourquoi il peut être utile de ne pas bloquer les DNS.
Je suis cependant de ton avis, il est mieux de limiter au maximum les communications avec le réseau non accessible avant authentification. Ca dépend avant tout de la topologie du réseau.
Mais il ne faut pas oublier qu'un simple "apt-get install bind9" sous Debian suffit à installer un relais DNS fonctionnel... De plus, il est possible de spécifier l'adresse des DNS à joindre dans la configuration de PepperSpot...
A chacun de choisir la solution qui lui convient le plus, et la politique de sécurité la plus appropriée.