Êtes-vous curieux de savoir comment fonctionne le filtre DNS ?
En effet, il est conçu pour lutter contre les malwares, le spam, la pornographie enfantine et d’autres sites dangereux sur le web. DNS ou « Domain Name System » est à la fois un interprète et une feuille de route pour l’Internet.
Si les utilisateurs aiment les noms de domaine conviviaux des sites web, leurs appareils et leurs sites web favoris utilisent les adresses IP pour reconnaître les sites Internet.
Le but du DNS est donc d’associer des noms de domaine conviviaux à des adresses IP.
Normalement, lorsqu’un navigateur interroge un serveur DNS, une adresse IP est renvoyée, ce qui permet au navigateur d’ouvrir le site web avec son adresse IP spécifique.
Ce processus est également reproduit pour les applications dans le cloud et pour les protocoles web. Le serveur DNS peut filtrer la requête et la bloquer plutôt que de renvoyer une adresse IP si celle-ci n’est pas sûre. Il est également utile pour les organisations qui souhaitent protéger leurs ressources internes en bloquant les sites malveillants connus.
Cette fonction est normalement effectuée au niveau du routeur en bloquant les adresses IP ou en filtrant les ports. Pour ceux qui n’ont pas le luxe d’avoir des routeurs haut de gamme, le filtre DNS se présente comme une excellente alternative.
Quelle est l’importance du DNS en matière de sécurité informatique ?
En raison de sa fonction critique, le DNS est une cible de choix pour les pirates informatiques. Il est donc impératif de le sécuriser.
Une stratégie de sécurité efficace consiste non seulement à bloquer les requêtes malveillantes, mais aussi à répondre aux bonnes requêtes.
Le DNS joue un rôle judicieux dans une stratégie de sécurité des réseaux à plusieurs niveaux dans laquelle de multiples approches de la cybersécurité sont nécessaires.
Cette approche à plusieurs niveaux réduit la possibilité d’une attaque de piratage réussie.
Le filtre DNS est-il fiable ?
Ces dernières années, les organismes gouvernementaux ont tenté de mettre en place de nouveaux moyens pour protéger les victimes des attaques lancées via le web.
Malheureusement, ces normes sont adoptées par des personnes qui ne comprennent pas pleinement les implications de leurs actions. Le web utilise déjà une myriade d’options de filtrage. Les organisations filtrent les sites web au niveau du routeur tandis que les moteurs de recherche utilisent des méthodes heuristiques pour détecter les adresses IP qui hébergent des contenus malveillants.
Les logiciels de filtrage du web et les programmes antivirus bloquent les sites web et les contenus suspects qui peuvent être téléchargés à l’aide des fichiers exécutables.
Toutes ces méthodes ont bien fonctionné, mais les attaquants cherchent constamment des moyens de contourner ces mesures de protection.
Le DNS reste un composant vulnérable et très ciblé par les pirates informatiques. Par exemple, les réponses du DNS peuvent être usurpées ou créées avec de fausses informations, afin de rediriger les utilisateurs de sites légitimes vers des sites web malveillants.
Il est toutefois difficile de cibler les exploits des cybercriminels en raison de l’évolution des nouvelles technologies numériques.
Les attaquants enregistrent constamment de nouveaux noms de domaine. Dès qu’une méthode de sécurité détecte une activité malveillante et la bloque, les pirates se déplacent simplement vers un nouvel endroit qui reste non détecté pendant un certain temps avant que le cycle ne se répète.
Le filtre DNS devrait être un élément important de votre stratégie de sécurité réseau, utilisé en conjonction avec la surveillance des ports, les systèmes de détection et de prévention des intrusions, les logiciels de filtrage web, les antivirus et les pare-feu.
Ensemble, ces couches nécessaires fonctionnent de manière cohérente pour créer un système de protection de la sécurité fonctionnel et efficace.
Le filtre DNS n’est cependant pas exempt de critiques :
- Les attaquants malveillants sont assez intelligents pour le contourner.
- Les utilisateurs peuvent utiliser des proxys pour masquer leur adresse IP d’origine et accéder à l’adresse IP interrogée par le DNS.
- La modification du protocole DNS pourrait entraîner des problèmes de sécurité imprévus et des bogues techniques.
- Pour plus d’informations sur les mythes du DNS, consultez ce récent billet de blog : 4 Mythes sur le filtrage DNS et quelques vérités.
Aucun système de sécurité n’est à l’épreuve des balles, et s’il est vrai que les cybercriminels changent constamment de noms de domaine, des solutions telles que le filtre DNS de WebTitan sont très efficaces pour contrer leurs efforts de camouflage. WebTitan y parvient en classant par catégorie environ 60 000 domaines de malwares et spywares par jour, en traquant et en bloquant les sites dangereux.
Examen de la structure du DNS
Le système de noms de domaine (DNS) a été conçu pour faciliter l’utilisation de l’Internet par le grand public. Comme mentionné précédemment, il traduit les noms de domaine en adresses IP.
Ainsi, vous pouvez utiliser http://www.google.com au lieu de http://74.125.224.72/ pour lancer une recherche. En bref, c’est le principal service d’annuaire de l’Internet.
Le système DNS qui dessert l’Internet est un système distribué ancré par un ensemble de serveurs de noms racine dispersés dans le monde entier. Sous les serveurs racine se trouvent les domaines de premier niveau (.com, .org, .net), suivis des domaines de second niveau (Google, TitanHQ, Microsoft).
Ces domaines forment des zones DNS, qui peuvent être constituées d’un ou de plusieurs domaines (par exemple, google.com est un domaine). Un ensemble de serveurs de noms faisant autorité est attribué à chaque zone DNS. Un serveur de noms faisant autorité peut être soit un serveur maître, soit un serveur esclave.
Un maître contient les copies originales en lecture/écriture des enregistrements de la zone tandis qu’un esclave ne conserve que des copies lisibles des enregistrements du maître qui sont mises à jour par réplication.
Les serveurs DNS utilisent le port TCP 53 pour les transferts de zone afin de maintenir les esclaves synchronisés avec le fichier de zone maître. Les intrus peuvent utiliser ce mécanisme pour télécharger le contenu du fichier de zone d’un serveur de noms.
Pour éviter cela, les administrateurs doivent bloquer les demandes de transfert de zone provenant de tout appareil qui n’est pas un serveur de noms esclave autorisé. Le port 53 est souvent utilisé pour le trafic non autorisé et les trafics suspects doivent être surveillés.
Qu’est-ce que le DNS inverse ?
Une recherche DNS inverse ou résolution DNS inverse (rDNS) est l’interrogation du système de noms de domaine (DNS) pour déterminer le nom de domaine associé à une adresse IP – l’inverse de la recherche DNS standard, appelée « forward ».
Cette méthode est souvent utile pour déterminer la légitimité d’une adresse IP. Par exemple, l’un des tests de contenu effectués par le filtre anti-spam SpamTitan consiste à faire correspondre les entrées DNS « forward » et « reverse », en s’assurant que les enregistrements d’adresse (A), les adresses IP et les champs PTR correspondent en conséquence.
Association du DHCP et du DNS
Pour IPv4, le DNS est le plus souvent étroitement intégré au protocole DHCP (« Dynamic Host Configuration Protocol »). Un serveur DHCP fournit automatiquement les adresses IP aux clients compatibles DHCP ainsi que d’autres informations telles que l’identité des serveurs de noms de domaine. La sécurité du DNS exige donc de protéger votre infrastructure DHCP. En fonction de la configuration du réseau IPv6, le DHCP peut ou non fournir des informations concernant le DNS.
Attaques DNS
Le DNS est une épée à double tranchant, en grande partie à cause de la nature peu sûre de l’infrastructure, ce qui la rend vulnérable à différentes sortes d’attaques.
DNS dynamique (DDNS)
Alors que le DDNS remplit une fonction légitime en permettant à l’adresse d’un nom de domaine de changer rapidement et que l’hôte sert d’adresses temporaires, il est utilisé abusivement par les développeurs de botnets et les pirates utilisant le phishing qui changent rapidement d’adresse pour éviter d’être détectés.
Fast Flux DNS
C’est une autre façon pour les cybercriminels de modifier rapidement les adresses DNS afin de dissimuler des malwares et des sites de diffusion de phishing. Ces adresses sont cachées derrière un réseau d’hôtes compromis, qui est en constante évolution et qui agit comme des mandataires.
Amplification des paquets
Cette technique est appelée « attaque Schtroumpf » (du nom du malware Schtroumpf DDoS). Il s’agit d’une attaque par déni de service distribué impliquant un grand nombre de paquets ICMP dont l’adresse IP source de la victime est usurpée et qui sont diffusés sur un réseau informatique à l’aide d’une adresse de diffusion IP.
Amplification du DNS
Cette forme populaire de DDoS repose sur l’utilisation de serveurs DNS ouverts accessibles au public pour submerger un système victime de trafic de réponse DNS. Elle est également appelée attaque DRDoS ou « Distributed Reflection and Amplification Denial of Service ».
Qu’est-ce qu’une attaque DDoS ?
Une attaque par déni de service distribué (DDoS) est la surcharge délibérée d’un appareil pour le rendre indisponible au trafic légitime. Un DDoS provient généralement d’un grand nombre de bots ou de PC qui sont sous le contrôle d’une machine centrale appelée botnet.
Ces attaques peuvent être motivées par la volonté de faire tomber un concurrent commercial ou par une forme de rançon que la victime doit payer afin de mettre fin à l’attaque des paquets. L’une des plus grandes attaques jamais enregistrées est celle de Spamhaus, qui s’est produite en mars 2013 et qui a impliqué plus de 30 000 résolveurs de DNS.
Les méthodes de sécurité traditionnelles sont configurées pour limiter les paquets provenant d’une adresse IP désignée, ce qui entraîne un trafic important.
Dans le cas de Spamhaus, les attaquants ont utilisé un nombre énorme d’adresses IP différentes, de sorte que les efforts d’étranglement n’ont jamais été déclenchés.
Prévention d’une attaque DNS
Le DNS peut être configuré pour atténuer les problèmes de sécurité courants. Selon le projet Open Resolver, les résolveurs ouverts constituent une menace importante pour l’infrastructure du réseau mondial.
Empêchez votre serveur DNS d’être un résolveur ouvert et limitez sa capacité à répondre aux requêtes DNS provenant de n’importe quelle adresse sur Internet. N’autorisez que les serveurs récursifs internes aux sous-réseaux IP utilisés par votre entreprise.
Gardez toutefois à l’esprit que de nombreux (sinon la plupart) des résolveurs DNS sur le web sont des résolveurs ouverts, soit parce qu’ils n’ont pas été sécurisés, soit parce qu’ils sont destinés à être ouverts au public, comme le service de Comodo.
Bien qu’il n’y ait pas de moyen infaillible d’empêcher une attaque DNS, les mesures suivantes peuvent minimiser les risques :
Le blocage du DNS utilisé pour la sécurité contre le phishing et le spam peut contribuer à empêcher les attaques DNS. Ce mécanisme rend difficile pour les entités de localiser des domaines ou des sites web spécifiques sur Internet qui sont des sites malveillants.
- Configurez vos serveurs DNS faisant autorité pour utiliser la limitation du taux de réponse DNS.
- Le trafic DNS doit être limité en fonction du type de paquet. Par exemple, une réponse de transfert de zone aurait un seuil plus élevé qu’une réponse pour le nom du serveur DNS.
- Travaillez avec votre fournisseur d’accès Internet pour bloquer ou limiter le trafic que vous ne souhaitez pas sur votre réseau.
- Surveillez votre réseau et notez les IP des clients qui utilisent des quantités inhabituelles de bande passante.
- Les sites exposés au public doivent être équilibrés en termes de charge et inclure des réserves de ressources pour la bande passante et les cycles de CPU supplémentaires afin de gérer les charges accrues causées par une attaque. Google approuve cette pratique.
Pour toute organisation qui prend la sécurité du réseau au sérieux, la protection de son infrastructure DNS devrait être une partie vitale de son plan de sécurité d’entreprise. Un peu de temps et d’efforts consacrés à la sécurité du DNS peut apporter des avantages immédiats et significatifs en matière de sécurité.