Avec l’augmentation du nombre de dispositifs connectés à Internet – Gartner prédit que d’ici à 2020 il y aura près de 26 milliards de dispositifs sur l’Internet des objets (IoT) – les organisations ne peuvent pas se permettre d’ignorer ni de sous-estimer l’importance de la sécurité du serveur de DNS (1). Les résultats d’une attaque du DNS peuvent être catastrophiques pour une organisation, entraînant la perte de business, interruption de service (email, web, crm, VoIp…) le vol de propriété intellectuelle, la fuite d’informations sensibles ou une atteinte à sa réputation.

Au cours des dernières années, le nombre de cyber-attaques s’est constamment accru. Bien que Symantec ait fait état d’une hausse du nombre de cyber-attaques limitée à 42% l’an dernier, une récente enquête menée par IDC et EfficientIP a constaté que près de trois quarts des répondants avaient été touchés par des temps d’arrêt, un site web compromis ou la publication de données sensibles.

Types d’attaques de DNS

Il existe différents types d’attaques contre le DNS :

– Une « attaque zero-day » : une vulnérabilité sur une technologie DNS est révélée, les hackers vont l’exploiter pour compromettre, confondre, voire bloquer un serveur de DNS.

– L’empoisonnement de cache est l’un des types d’attaque les plus remarquables et pernicieux.  Si un serveur DNS prend trop de temps par exemple pour répondre à une requête, un hacker peut répondre à sa place et donc faire croire au client qu’il vient de recevoir une réponse valide.. Les utilisateurs pensent accéder au serveur demandé mais sont redirigés vers un serveur frauduleux qui a souvent pour but de voler des identifiants (mot de passe, numéros de carte de crédit…) ou des données sensibles ou bien redirige le trafic vers une page de propagande (Armée Electronique Syrienne qui affichait une page de propagande pro-Hassad sur la home page du New York Times).

– Le déni de service (DoS) est un autre type d’attaque assez courant, qui empêche les utilisateurs d’accéder à un service Internet ou à un site web donné. Cela se fait généralement en inondant un site web de requêtes simultanées, de manière à créer des volumes de trafic extrêmement élevés et à empêcher les utilisateurs légitimes d’entrer dans le site.

– Une forme plus élaborée d’attaque DoS est l’attaque de déni de service distribué (DDoS). Ce type d’attaque met en œuvre un réseau d’ordinateurs zombies, souvent plusieurs milliers, que l’attaquant réquisitionne depuis la victime en propageant du logiciel malveillant d’une machine à l’autre. Même un seul ordinateur de bureau infecté sur un réseau peut générer plus de 200 000 requêtes DNS par seconde et presque tuer votre serveur de DNS en arrêtant la plupart de vos applications internes.

– En plus de pouvoir écrouler un serveur sous la charge, la baisse de performance du serveur DNS qui répond de plus en plus lentement ouvre des failles de sécurité et les hackers peuvent corrompre le cache du serveur DNS et renvoyer des réponses fausses et router du trafic vers des serveurs frauduleux.

Mise en œuvre des pratiques recommandées

Compte tenu de la nature changeante et de l’ampleur croissante des menaces, il existe des pratiques recommandées que peuvent adopter les entreprises pour tenter de se protéger contre les attaques de DNS :

– Utiliser les dernières versions de logiciels de DNS et veiller à ce que soient appliqués les patches. L’ISC (Internet Systems Consortium) publie également régulièrement des mises à jour et correctifs pour BIND, le serveur de DNS le plus utilisé.

– Séparer les fonctions comme le recommande l’ICANN (2) (celles d’autorité et de cache/récursives au sein du serveur de DNS). Les serveurs faisant autorité ne doivent accepter que les requêtes auxquelles ils peuvent répondre avec autorité et qu’ils ont désactivées de manière récursive. Cela permet d’éviter les attaques récursives de réflexion de serveur de noms.

– Éliminer les Sigle Point of Failure (SoF) : classiquement, un seul moteur de DNS, BIND, est déployé à l’aide de la norme de facto, mais il s’agit également du serveur de DNS le plus ciblé par les pirates. Une nouvelle stratégie, considérée comme la meilleure pratique, consiste à utiliser différents moteurs de logiciels de DNS, qui sont configurés en tant que résolveurs récursifs et autoritaires séparés, afin d’atténuer l’impact des attaques zero-day tout en assurant une résilience supplémentaire.

– Concevoir une architecture pour la redondance et la sécurité. Dans le cadre du déploiement des pratiques recommandées, il est très important de sélectionner l’architecture de DNS adaptée à l’environnement de votre entreprise. Les stratégies de déploiement doivent toujours inclure une haute disponibilité et des mécanismes intégrés pour une récupération facile en cas de situation de reprise après sinistre.

– Mettre en place un pare-feu de DNS. Il s’agit là de se protéger contre les logiciels malveillants à base de DNS en utilisant des pare-feu DNS pour bloquer les postes de travail, les empêcher d’atteindre des sites malveillants et protéger contre l’infection initiale en plaçant l’utilisateur infecté dans un jardin clos de sorte que l’administrateur du système puisse être informé que l’utilisateur risque d’être infecté.

La meilleure défense : l’attaque massive

En conséquent, les solutions de DNS existantes ne suffisent toujours pas aujourd’hui à totalement atténuer les attaques DDoS. Traditionnellement, les clusters de serveurs de DNS associés à des load balancer, qui sont des solutions très complexes et coûteuses à déployer, ne peuvent toujours pas gérer l’importante volumétrie des attaques.

En ayant à l’esprit que le serveur de DNS doit répondre à toutes les requêtes – le filtrage de DNS ne permet pas à lui seul d’atténuer les attaques DDoS – Un serveur moyen peut supporter 100k requêtes par seconde (QPS). La majorité des attaques d’aujourd’hui impliquent plus de 1 million de QPS. Les entreprises doivent par conséquent résoudre ce problème en veillant à pouvoir augmenter et garantir les performances. Peu de solutions DNS sont en mesure de réaliser cela sur un nombre limité d’appliances. Celles qui le font, cependant, sont en mesure d’éliminer la nécessité de dizaines de serveurs de DNS, de load balancer et/ou de parefeu, diminuant ainsi considérablement le coût total de possession de l’infrastructure de DNS.

Avec la montée en puissance des solutions mobiles et du cloud computing, des périphériques connectés et des BYOD (Bring Your Own Device), les attaques seront de plus en plus complexes et viseront directement le cœur de métier des entreprises. Il est clair que la nécessité pour les entreprises d’avoir une présence en ligne augmente considérablement le besoin de technologies de DNS sécurisées. Il faut des solutions technologiques spécifiques face à ces différentes menaces, une solution ne permettra pas de protéger efficacement cette infrastructure qui support aujourd’hui tout le business d’une entreprise et pour laquelle trop peu d’investissement en sécurité  ont été effectués

 

___________________

(1) Le DNS (Domain Name System ou Système de Noms de Domaines) est un système hiérarchique de nommage distribué pour les ordinateurs, les services ou toute ressource connectée à Internet ou à un réseau privé. Le système DNS permet de connecter les utilisateurs aux applications web. Il convertit les noms de domaine faciles à mémoriser en adresses IP numériques qui permettent de localiser les services et dispositifs informatiques correspondants dans le monde entier.

(2) L’ICANN (Internet Corporation for Assigned Names and Numbers ou Société Internet pour les Noms et les Numéros Attribués) est l’organisme professionnel qui coordonne les fonctions de l’IANA (Internet Assigned Numbers Authority ou Autorité des Numéros Internet Attribués), qui sont essentielles au fonctionnement continu du DNS. D’après les estimations de l’ICANN, il y aurait environ 10 millions de serveurs de DNS découverts sur Internet – combien de fois ces serveurs sont-ils victimes d’attaques et que pouvons-nous faire pour les protéger ?

 

 

_______________
Hervé Dhélin est directeur Marketing International d’EfficientIP