LIVRE BLANC

Concevoir une architecture DNS sécurisée

1 LIVRE BLANC Concevoir une architecture DNS sécurisée

Concevoir une architecture DNS sécurisée

Dans les environnements réseaux d’aujourd’hui, il n’est plus question de se contenter d’une infrastructure DNS qui répond aux requêtes. Il faut mettre en place une architecture DNS intégrée et parfaitement sécurisée afin de garantir une croissance intelligente.

IntroductionLe DNS est un composant dont nulle entreprise d’aujourd’hui ne saurait se passer. Le DNS (ou Domain Name System, système de noms de domaine) est un protocole qui permet de traduire des noms de domaines complets, comme www.google.com, en adresses IP exploitables par les ordinateurs qui s’en servent pour communiquer entre eux. Sans un protocole DNS fiable, il serait quasiment impossible d’avoir un Internet des objets capable de communiquer.

S’il existe plusieurs façons de classer un serveur DNS, ce livre blanc insiste sur la distinction entre serveurs DNS primaires et secondaires. Un serveur DNS primaire peut être vu comme celui qui détient la copie maître d’une zone DNS, alors qu’un serveur secondaire stocke des copies de la zone qu’il reçoit du serveur primaire. De nombreuses raisons incitent les entreprises à recourir à un serveur DNS secondaire, notamment la nécessité de fournir des performances élevées et la volonté de cacher le serveur primaire.

Vos clients passent par votre système DNS pour atteindre votre site Web. Sans une infrastructure DNS adaptée, votre entreprise ne pourrait être présente dans le cyberespace. Les sociétés d’e-commerce ne seraient pas en mesure de vendre leurs services. Même les entreprises traditionnelles, avec pignon sur rue, utilisent des serveurs DNS pour annoncer leurs produits. En bref, Internet tel que nous le connaissons n’existerait pas sans le protocole DNS.

Structurer son DNSÀ mesure que la demande à l’égard des services d’une entreprise augmente, la charge qui pèse sur les serveurs DNS augmente aussi. À un moment ou un autre, peu importe que le trafic soit légitime ou le résultat d’une attaque malveillante par déni de service distribué (DDoS), la charge qui pèse sur le serveur DNS finit par dépasser sa capacité. C’est alors que les entreprises cherchent le moyen d’accroître leur capacité DNS (exprimée en requêtes par seconde)

Pour remédier à cette situation, il suffit d’associer au serveur DNS primaire un serveur DNS secondaire plus rapide. Cette approche fonctionne très bien si les deux serveurs sont intégrés et utilisent une même base de données et des interfaces identiques. L’utilisation de deux serveurs DNS distincts peut générer quelques problèmes d’interopérabilité au niveau des fonctionnalités de base comme la sauvegarde et la restauration, la création de rapports et l’administration en général. Dans ce cas, il est donc essentiel de trouver une interface homogène pour garantir la pérennité de vos investissements et maintenir le coût total de possession au niveau le plus faible. Une autre solution consiste à déployer plusieurs serveurs DNS derrière un équilibreur de charge. Cette approche fonctionne mieux si les serveurs DNS sont unifiés : l’administration s’en trouve grandement facilitée et le déploiement est cohérent sur l’ensemble des serveurs.

Lorsque vous concevez une infrastructure DNS, il est important de créer un environnement capable de répondre aux besoins actuels tout en prévoyant une certaine marge pour la croissance à venir. En outre, vous devez à cette occasion bien comprendre les menaces de sécurité qui pèsent sur le DNS. C’est un sujet que nous n’allons pas tarder à aborder.

2

Sécuriser la plateforme DNS

Le piratage des serveurs DNS est devenu aujourd’hui monnaie courante. Les serveurs DNS traditionnels offrent plusieurs surfaces d’attaque et rendent vulnérables des ports supplémentaires, tels que les ports 80 et 25. Les pirates peuvent passer par ces ports pour accéder au système d’exploitation et s’introduire à mauvais escient dans vos serveurs. Si vos serveurs DNS ne prennent pas en charge des privilèges de sécurité à plusieurs niveaux, n’importe quel utilisateur est susceptible d’accéder aux privilèges des comptes, au niveau du système d’exploitation, et modifier la configuration de façon à ouvrir l’accès à vos serveurs à des personnes mal intentionnées. De plus, les mises à jour des serveurs DNS conventionnels reposent sur des processus manuels laborieux.

Protéger le DNS contre les attaques

N’oublions pas non plus qu’il est essentiel de protéger l’infrastructure DNS de toute agression extérieure. Les serveurs DNS faisant autorité étant accessibles depuis Internet, ils sont les premières victimes d’attaques comme les attaques par saturation et amplification, le détournement du DNS, les exploits, etc., qui peuvent empêcher votre serveur DNS de répondre ou compromettre l’intégrité de vos services DNS. Il est tout aussi important d’éviter que ces serveurs deviennent un vecteur d’attaque (attaque par réflexion) et une menace pour les autres. Les attaques par réflexion nuisent à la réputation de votre entreprise et s’avèrent très coûteuses à la longue.

Bien que votre serveur faisant autorité soit protégé par un pare-feu, il est rare de pouvoir contrecarrer ces attaques à l’aide de pare-feu classiques. En règle générale, les pare-feu ne disposent pas de mécanismes suffisants pour vous protéger des attaques menées au niveau de la couche application. Ceux qui sont en mesure de le faire, les pare-feu dits de nouvelle génération, tendent à offrir une faible couverture des protocoles DNS. Ces solutions répartissent généralement les mesures de sécurité sur un grand nombre de protocoles, ce qui restreint l’envergure de la couverture.

Les équilibreurs de charge offrent une protection basique contre les attaques du DNS par saturation. Il existe toutefois une multitude d’attaques visant le DNS susceptibles de cibler vos serveurs DNS externes faisant autorité. Dans ces cas, les capacités de prévention des équilibreurs de charge sont loin de pouvoir faire face. Les équilibreurs de charge n’ont, par exemple, aucun moyen de vous protéger contre les requêtes DNS malveillantes ou mal formées. Les équilibreurs de charge réagissent aux attaques DDoS, au niveau du périmètre de sécurité, en augmentant les performances et en répartissant la charge sur plusieurs appareils via l’IP Anycast. Il est certes possible d’ajouter simplement de nouveaux équilibreurs de charge, mais cette méthode s’avère inefficace et coûteuse face aux attaques.

Une autre catégorie d’attaques peut se montrer dangereuse et affecter tant vos serveurs internes récursifs que vos serveurs externes. Il s’agit des attaques NXDomain et autres attaques DDoS furtives, moins connues que les attaques volumétriques plus classiques. Les attaques de cette nature épuisent les ressources et ralentissent les performances de vos serveurs de cache, par déni de service distribué sur leur domaine cible. Bien souvent, elles passent inaperçues. Les attaques DDoS très sophistiquées impliquent des réseaux d’ordinateurs zombies, des réactions en chaîne et des domaines malveillants.

Quelles que soient les mesures de protection choisies, il est important de toujours garder une longueur d’avance sur les cybercriminels. Il est donc nécessaire de mettre en permanence les mesures de protection à jour car le paysage des menaces visant le DNS ne cesse d’évoluer et que les attaques changent sans cesse de forme. Il est également primordial d’automatiser la mise à jour des règles de protection. Compte tenu du nouveau niveau de technicité des attaques d’aujourd’hui, il n’est pas possible de créer et d’ajouter manuellement des règles de détection dans votre DNS. Les entreprises doivent compter sur une protection spécifique et automatique du DNS.

3

Votre infrastructure DNS doit se protéger elle-même des attaques inévitables dont elle fait l’objet. Ces attaques se divisent en deux grandes catégories : attaques volumétriques et attaques visant le DNS

Attaques volumétriques

Ces attaques, parfois nommées DoS ou DDoS, cherchent à épuiser les ressources d’un équipement. Une attaque DDoS ciblant le DNS envoie des dizaines ou des centaines de milliers de requêtes par seconde à un serveur DNS dans le seul but d’épuiser ses ressources et d’interrompre le service.

La parade classique à une attaque DDoS ciblant le DNS consiste à augmenter votre capacité en plaçant l’infrastructure DNS derrière un équilibreur de charge, ou à utiliser un serveur DNS secondaire plus rapide pour renforcer votre serveur primaire. Seul problème, la mesure corrective reste transitoire. D’après Arbor Networks, il a été recensé en 2013 plusieurs attaques DDoS d’au moins 100 Gbps ayant pour cible le DNS. Sachant que les attaques volumétriques visant le DNS représentent 10 % des attaques volumétriques totales et qu’elles sont en hausse, nul doute que ce chiffre va augmenter. Placer un équilibreur de charge ou un serveur secondaire plus rapide en amont du serveur DNS est loin d’être un moyen économique de se protéger des attaques DDoS. Il s’agit d’une mesure temporaire qui impose à l’entreprise de renforcer son infrastructure chaque fois que les cyberdélinquants rattrapent leur retard. Il vous faut une protection intelligente qui ne réponde pas aveuglément à toutes les requêtes, mais soit capable de distinguer le trafic DNS légitime du trafic généré par les attaques.

Attaques visant le DNS

Le protocole DNS lui-même constitue une faille de l’infrastructure DNS. Lorsque le protocole DNS a été mis au point, peu d’entre nous auraient pu imaginer qu’un jour des agents malveillants ou des utilisateurs mécontents et aigris s’en seraient pris aux serveurs DNS. Aujourd’hui, nous savons que n’importe quel serveur DNS peut être la cible d’attaques spécialement conçues pour le protocole DNS. Elles peuvent prendre les formes suivantes :

• Réflexion du DNS• Amplification du DNS• Exploits DNS • Anomalies du protocole DNS• DNS tunneling • Pollution du cache• Détournement du DNS• NXDOMAIN

Ces attaques sont menées à diverses fins, à savoir :

• Engorger la bande passante sortante du serveur (en cas d’attaque par amplification), mettant à mal par là-même les composants réseau comme les pare-feu.

• Inonder le serveur DNS de trafic de façon à le ralentir et à l’empêcher de répondre aux requêtes légitimes.

• Provoquer la panne du serveur DNS en exploitant ses vulnérabilités.

Une infrastructure DNS efficace doit protéger votre serveur DNS contre toutes les attaques pouvant compromettre vos activités.

Contrecarrer les logiciels malveillants et les APT à l’aide du DNS

Le nombre de violations de données croît à une vitesse stupéfiante, et plus de 100 000 nouveaux échantillons de logiciels malveillants sont recensés chaque jour. D’après le rapport de sécurité 2014 de Cisco, dans 100 % des réseaux d’entreprise analysés par Cisco transite un trafic qui provient de sites Web hébergeant des logiciels malveillants. Dans trois-quarts des entreprises analysées par Check Point, la présence d’au moins un robot a été détectée.

4

Les pare-feu de nouvelle génération ou les systèmes de prévention des intrusions (IPS) peuvent empêcher certains logiciels malveillants et APT de pénétrer dans le réseau, mais malheureusement pas tous. Des tendances comme le BYOD (utilisation d’appareils personnels au bureau) compliquent encore la situation et donnent de nouvelles occasions aux menaces persistantes avancées (APT) de s’infiltrer et de rester inaperçues pendant un long moment.

De plus en plus sophistiquées, les APT échappent souvent aux lignes de défense traditionnelles. La détection d’une activité ATP sur un vaste réseau relève quasiment de l’impossible. Avec des techniques avancées, comme le fast flux, les réseaux Proxy C&C, les réseaux TOR anonymes etc., il est très facile de contourner le périmètre. Une fois présents sur le réseau, les logiciels malveillants et les APT utilisent le DNS pour localiser les réseaux d’ordinateurs zombies et les serveurs de commande et contrôle afin de communiquer avec eux. Les réseaux d’ordinateurs zombies et les serveurs de commande et contrôle se dissimulent en changeant constamment de combinaisons de domaines et d’adresses IP. Dès que les machines internes se connectent à ces appareils, de nouveaux logiciels malveillants sont téléchargés ou des données confidentielles de la société sont exfiltrées.

Il arrive que les logiciels malveillants et les attaques APT soient masqués ou atténués par des attaques externes menées contre le réseau. Lors d’une attaque externe, l’équipe informatique prête moins d’attention à la protection du réseau et risque de passer à côté d’alertes ou d’avertissements en lien avec une activité malveillante au sein du réseau. Cette pratique, connue sous le nom d’écran de fumée, est devenue un moyen standard de distraire les équipes de sécurité pendant l’exfiltration de données par une porte dérobée. En ayant une seule infrastructure DNS intégrée et gérée de façon centralisée (externe et interne), l’équipe informatique dispose d’une parfaite visibilité sur les attaques externes et les activités malveillantes (logiciels malveillants et APT). Elle sera immédiatement informée de tout comportement anormal et pourra prendre les mesures appropriées.

Solution Infoblox Secure DNS

Boîtier dédié Infoblox et système d’exploitation

Infoblox propose des boîtiers DNS dédiés et renforcés pour restreindre les surfaces d’attaque :

• Aucunportsupplémentaireouinutiliséouvertpouraccéderauxserveurs• Aucuneconnexionàlaracineaveclesystèmed’exploitation• Contrôledesaccèsenfonctiondesrôlespouruneplusgranderigueur

Toutes les méthodes d’accès sont sécurisées :

• Authentificationàdoublefacteurlorsdelaconnexion• AccèsWebviaHTTPSpourgarantirlechiffrement• ChiffrementSSLencasd’interactionduboîtierviadesAPI

Les boîtiers DNS ont reçu la certification Critères Communs EAL2, qui couvre la vérification du matériel, des logiciels et des processus de fabrication. En outre, un seul processus centralisé suffit pour mettre à jour le système d’exploitation et l’application, ce qui permet de simplifier et de centraliser l’administration et le contrôle.

Tout ceci contribue à sécuriser la plateforme DNS et à protéger les services DNS des différentes agressions.

5

Infoblox Advanced DNS Protection

Avec Advanced DNS Protection, Infoblox contrecarre efficacement les attaques externes qui ciblent votre DNS. Advanced DNS Protection propose une protection intégrée et intelligente qui garde trace des IP sources des requêtes DNS ainsi que des enregistrements DNS demandés. La solution permet d’écarter intelligemment les requêtes DDoS trop nombreuses et issues de la même adresse IP, tout en préservant des ressources pour répondre aux requêtes légitimes. Elle assure l’intégrité du DNS qui sinon pourrait être compromise par des attaques telles que le détournement du DNS. De plus, Advanced DNS Protection adapte sa protection en fonction des changements de configuration du DNS pour garantir l’application des règles de protection appropriées.

Le graphique ci-dessous montre comment Advanced DNS Protection réagit sous le feu d’une attaque et répond aux requêtes DNS légitimes. Au moment où les attaques étaient lancées (ligne rouge), Advanced DNS Protection recevait également 50 000 requêtes DNS légitimes par seconde. Ces dernières ont toutes été honorées (ligne bleue), même lorsque les attaques s’intensifiaient. Le test a été réalisé sur une plateforme tierce dédiée au test des performances et de la sécurité.

Il est important de bien comprendre la différence entre cette technologie et la limitation du débit de réponse (RRL) de BIND. Avec BIND, les requêtes sont reçues et traitées, et seul le débit des réponses est limité. Cette approche n’est pas efficace puisqu’elle consomme des ressources processeur et mémoire précieuses pour traiter des requêtes auxquelles le serveur DNS ne devrait jamais répondre. Dans ces conditions, le DNS risque fort d’épuiser ses ressources et de tomber en panne, ce qui est bien la principale raison d’être d’une attaque DDoS. Avec la technologie Infoblox, les requêtes illégitimes sont écartées avant même d’atteindre l’unité de traitement centrale. L’efficacité ne fait donc aucun doute, d’autant plus que cette technologie est prête à l’emploi.

Il va de soi qu’une attaque menée sur une entreprise de taille moyenne n’a pas les mêmes caractéristiques que si elle visait une grande entreprise. Si, avec Advanced DNS Protection, Infoblox prend en charge la création et la mise à jour des règles de protection, les utilisateurs sont libres d’adapter les paramètres associés à chaque règle et de les personnaliser en fonction de leur environnement. Il suffit d’entrer ces ajustements via une interface utilisateur graphique. Ils sont ensuite vérifiés avant leur application au moteur de règles pour assurer que le système fonctionne au

Figure 1. Taux de réponse d’Infoblox Advanced DNS Protection lors d’une attaque

6

maximum de ses possibilités. Un équilibreur de charge classique n’offre pas un tel niveau de personnalisation. Il arrive que certains fournisseurs proposent un langage de script permettant aux utilisateurs et consultants de créer leurs propres règles. Cependant, ces fournisseurs ne gèrent nullement ces règles et les utilisateurs les appliquent à leurs risques et périls. Cela peut être source de confusion et engendrer des problèmes de compatibilité chaque fois qu’un changement est apporté à la ligne de produits.

Comme nous l’avons déjà mentionné, les attaques basées sur le protocole constituent une autre méthode d’attaque à l’encontre d’un serveur DNS. Il peut s’agir d’amplification du DNS, de réflexion du DNS et d’empoisonnement du cache du DNS. Advanced DNS Protection s’accompagne de règles prédéfinies pour protéger les serveurs DNS contre ces menaces et toute autre attaque similaire. Infoblox surveille attentivement les dernières vulnérabilités visant le DNS de façon à toujours pouvoir contrecarrer ces attaques.

L’ensemble des règles d’Advanced DNS Protection offre un autre avantage de taille : le déploiement sur les serveurs DNS se fait automatiquement. Aucune intervention manuelle ni écriture de script n’est nécessaire. Ce déploiement automatique des règles de protection fait gagner un temps précieux sous le feu d’une attaque.

Infoblox DNS Firewall

Infoblox DNS Firewall empêche les logiciels malveillants et APT d’utiliser le DNS pour communiquer avec les réseaux d’ordinateurs zombies et les serveurs de commande et contrôle. Il évite ainsi toute exfiltration de données. Il détecte et bloque les tentatives de communication entre logiciels malveillants et domaines ou réseaux malveillants grâce aux éléments suivants :

• Mise en place de stratégies de réponse sur le trafic destiné à des domaines douteux (blocage, redirection des utilisateurs ou autorisation de circulation) de sorte que les administrateurs peuvent décider des mesures à prendre lorsqu’un client tente de se connecter avec un domaine suspect.

• Exploitation des dernières données recueillies sur les menaces aussi bien pour des domaines malveillants connus que pour des APT au jour zéro.

• Création au moment opportun de rapports contextuels sur les requêtes DNS malveillantes pour obtenir des informations sur la gravité et l’impact de la menace et localiser les équipements infectés à l’origine des requêtes.

• Émission d’alertes pour avertir les administrateurs réseau de l’apparition d’une anomalie

• Surveillance et journalisation des requêtes pour tous les équipements d’extrémité suspects

7

Flexibilité et facilité d’utilisation

Quelle que soit la technologie utilisée pour protéger une entreprise contre des menaces externes, il faut également tenir compte d’avantages moins tangibles. Après tout, la meilleure solution technologique qui soit peut vite se retrouver au placard si sa mise en œuvre est exagérément difficile et lourde. Dans la grande majorité, les technologies d’aujourd’hui reposent sur des interfaces de ligne de commande et des langages de script. Si ces technologies semblent prometteuses d’un point de vue architectural, leur mise en œuvre coûte trop cher et leur gestion s’avère très difficile. Les entreprises finissent par ne jamais mettre la solution complète en place.

Infoblox propose sa technologie Infoblox Grid™ breveté qui intègre d’importantes fonctionnalités telles que haute disponibilité, reprise après sinistre, maintenance et configuration, sauvegarde et restauration. Depuis une seule et unique interface, un administrateur réseau peut gérer et configurer à peu près tout ce qui a trait au DNS, sans avoir à saisir une ligne de commande ni écrire un script. Ainsi, le nombre d’erreurs de commande et de configuration diminue et les activités routinières quotidiennes peuvent être confiées à des administrateurs moins expérimentés. Pour finir, les entreprises réalisent des économies et sont en mesure d’offrir à leurs clients des services de meilleure qualité.

Création de rapportsLa création des rapports est un aspect souvent négligé de la gestion du DNS. Une architecture DNS moderne doit disposer d’outils de création de rapports dignes de ce nom permettant aux utilisateurs d’avoir une vue d’ensemble centralisée, d’évaluer la charge du système, de diagnostiquer les problèmes et d’être immédiatement informés de toute menace éventuelle.

Conclusion

Pour concevoir une architecture fiable et évolutive, il ne suffit pas d’augmenter la bande passante ni le nombre de requêtes traitées par seconde. Tout ce qui paraît simple dans le cadre d’un test en laboratoire devient tout de suite très complexe dans un déploiement de grande envergure. Conjuguée à la technologie Infoblox Grid, Infoblox Secure DNS Architecture constitue une solution DNS complète, fiable et évolutive qui offre non seulement une faible latence et un haut débit, mais garantit aussi la disponibilité d’une infrastructure essentielle permettant à votre entreprise de se développer tout en restant protégée, sans pour autant devoir procéder sans cesse à de nouvelles mises à niveau.

© 2015 Infoblox Inc. Tous droits réservés. infoblox-whitepaper-Designing A Secure DNS Archietecture-Oct2014

SIÈGE SOCIAL :

3111 Coronado Drive

Santa Clara

California 95054

USA

+1.408.986.4000

+1.866.463.6256

(sans frais pour les États-Unis et le Canada)

info@infoblox.com

www.infoblox.com

SIÈGE EMEA :

Regus Business Center

168 avenue charles de Gaulle

92522 Neuilly sur Seine

France

+33.1.70.37.53.05

sales-france@infoblox.com