Guide de sécurité DNS

Quoi que fasse l'entreprise, la sécurité DNS devrait faire partie intégrante de son plan de sécurité. Les services de noms, qui résolvent les noms d'hôte en adresses IP, sont utilisés par pratiquement toutes les applications et tous les services du réseau.

Si un attaquant prend le contrôle du DNS d'une organisation, il peut facilement :

• donnez-vous le contrôle des ressources partagées
• rediriger les e-mails entrants ainsi que les requêtes Web et les tentatives d'authentification
• créer et valider des certificats SSL/TLS

Ce guide examine la sécurité DNS sous deux angles :

1. Effectuer une surveillance et un contrôle continus du DNS
2. Comment les nouveaux protocoles DNS tels que DNSSEC, DOH et DoT peuvent aider à protéger l'intégrité et la confidentialité des requêtes DNS transmises

Qu’est-ce que la sécurité DNS ?

Le concept de sécurité DNS comprend deux éléments importants :

1. Assurer l'intégrité et la disponibilité globales des services DNS qui résolvent les noms d'hôtes en adresses IP
2. Surveillez l'activité DNS pour identifier d'éventuels problèmes de sécurité n'importe où sur votre réseau

Pourquoi le DNS est-il vulnérable aux attaques ?

La technologie DNS a été créée aux débuts d’Internet, bien avant que quiconque ne commence à penser à la sécurité des réseaux. DNS fonctionne sans authentification ni cryptage, traitant aveuglément les demandes de n'importe quel utilisateur.

Pour cette raison, il existe de nombreuses façons de tromper l'utilisateur et de falsifier les informations sur l'endroit où a réellement lieu la résolution des noms en adresses IP.

Sécurité DNS : problèmes et composants

La sécurité DNS comprend plusieurs éléments de base composants, dont chacun doit être pris en compte pour assurer une protection complète :

• Renforcement des procédures de sécurité et de gestion des serveurs : augmenter le niveau de sécurité du serveur et créer un modèle de mise en service standard
• Améliorations du protocole : implémenter DNSSEC, DoT ou DoH
• Analyses et rapports : ajoutez un journal des événements DNS à votre système SIEM pour un contexte supplémentaire lors de l'enquête sur les incidents
• Cyberintelligence et détection des menaces : abonnez-vous à un flux actif de renseignements sur les menaces
• Automatisation: créer autant de scripts que possible pour automatiser les processus

Les composants de haut niveau mentionnés ci-dessus ne sont que la pointe de l'iceberg de la sécurité DNS. Dans la section suivante, nous aborderons des cas d'utilisation plus spécifiques et les meilleures pratiques que vous devez connaître.

Attaques DNS

• Usurpation DNS ou empoisonnement du cache: exploiter une vulnérabilité du système pour manipuler le cache DNS afin de rediriger les utilisateurs vers un autre emplacement
• Tunneling DNS: principalement utilisé pour contourner les protections de connexion à distance
• Détournement DNS : rediriger le trafic DNS normal vers un autre serveur DNS cible en changeant le registraire de domaine
• Attaque NXDOMAIN : mener une attaque DDoS sur un serveur DNS faisant autorité en envoyant des requêtes de domaine illégitimes pour obtenir une réponse forcée
• domaine fantôme : oblige le résolveur DNS à attendre une réponse de domaines inexistants, ce qui entraîne de mauvaises performances
• attaque sur un sous-domaine aléatoire : les hôtes et les botnets compromis lancent une attaque DDoS sur un domaine valide, mais concentrent leur tir sur de faux sous-domaines pour forcer le serveur DNS à rechercher des enregistrements et à prendre le contrôle du service
• blocage de domaine : envoie plusieurs réponses de spam pour bloquer les ressources du serveur DNS
• Attaque de botnet depuis l'équipement de l'abonné : un ensemble d'ordinateurs, de modems, de routeurs et d'autres appareils qui concentrent la puissance de calcul sur un site Web spécifique pour le surcharger de demandes de trafic

Attaques DNS

Attaques qui utilisent le DNS pour attaquer d'autres systèmes (c'est-à-dire que la modification des enregistrements DNS n'est pas l'objectif final) :

• Flux rapide
• Réseaux à flux unique
• Réseaux Double Flux
• Tunneling DNS

Attaques DNS

Attaques qui entraînent le retour de l'adresse IP requise par l'attaquant depuis le serveur DNS :

• Usurpation DNS ou empoisonnement du cache
• Détournement DNS

Qu’est-ce que DNSSEC ?

DNSSEC - Domain Name Service Security Engines - sont utilisés pour valider les enregistrements DNS sans avoir besoin de connaître les informations générales pour chaque requête DNS spécifique.

DNSSEC utilise des clés de signature numérique (PKI) pour vérifier si les résultats d'une requête de nom de domaine proviennent d'une source valide.
La mise en œuvre de DNSSEC constitue non seulement une bonne pratique du secteur, mais elle est également efficace pour éviter la plupart des attaques DNS.

Comment fonctionne DNSSEC

DNSSEC fonctionne de manière similaire à TLS/HTTPS, en utilisant des paires de clés publiques et privées pour signer numériquement les enregistrements DNS. Aperçu général du processus :

1. Les enregistrements DNS sont signés avec une paire de clés privée-privée
2. Les réponses aux requêtes DNSSEC contiennent l'enregistrement demandé ainsi que la signature et la clé publique
3. Puis Clé publique utilisé pour comparer l'authenticité d'un document et d'une signature

Sécurité DNS et DNSSEC

DNSSEC est un outil permettant de vérifier l'intégrité des requêtes DNS. Cela n'affecte pas la confidentialité DNS. En d’autres termes, DNSSEC peut vous garantir que la réponse à votre requête DNS n’a pas été falsifiée, mais tout attaquant peut voir ces résultats tels qu’ils vous ont été envoyés.

DoT-DNS sur TLS

Transport Layer Security (TLS) est un protocole cryptographique permettant de protéger les informations transmises via une connexion réseau. Une fois une connexion TLS sécurisée établie entre le client et le serveur, les données transmises sont cryptées et aucun intermédiaire ne peut les voir.

TLS le plus couramment utilisé dans le cadre du HTTPS (SSL) dans votre navigateur Web, car les requêtes sont envoyées à des serveurs HTTP sécurisés.

DNS-over-TLS (DNS over TLS, DoT) utilise le protocole TLS pour crypter le trafic UDP des requêtes DNS classiques.
Le chiffrement de ces requêtes en texte brut permet de protéger les utilisateurs ou les applications effectuant des requêtes contre plusieurs attaques.

• MitM, ou « l'homme du milieu »: Sans cryptage, le système intermédiaire entre le client et le serveur DNS faisant autorité pourrait potentiellement envoyer des informations fausses ou dangereuses au client en réponse à une requête
• Espionnage et suivi: Sans chiffrer les requêtes, il est facile pour les systèmes middleware de voir à quels sites un utilisateur ou une application particulière accède. Bien que le DNS à lui seul ne révèle pas la page spécifique visitée sur un site Web, il suffit de connaître les domaines demandés pour créer le profil d'un système ou d'un individu.

Source: Université de Californie à Irvine

DoH – DNS sur HTTPS

DNS-over-HTTPS (DNS over HTTPS, DoH) est un protocole expérimental promu conjointement par Mozilla et Google. Ses objectifs sont similaires à ceux du protocole DoT : améliorer la confidentialité des personnes en ligne en cryptant les requêtes et les réponses DNS.

Les requêtes DNS standard sont envoyées via UDP. Les demandes et les réponses peuvent être suivies à l'aide d'outils tels que Wireshark. DoT chiffre ces requêtes, mais elles sont toujours identifiées comme un trafic UDP assez distinct sur le réseau.

DoH adopte une approche différente et envoie des requêtes de résolution de nom d'hôte cryptées via des connexions HTTPS, qui ressemblent à n'importe quelle autre requête Web sur le réseau.

Cette différence a des implications très importantes à la fois pour les administrateurs système et pour l'avenir de la résolution de noms.

1. Le filtrage DNS est un moyen courant de filtrer le trafic Web afin de protéger les utilisateurs contre les attaques de phishing, les sites distribuant des logiciels malveillants ou toute autre activité Internet potentiellement dangereuse sur un réseau d'entreprise. Le protocole DoH contourne ces filtres, exposant potentiellement les utilisateurs et le réseau à de plus grands risques.
2. Dans le modèle actuel de résolution de noms, chaque appareil du réseau reçoit plus ou moins les requêtes DNS du même emplacement (un serveur DNS spécifié). DoH, et en particulier sa mise en œuvre par Firefox, montre que cela pourrait changer à l'avenir. Chaque application sur un ordinateur peut recevoir des données provenant de différentes sources DNS, ce qui rend le dépannage, la sécurité et la modélisation des risques beaucoup plus complexes.

Source: www.varonis.com/blog/what-is-powershell

Quelle est la différence entre DNS sur TLS et DNS sur HTTPS ?

Commençons par DNS sur TLS (DoT). Le point principal ici est que le protocole DNS d'origine n'est pas modifié, mais est simplement transmis en toute sécurité sur un canal sécurisé. Le DoH, quant à lui, met le DNS au format HTTP avant de faire des requêtes.

Alertes de surveillance DNS

La capacité de surveiller efficacement le trafic DNS sur votre réseau à la recherche d'anomalies suspectes est essentielle à la détection précoce d'une violation. L'utilisation d'un outil comme Varonis Edge vous donnera la possibilité de rester au courant de toutes les mesures importantes et de créer des profils pour chaque compte de votre réseau. Vous pouvez configurer des alertes à générer à la suite d'une combinaison d'actions qui se produisent sur une période de temps spécifique.

La surveillance des modifications DNS, de l'emplacement des comptes, de la première utilisation et de l'accès à des données sensibles, ainsi que de l'activité en dehors des heures d'ouverture ne sont que quelques mesures qui peuvent être corrélées pour créer une image de détection plus large.

Source: habr.com