Table des matières:
En avril, un pirate informatique néerlandais a été arrêté pour ce qu'on appelle la plus grande attaque par déni de service distribué jamais vue. L'attaque a été perpétrée contre Spamhaus, une organisation anti-spam, et selon l'ENISA, l'agence de sécurité informatique de l'Union européenne, la charge sur l'infrastructure de Spamhaus a atteint 300 gigabits par seconde, trois fois le record précédent. Cela a également provoqué une importante congestion Internet et bloqué l'infrastructure Internet dans le monde entier.
Bien sûr, les attaques DNS ne sont pas rares. Mais alors que le pirate informatique dans l'affaire Spamhaus ne voulait que nuire à sa cible, les ramifications plus importantes de l'attaque ont également souligné ce que beaucoup appellent une faille majeure dans l'infrastructure Internet: le système de noms de domaine. En conséquence, les récentes attaques contre l'infrastructure DNS centrale ont laissé les techniciens et les hommes d'affaires se démener pour trouver des solutions. Alors et toi? Il est important de savoir quelles options vous avez pour renforcer l'infrastructure DNS de votre propre entreprise ainsi que le fonctionnement des serveurs racine DNS. Examinons donc certains des problèmes et ce que les entreprises peuvent faire pour se protéger. (En savoir plus sur DNS dans DNS: Un protocole pour les gouverner tous.)
Infrastructure existante
Le système de noms de domaine (DNS) date d'une époque où Internet a oublié. Mais cela ne fait pas de vieilles nouvelles. Avec la menace en constante évolution des cyberattaques, le DNS a fait l'objet d'un examen minutieux au fil des ans. À ses balbutiements, le DNS n'offrait aucune forme d'authentification pour vérifier l'identité d'un expéditeur ou d'un récepteur de requêtes DNS.
En fait, depuis de nombreuses années, les serveurs de noms, ou serveurs racine, sont soumis à des attaques étendues et variées. De nos jours, ils sont géographiquement diversifiés et opérés par différents types d'institutions, y compris des organismes gouvernementaux, des entités commerciales et des universités, pour maintenir leur intégrité.
De façon alarmante, certaines attaques ont quelque peu réussi dans le passé. Une attaque paralysante sur l'infrastructure du serveur racine, par exemple, s'est produite en 2002 (lire un rapport à ce sujet ici). Bien que cela n'ait pas créé d'impact notable pour la plupart des utilisateurs d'Internet, il a attiré l'attention du FBI et du département américain de la Sécurité intérieure car il était très professionnel et très ciblé, affectant neuf des 13 serveurs racine opérationnels. Si cela avait duré plus d'une heure, selon les experts, les résultats auraient pu être catastrophiques, rendant les éléments de l'infrastructure DNS d'Internet presque inutiles.
Vaincre une telle partie intégrante de l'infrastructure Internet donnerait à un attaquant réussi beaucoup de pouvoir. En conséquence, du temps et des investissements importants ont été consacrés depuis à la question de la sécurisation de l'infrastructure du serveur racine. (Vous pouvez consulter une carte montrant les serveurs racine et leurs services ici.)
Sécurisation DNS
Outre l'infrastructure de base, il est également important de considérer la robustesse de l'infrastructure DNS de votre entreprise contre les attaques et les défaillances. Il est courant par exemple (et indiqué dans certains RFC) que les serveurs de noms doivent résider sur des sous-réseaux ou réseaux entièrement différents. En d'autres termes, si le FAI A a une panne complète et que votre serveur de noms principal tombe hors ligne, le FAI B servira toujours vos données DNS clés à toute personne qui en fera la demande.
Les extensions de sécurité du système de noms de domaine (DNSSEC) sont l'un des moyens les plus utilisés par les entreprises pour sécuriser leur propre infrastructure de serveur de noms. Il s'agit d'un module complémentaire pour garantir que la machine qui se connecte à vos serveurs de noms correspond à ce qu'elle est. DNSSEC permet également l'authentification pour identifier d'où proviennent les demandes, ainsi que pour vérifier que les données elles-mêmes n'ont pas été modifiées en cours de route. Cependant, en raison de la nature publique du système de noms de domaine, la cryptographie utilisée n'assure pas la confidentialité des données, ni n'a aucune idée de leur disponibilité si des parties de l'infrastructure souffrent d'une défaillance de quelque description.
Un certain nombre d'enregistrements de configuration sont utilisés pour fournir ces mécanismes, notamment les types d'enregistrement RRSIG, DNSKEY, DS et NSEC. (Pour plus d'informations, consultez 12 enregistrements DNS expliqués.)
RRISG est utilisé chaque fois que DNSSEC est disponible à la fois pour la machine qui soumet la requête et pour celle qui l'envoie. Cet enregistrement est envoyé avec le type d'enregistrement demandé.
Une DNSKEY contenant des informations signées pourrait ressembler à ceci:
ripe.net a une fiche de DNSKEY 257 3 5 AwEAAXf2xwi4s5Q1WHpQVy / kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk + Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK + BIx8u98b + EVr7C08dPpr9V6Eu / 7 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK + gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =
L'enregistrement DS, ou signataire délégué, est utilisé pour aider à authentifier la chaîne de confiance afin qu'un parent et une zone enfant puissent communiquer avec un degré de confort supplémentaire.
NSEC, ou les prochaines entrées sécurisées, passent essentiellement à la prochaine entrée valide dans une liste d'entrées DNS. Il s'agit d'une méthode qui peut être utilisée pour renvoyer une entrée DNS inexistante. Ceci est important pour que seules les entrées DNS configurées soient considérées comme authentiques.
NSEC3, un mécanisme de sécurité amélioré pour aider à atténuer les attaques de type dictionnaire, a été ratifié en mars 2008 dans la RFC 5155.
Réception DNSSEC
Bien que de nombreux partisans aient investi dans le déploiement de DNSSEC, ce n'est pas sans ses détracteurs. Malgré sa capacité à aider à éviter les attaques telles que les attaques de l'homme du milieu, où les requêtes peuvent être détournées et incorrectement envoyées à volonté sans le vouloir à ceux qui génèrent des requêtes DNS, il existe des problèmes de compatibilité avec certaines parties de l'infrastructure Internet existante. Le principal problème est que DNS utilise généralement le protocole UDP (User Datagram Protocol) moins gourmand en bande passante, tandis que DNSSEC utilise le protocole TCP (Transmission Control Protocol) plus lourd pour transmettre ses données dans les deux sens pour une plus grande fiabilité et responsabilité. De grandes parties de l'ancienne infrastructure DNS, qui sont parsemées de millions de demandes DNS 24 heures par jour, sept jours par semaine, peuvent ne pas être capables d'augmenter le trafic. Même ainsi, beaucoup pensent que DNSSEC est une étape majeure vers la sécurisation de l'infrastructure Internet.
Bien que rien dans la vie ne soit garanti, prendre le temps de considérer vos propres risques pourrait éviter de nombreux maux de tête coûteux à l'avenir. En déployant DNSSEC, par exemple, vous pouvez accroître votre confiance dans certaines parties de votre infrastructure DNS clé.
