Qu'est-ce que la sécurité DNS ?

Lorsque la plupart des gens utilisent l'internet, ils utilisent des noms de domaine pour spécifier le site web qu'ils veulent visiter, par exemple checkpoint.com. Ces noms de domaine sont des adresses conviviales qui sont mises en correspondance par le système de noms de domaine (DNS) avec les adresses IP (Internet Protocol) que les ordinateurs et les autres composants de l'infrastructure de réseau utilisent pour identifier les différents appareils connectés à l'internet. En résumé, le système de noms de domaine est le protocole qui rend l'internet utilisable en permettant l'utilisation de noms de domaine.

Les organisations font largement confiance au DNS et le trafic DNS est généralement autorisé à passer librement à travers les pare-feu du réseau. Cependant, les cybercriminels l'attaquent souvent et en abusent. Par conséquent, la sécurité du DNS est un élément essentiel de la sécurité du réseau.

 

Demander une démo En savoir plus

Qu'est-ce que la sécurité DNS ?

Comment le DNS est utilisé dans les attaques

Certaines menaces comprennent des attaques contre l'infrastructure DNS :

  • Déni de service distribué (DDoS) : L'infrastructure DNS est essentielle au fonctionnement de l'internet. Les attaques DDoS contre le DNS peuvent rendre les sites web inaccessibles en rendant les serveurs DNS qui les desservent indisponibles en saturant le réseau avec ce qui ressemble à du trafic légitime. Un exemple classique est l'attaque DDoS de 2016 contre Dyn, où une armée de bots hébergés sur des caméras connectées à Internet a provoqué des pannes sur de nombreux sites web importants, dont Amazon, Netflix, Spotify et Twitter.
  • Amplification des attaques DDoS par DNS : Le DNS utilise l'UDP, un protocole sans connexion, pour le transport, ce qui signifie qu'un attaquant peut usurper l'adresse source d'une requête DNS et faire envoyer la réponse à une adresse IP de son choix. En outre, les réponses DNS peuvent être beaucoup plus volumineuses que les demandes correspondantes. Les auteurs d'attaques DDoS profitent de ces facteurs pour amplifier leurs attaques en envoyant une petite requête à un serveur DNS et en recevant une réponse massive en retour. Il en résulte un déni de service de l'hôte cible.
  • Autres attaques par déni de service (DoS) : Outre les attaques DDoS basées sur le réseau, les serveurs DNS ( application ) peuvent également être la cible d'attaques DoS. Ces attaques sont conçues pour exploiter les vulnérabilités des serveurs DNS application, les rendant incapables de répondre aux requêtes légitimes.

Le DNS peut également faire l'objet d'abus et être utilisé dans le cadre de cyberattaques. Voici quelques exemples d'abus de DNS :

  • Détournement de DNS : Le détournement de DNS désigne toute attaque qui fait croire à un utilisateur qu'il se connecte à un domaine légitime alors qu'il est en réalité connecté à un domaine malveillant. Cela peut être réalisé en utilisant un serveur DNS compromis ou malveillant ou en trompant un serveur DNS pour qu'il stocke des données DNS incorrectes (une attaque appelée empoisonnement du cache).
  • Tunnel DNS: Le DNS étant un protocole de confiance, la plupart des organisations l'autorisent à entrer et sortir librement de leur réseau. Les cybercriminels profitent du DNS pour exfiltrer des données avec des logiciels malveillants dont les requêtes DNS contiennent les données exfiltrées. Comme le serveur DNS cible est généralement contrôlé par le propriétaire du site web cible, les attaquants s'assurent que les données atteignent un serveur où elles peuvent être traitées par eux, et qu'une réponse est envoyée dans le paquet de réponses DNS.
  • Évasion de sécurité à l'aide de noms de domaine aléatoires (DGA) : Les acteurs de la menace utilisent des algorithmes sophistiqués pour générer des centaines de milliers de nouveaux noms de domaine à l'aide d'un algorithme de génération de domaine (DGA). logiciel malveillant installé sur un ordinateur infecté utilisera alors ces tout nouveaux noms de domaine pour échapper à la détection et se connecter au serveur de commande et de contrôle externe du pirate. Les solutions de sécurité traditionnelles ne sont pas assez rapides pour déterminer si ces domaines sont malveillants ou non, et se contentent donc de les laisser passer.

L'importance de la sécurité DNS

Le DNS est un vieux protocole, et il a été conçu sans aucune sécurité intégrée. Plusieurs solutions ont été développées pour sécuriser les DNS, notamment :

  • Filtrage de la réputation : Comme tout autre utilisateur d'Internet, most logiciel malveillant a besoin de faire des requêtes DNS pour trouver les adresses IP des sites qu'il visite. Les organisations peuvent bloquer ou rediriger les requêtes DNS vers des domaines malveillants connus.
  • Inspection DNS : L'utilisation du DNS pour l'exfiltration de données via le tunneling DNS ou l'évasion de sécurité à l'aide d'algorithmes de génération de domaines peut également être détectée et bloquée en temps réel par les Pare-feu de nouvelle génération (NGFW) qui s'appuient sur des renseignements sur les menaces alimentés par des moteurs d'apprentissage profond de l'IA. Cela permet de bloquer les logiciels malveillants sophistiqués qui utilisent le DNS pour des communications de commandement et de contrôle (C2) et d'autres attaques.
  • Sécurisez le protocole : DNSSEC est un protocole qui inclut l'authentification des réponses DNS. Comme la réponse authentifiée ne peut pas être usurpée ou modifiée, les attaquants ne peuvent pas utiliser le DNS pour envoyer les utilisateurs vers des sites malveillants.
  • Sécurisez le canal : DNS over TLS (DoT) et DoH (DNS over HTTPS) ajoutent une couche sécurisée à un protocole non sécurisé. Cela garantit que les demandes sont cryptées et authentifiées, contrairement au DNS traditionnel. En utilisant DoH et DoT, un utilisateur peut garantir la confidentialité des réponses DNS et bloquer l'écoute de ses requêtes DNS (qui révèlent les sites qu'il visite).

Analyses, renseignements sur les menaces et chasse aux menaces

La surveillance de votre trafic DNS peut constituer une riche source de données pour les équipes de votre centre d'opérations de sécurité (SOC) lorsqu'elles surveillent et analysent la position de votre entreprise en matière de sécurité. En plus de surveiller les pare-feu pour détecter les indicateurs de compromission DNS (IoC), les équipes SOC peuvent également être à l'affût des domaines similaires.

Prévenir l'utilisation malveillante du protocole DNS

Check Point Quantum Pare-feu de nouvelle génération détecte le trafic malveillant et les attaques par tunneling DNS via ThreatCloud IA, son système global de renseignements sur les menaces. ThreatCloud IA analyse les requêtes DNS et renvoie un verdict au pare-feu - pour supprimer ou autoriser la requête DNS en temps réel. Cela permet d'éviter le vol de données via le tunnel DNS et les communications de commande et de contrôle entre un hôte interne infecté et un serveur C2 externe.

We encourage you to ask for a demo of new DNS Security capabilities in Quantum release R81.20 and learn more about the threat analytics and threat hunting capabilities of Check Point Infinity SOC.

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK