Clever Geek Handbook

Guide de sécurité DNS





Peu importe ce que fait une entreprise, la sécurité DNS doit faire partie intégrante de son plan de sécurité. Les services de dénomination, qui traduisent les noms d'hÎte en adresses IP, sont utilisés par pratiquement toutes les applications et services du réseau.



Si un attaquant prend le contrĂŽle du DNS de l'organisation, il peut facilement:

  • transfĂ©rer le contrĂŽle sur les ressources qui sont du domaine public
  • rediriger les e-mails entrants ainsi que les requĂȘtes Web et les tentatives d'authentification
  • crĂ©er et valider des certificats SSL / TLS


Ce guide examine la sécurité DNS sous deux angles:

  1. Surveillance et contrĂŽle continus du DNS
  2. Comment les nouveaux protocoles DNS tels que DNSSEC, DOH et DoT peuvent aider Ă  protĂ©ger l'intĂ©gritĂ© et la confidentialitĂ© des requĂȘtes DNS transmises




Qu'est-ce que la sécurité DNS?







La sécurité DNS comporte deux parties importantes:



  1. Assurer l'intégrité globale et la disponibilité des services DNS qui traduisent les noms d'hÎte en adresses IP
  2. Surveillez l'activitĂ© DNS pour identifier les problĂšmes de sĂ©curitĂ© potentiels n'importe oĂč sur votre rĂ©seau




Pourquoi DNS est-il vulnérable aux attaques?



La technologie DNS a Ă©tĂ© crĂ©Ă©e au tout dĂ©but d'Internet, bien avant que quiconque ne pense mĂȘme Ă  la sĂ©curitĂ© du rĂ©seau. Le DNS fonctionne sans authentification ni cryptage, gĂ©rant aveuglĂ©ment les demandes de n'importe quel utilisateur.



À cet Ă©gard, il existe de nombreuses façons de tromper l'utilisateur et de fausses informations sur l'endroit oĂč la traduction des noms en adresses IP est rĂ©ellement effectuĂ©e.



ProblÚmes de sécurité DNS et composants







La sĂ©curitĂ© DNS se compose de plusieurs composants principaux , dont chacun doit ĂȘtre pris en compte pour assurer une protection complĂšte:

  • Renforcez les serveurs et les procĂ©dures de gestion: amĂ©liorez la sĂ©curitĂ© des serveurs et crĂ©ez un modĂšle de mise en service standard
  • AmĂ©lioration du protocole: implĂ©mentez DNSSEC, DoT ou DoH
  • Analyses et rapports: ajoutez un journal d'Ă©vĂ©nements DNS Ă  un systĂšme SIEM pour un contexte supplĂ©mentaire lors de l'enquĂȘte sur les incidents
  • Cyber ​​Intelligence and Threat Detection: abonnez-vous Ă  un canal de renseignement sur les menaces actif
  • Automatisation: crĂ©ez autant de scripts que possible pour automatiser les processus


Les composants de haut niveau ci-dessus ne sont que la pointe de l'iceberg de la sĂ©curitĂ© DNS. Dans la section suivante, nous examinerons de plus prĂšs les cas d'utilisation plus spĂ©cifiques et les meilleures pratiques dont vous devez ĂȘtre conscient.



Attaques DNS







  • Usurpation DNS ou empoisonnement du cache : exploiter une vulnĂ©rabilitĂ© systĂšme pour gĂ©rer le cache DNS afin de rediriger les utilisateurs vers un emplacement diffĂ©rent
  • DNS Tunneling : principalement utilisĂ© pour contourner les protections contre les connexions Ă  distance
  • DĂ©tournement DNS: rediriger le trafic DNS normal vers un autre serveur DNS cible en changeant le registraire de domaine
  • Attaque NXDOMAIN: mener une attaque DDoS sur un serveur DNS faisant autoritĂ© en envoyant des requĂȘtes de domaine inappropriĂ©es pour obtenir une rĂ©ponse forcĂ©e
  • : DNS- (DNS resolver) ,
  • : DDoS- , , DNS-
  • : - DNS-
  • - : , , , -


DNS



Attaques qui utilisent de quelque maniĂšre que ce soit le DNS pour attaquer d'autres systĂšmes (c'est-Ă -dire que la modification des enregistrements DNS n'est pas l'objectif final):

  • Flux rapide
  • RĂ©seaux Ă  flux unique
  • RĂ©seaux Ă  double flux
  • Tunnel DNS


Attaques DNS



Attaques qui renvoient l'adresse IP requise par l'attaquant depuis le serveur DNS:

  • Usurpation DNS ou empoisonnement du cache
  • DĂ©tournement DNS


Qu'est-ce que DNSSEC?









DNSSEC - modules de sĂ©curitĂ© du service de noms de domaine - sont utilisĂ©s pour valider les enregistrements DNS sans avoir besoin de connaĂźtre les informations gĂ©nĂ©rales pour chaque requĂȘte DNS spĂ©cifique.



DNSSEC utilise des clĂ©s de signature numĂ©rique (PKI) pour confirmer si les rĂ©sultats d'une requĂȘte de nom de domaine proviennent d'une source valide.

La mise en Ɠuvre de DNSSEC est non seulement la meilleure pratique de l'industrie, mais Ă©vite Ă©galement efficacement la plupart des attaques DNS.



Comment fonctionne DNSSEC



DNSSEC fonctionne de la mĂȘme maniĂšre que TLS / HTTPS, en utilisant des paires de clĂ©s publiques et privĂ©es pour signer numĂ©riquement les enregistrements DNS. Aperçu gĂ©nĂ©ral du processus:

  1. Les enregistrements DNS sont signés avec une paire de clés privées et privées
  2. Les réponses DNSSEC contiennent l'entrée demandée ainsi que la signature et la clé publique
  3. La clé publique est ensuite utilisée pour comparer l'authenticité de l'enregistrement et la signature




Sécurité DNS et DNSSEC







DNSSEC est un outil de vĂ©rification de l'intĂ©gritĂ© des requĂȘtes DNS. Cela n'affecte pas la confidentialitĂ© DNS. En d'autres termes, DNSSEC peut vous donner l'assurance que la rĂ©ponse Ă  votre requĂȘte DNS n'est pas usurpĂ©e, mais tout attaquant peut voir ces rĂ©sultats tels qu'ils vous ont Ă©tĂ© envoyĂ©s.



DoT - DNS sur TLS



Transport Layer Security (TLS) est un protocole cryptographique permettant de sĂ©curiser les informations transmises via une connexion rĂ©seau. Une fois qu'une connexion TLS sĂ©curisĂ©e est Ă©tablie entre le client et le serveur, les donnĂ©es transmises sont cryptĂ©es et ne peuvent ĂȘtre vues par aucun intermĂ©diaire.



TLS est le plus souvent utilisé dans le cadre de HTTPS (SSL) dans votre navigateur Web, car les demandes sont envoyées à des serveurs HTTP sécurisés.



DNS-over-TLS (DNS over TLS, DoT) utilise le protocole TLS pour crypter le trafic UDP pour les requĂȘtes DNS rĂ©guliĂšres.

Le chiffrement de ces demandes en texte brut permet de protéger les utilisateurs ou les applications qui font les demandes contre plusieurs attaques.

  • MitM, ou «man in the middle» : sans cryptage, le systĂšme intermĂ©diaire entre le client et le serveur DNS faisant autoritĂ© peut potentiellement envoyer des informations fausses ou dangereuses au client en rĂ©ponse Ă  une requĂȘte
  • Espionnage et suivi : sans chiffrer les demandes, les systĂšmes intermĂ©diaires peuvent facilement voir Ă  quels sites un utilisateur ou une application particulier accĂšde. Bien qu'il ne soit pas possible de trouver une page visitĂ©e spĂ©cifique sur un site Ă  partir du DNS seul, une simple connaissance des domaines demandĂ©s suffit pour former un profil d'un systĂšme ou d'un individu






Source: Université de Californie à Irvine



DoH - DNS sur HTTPS



DNS-over-HTTPS (DNS over HTTPS, DoH) est un protocole expĂ©rimental promu conjointement par Mozilla et Google. Ses objectifs sont similaires Ă  DoT, qui consiste Ă  amĂ©liorer la confidentialitĂ© des personnes sur Internet en cryptant les requĂȘtes et les rĂ©ponses DNS.



Les requĂȘtes DNS standard sont envoyĂ©es via UDP. Les demandes et les rĂ©ponses peuvent ĂȘtre suivies Ă  l'aide d'outils tels que Wireshark . DoT crypte ces demandes, mais elles identifient toujours comme trafic UDP assez clair sur le rĂ©seau.



DoH adopte une approche différente et envoie des demandes de résolution de nom d'hÎte chiffrées via des connexions HTTPS qui ressemblent à toute autre demande Web sur le réseau.



Cette différence a des implications trÚs importantes pour les administrateurs systÚme et la future résolution de noms.

  1. Le filtrage DNS est une méthode courante de filtrage du trafic Web pour protéger les utilisateurs contre les attaques de phishing, les sites qui propagent des logiciels malveillants ou toute autre activité Internet potentiellement nuisible sur un réseau d'entreprise. DoH contourne ces filtres, ce qui expose potentiellement les utilisateurs et le réseau à un risque plus élevé.
  2. Dans le modĂšle actuel de rĂ©solution de noms, chaque pĂ©riphĂ©rique sur le rĂ©seau reçoit dans une certaine mesure des requĂȘtes DNS du mĂȘme emplacement (d'un serveur DNS spĂ©cifiĂ©). DoH, et en particulier son implĂ©mentation Firefox, indique que cela pourrait changer Ă  l'avenir. Chaque application sur un ordinateur peut rĂ©cupĂ©rer des donnĂ©es Ă  partir de diffĂ©rentes sources DNS, ce qui rend le dĂ©pannage, la sĂ©curitĂ© et la modĂ©lisation des risques beaucoup plus difficiles.






Source: www.varonis.com/blog/what-is-powershell



Quelle est la différence entre DNS sur TLS et DNS sur HTTPS?



Commençons par DNS sur TLS (DoT). L'objectif principal ici est que le protocole DNS d'origine ne change pas, mais est simplement transmis de maniĂšre sĂ©curisĂ©e sur un canal sĂ©curisĂ©. DoH met le DNS au format HTTP avant de faire des requĂȘtes.



Alertes de surveillance DNS







La capacité de surveiller efficacement le trafic DNS sur votre réseau pour détecter les anomalies suspectes est essentielle pour la détection précoce d'une violation. L'utilisation d'un outil comme Varonis Edge vous donnera la possibilité de rester au fait de toutes les métriques importantes et de créer des profils pour chaque compte de votre réseau. Vous pouvez personnaliser la génération d'alertes à la suite d'une combinaison d'actions qui se produisent sur une période de temps spécifique.



La surveillance des modifications DNS, de l'emplacement des comptes, de la premiĂšre utilisation et de l'accĂšs aux donnĂ©es sensibles, et de l'activitĂ© en dehors des heures de bureau ne sont que quelques mesures qui peuvent ĂȘtre comparĂ©es pour fournir une image plus large de la dĂ©couverte.


More articles:


All Articles