Selon l’enquête réalisée par IDC en 2014 sur la sécurité DNS, « les solutions de sécurité classiques ne constituent pas une bonne option pour protéger les infrastructures DNS critiques des attaques ». L’enquête révèle par ailleurs que 68% des répondants utilisent toujours des pare-feu : Cela représente une mauvaise réponse à un vrai problème.
Durant une attaque DDoS, le hacker essaie généralement de faire tomber le serveur DNS pour que les requêtes légitimes ne soient plus traitées, ou pour corrompre le cache DNS et transmettre aux utilisateurs de fausses informations. Plusieurs méthodes existent pour protéger les serveurs DNS contre ces attaques. La plus courante consiste à filtrer les requêtes DNS afin d’éliminer celles qui sont illégitimes. Le problème : les solutions actuelles ne sont pas suffisamment puissantes pour absorber et analyser méticuleusement toutes les requêtes qui leur sont envoyées, et peuvent même impacter négativement le service DNS.
En décembre dernier, le fournisseur de services cloud, Rackspace subissait une attaque DDoS qui a paralysé ses serveurs DNS pendant 11 heures. Dans sa communication de crise avec ses utilisateurs, l’entreprise indique alors que ses ingénieurs travaillent à résoudre le problème rencontré. Malheureusement les solutions de protection employées n’ont pas été sans impact : “ en raison de la nature de l'événement, une partie du trafic légitime à notre infrastructure DNS peut être bloqué par inadvertance1 ”.
Le même mois, DNS Simple fait face une attaque similaire et décide finalement de désactiver le mécanisme de défense de DNS du dispositif de protection DDoS pour retrouver un service normal de résolution de noms.
Dans les deux cas, les entreprises ont pris des mesures radicales qui n’ont pas uniquement bloqué le trafic illégitime mais également les requêtes légitimes. C’est une preuve que les solutions actuelles ne sont pas adaptées aux problématiques des services DNS et que les entreprises restent vulnérables. Il est temps de repenser la sécurité de ce maillon faible de l’infrastructure réseau.
Cinq raisons qui démontrent que les solutions de filtrage actuelles sont insuffisantes
Depuis 40 ans, les Responsables de la Sécurité Informatique (RSSI) utilisent des solutions de filtrage pour parer aux attaques. Malheureusement les solutions de filtrage disponibles sur le marché s’avèrent insuffisantes pour protéger le service DNS, voire dangereuses dans certains cas. Il est temps de réfléchir autrement et ce, pour 5 raisons :
Des attaques informatiques de plus en plus complexes
Les hackers sont souvent très créatifs et trouvent régulièrement de nouveaux moyens de prendre en défaut les infrastructures DNS. De nouvelles techniques de plus en plus complexes voient le jour. Les règles mises en place ne permettent pas de s’adapter aux menaces persistantes et élaborées rapidement. En effet, certaines solutions existantes ont plus d’une centaine de règles à configurer et à maintenir ; une tâche qui peut se révéler cauchemardesque.
Un filtrage basé sur une analyse superficielle : un risque élevé d’exclure les requêtes légitimes
Lorsqu’elles détectent une attaque, les solutions mises en place peuvent « blacklister » l’adresse IP identifiée comme responsable de l’attaque. À l’aide d’un malware installé dans de nombreuses machines, un pirate informatique est capable de générer des attaques contre les services DNS. Afin de préserver la disponibilité des services, le système de protection bloque les requêtes en provenance de l’adresse IP qui génère l’attaque. Or cette adresse, et donc la machine qui y est rattachée, peut être celle d’un client, d’un partenaire, ou encore la vôtre…
Une certaine impuissance face aux attaques volumétriques…
Lorsque les attaques sont volumétriques (environ 63% des attaques DDoS DNS), les solutions actuelles peuvent être rapidement saturée. Détecter une attaque volumétrique est assez simple. En revanche, pour détecter les attaques basées sur de faibles volumes, le mécanisme de filtrage doit se livrer à une analyse en profondeur du contenu des messages DNS, avant de reconstruire les résolutions de bout-en-bout demandées par les clients. Cette analyse représente beaucoup de données à traiter et donc une importante charge de travail pour les outils d’analyse. Lors d’une attaque volumétrique, la quantité de données explose, les outils sont saturés et la solution de protection peut ne pas être pleinement efficace.
… et « lentes »
La plupart du temps, les attaques « lentes » ou insidieuses passent inaperçues (Phantom attack, Sloth attack, …). Ce type d’attaque n’est pas basé sur un volume important de requêtes envoyées sur une longue durée, mais sur des volumes plus faibles avec des fréquences qui les rendent invisibles au filtrage.
Une vulnérabilité à l'empoisonnement du cache
Lorsqu’une solution de filtrage détecte sur un serveur DNS autoritarif un comportement suspect, elle est censée rejeter les paquets concernés et tenter de répondre seulement aux requêtes légitimes. Problème : rejeter des paquets laisse des requêtes sans réponse. Or, le délai d’attente de réponse du serveur récursif constitue une opportunité pour les pirates pour empoisonner le cache en répondant à la place du serveur autoritatif. L’un des objectifs des hackers est donc de déclencher le mécanisme de filtrage avec des faux positifs pour accéder au cache des serveurs.
Une attaque du serveur = une menace directe du business de l’entreprise
Si les hackers changent leurs méthodes, les Responsables de la Sécurité Informatique doivent également revoir leur approche en matière de cybersécurité : le business de l’entreprise en dépend.
Il existe aujourd’hui de nouvelles solutions qui détectent et identifient les différents types d’attaques et adaptent les contre-mesures au profil de l’attaque. Ces solutions sont développées spécifiquement pour le service DNS ce qui leur permet d’être plus efficace et plus performante.
Responsables de la Sécurité Informatique, réveillez-vous !
- Source: Status Report “DNS Connectivity Issues”
Réagissez en laissant votre commentaire !