Êtes-vous prêt à contrecarrer les attaques DNS
Transcription
Êtes-vous prêt à contrecarrer les attaques DNS
LIVRE BLANC Êtes-vous prêt à contrecarrer les attaques DNS ? Fortifier l’infrastructure DNS critique Êtes-vous prêt à contrecarrer les attaques DNS ? Fortifier l’infrastructure DNS critique Depuis le premier trimestre 2012, le nombre d’attaques visant l’infrastructure par le biais du DNS (Domain Name System) a augmenté de 200 %1. Pourquoi ? En raison de sa nature-même, le DNS est facile à exploiter. • La plupart des pare-feu d’entreprise sont configurés pour autoriser le trafic sur le port 53 vers le service DNS, ce qui donne aux attaquants un moyen simple d’échapper aux systèmes de défense existants. • Comme les requêtes DNS sont asymétriques, elles peuvent aboutir à une réponse d’une taille bien supérieure à celle de la requête, ce qui signifie que votre système DNS lui-même peut servir à amplifier une attaque. Les pirates peuvent envoyer un seul paquet de données et déclencher une activité intense amplifiée plusieurs fois, ce qui finit par paralyser votre entreprise. • Les attaquants peuvent facilement dissimuler leurs identités car le protocole DNS est sans état. Les grands services informatiques et les fournisseurs de services n’ont pas d’autre choix que de contourner ces faiblesses car, à l’époque d’Internet, les services DNS sont au cœur de toutes les activités stratégiques des entreprises d’aujourd’hui. Sans service DNS opérationnel, les smartphones ne fonctionnent pas, une entreprise ne peut pas travailler en ligne, les équipes ne peuvent pas communiquer efficacement, la productivité s’effondre, la satisfaction client décline, les revenus chutent et la réputation de l’entreprise est compromise. Ce livre blanc explique comment résoudre ces problèmes et écarter les menaces ciblant le DNS. Il décrit le fonctionnement du protocole DNS, répertorie les divers types d’attaques DNS pour vous donner une idée claire de l’ampleur de la menace et présente en détail la meilleure solution disponible : Infoblox Advanced DNS Protection, le premier boîtier DNS qui se protège lui-même pour colmater la faille de sécurité globale du réseau. Fonctionnement et action du DNS Avant d’aborder les menaces et leur prévention, passons en revue les principes de base du DNS. Le système DNS est le carnet d’adresses de toutes les destinations sur Internet, où chaque nom de domaine comme infoblox.com est traduit en adresse IP, de type 54.235.223.101. C’est donc le DNS qui détermine si les communications et les requêtes parviennent aux bonnes adresses. Pour mener leurs activités en ligne, les entreprises et les fournisseurs de services ont absolument besoin d’un service DNS fiable et rapide pour leur trafic entrant et sortant. Les communications avec les fournisseurs, les clients et les sites de l’entreprise s’échangent via e-mail, sites Web et transfert de fichiers HTTP. Le traitement DNS s’accompagne d’un effet secondaire non négligeable : les serveurs DNS sont ouverts à tous, un peu comme les portes d’un centre commercial qui laissent entrer aussi bien les voleurs à l’étalage que les clients. Il existe deux types de serveurs de noms DNS : les serveurs faisant autorité et les serveurs récursifs. 1 LIVRE BLANC Êtes-vous prêt à contrecarrer les attaques DNS ? • Les serveurs DNS faisant autorité sont le point d’entrée vers les services d’une entreprise. Ils ne répondent qu’aux requêtes concernant les noms de domaine pour lesquels ils ont été configurés ou correspondant à un ensemble de zones spécifique. Les serveurs DNS qui se connectent à Internet sont généralement configurés en mode faisant autorité. Ce sont eux qui font l’objet d’attaques externes comme l’amplification, la réflexion et les exploits. • Les serveurs DNS récursifs, également appelés « serveurs de mise en cache » répondent aux requêtes en interrogeant d’autres serveurs de noms. Il leur arrive d’aller chercher les réponses dans une mémoire cache, d’où leur autre appellation. Si un serveur récursif ne trouve pas la réponse dont il a besoin dans la mémoire cache, il explore l’arborescence de l’espace de noms en répétant la requête, selon les références des serveurs faisant autorité, jusqu’à ce qu’il trouve un serveur de noms capable de lui donner la réponse. Autrement dit, les serveurs de noms récursifs dépendent des serveurs de noms faisant autorité. Les serveurs de noms récursifs sont généralement déployés en interne pour fournir des services aux utilisateurs internes. Ils sont vulnérables aux attaques provenant des utilisateurs situés à l’intérieur de l’entreprise. Principales menaces visant le DNS Le nombre de menaces potentielles au moment de l’écriture de ce livre blanc est véritablement alarmant. Nous les avons répertoriées ici et nous vous les décrivons brièvement. Les attaques directes par amplification du DNS ont pour but de saturer la bande passante sortante du serveur DNS. Elles consistent à envoyer un grand nombre de requêtes DNS, spécifiquement conçues pour donner lieu à des réponses très volumineuses pouvant atteindre jusqu’à 70 fois la taille de la requête. Comme le DNS repose sur le protocole UDP (User Datagram Protocol), l’attaquant peut utiliser un petit volume du trafic sortant pour forcer le serveur DNS à générer un volume bien supérieur, ce qui aboutit à la saturation du flux de téléchargement en amont du serveur DNS et, pour finir, à un déni de service (DoS). Les attaques par réflexion utilisent un serveur DNS tiers (généralement un serveur de noms récursif ouvert) sur Internet pour propager une attaque DoS ou DDoS en envoyant des requêtes à ce serveur récursif. Les serveurs récursifs traitent les requêtes de toutes les adresses IP et renvoient des réponses. L’attaque falsifie les requêtes DNS qu’elle envoie en incluant l’adresse IP de la victime comme IP source dans la requête, de façon à ce que la requête comporte les informations de serveur de la victime plutôt que celles de l’attaquant. Par conséquent, lorsque le serveur de noms récursif reçoit les requêtes, toutes les réponses qu’il envoie convergent vers l’adresse IP de la victime. Le fort volume de trafic résultant de ce phénomène de réflexion peut mettre le site de la victime hors service. Les attaques DoS distribué par réflexion (DrDoS) combinent la réflexion et l’amplification, ce qui augmente considérablement la taille des requêtes initiales—et la probabilité de saturer le serveur de la victime. Paradoxalement, les extensions de sécurité DNS (DNSSEC), conçues pour sécuriser les réponses DNS par chiffrement et empêcher la pollution du cache, peuvent encore aggraver la situation car les signatures cryptographiques qu’utilisent les DNSSEC alourdissent les messages DNS. L’amplification peut atteindre un facteur 100, et les attaquants peuvent se servir de réseaux d’ordinateurs zombies, comptant souvent des milliers de serveurs, pour multiplier encore le nombre de requêtes envoyées. Il s’agit d’une menace particulièrement féroce et difficile à contrer. Il existe près de 33 millions de serveurs DNS récursifs ouverts2 et 28 millions d’entre eux n’étant soumis à aucun contrôle d’accès peuvent être utilisés dans des attaques DrDoS. 2 Se Internet rve urs s s ête e rpé réc urs ifs ou ve rts u us qu Re ets lifiés qu Pa amp s lété ref Attaquant Victime Figure 1 : Une attaque DoS distribué par réflexion Les attaques par saturation TCP/UDP/ICMP sont des attaques volumétriques mettant en jeu un nombre énorme de paquets pour épuiser la bande passante et les ressources d’un réseau. Elles exploitent les protocoles TCP (Transfer Control Protocol), UDP (User Datagram Protocol) et ICMP (Internet Control Message Protocol). Une attaque UDP flood consiste à envoyer le plus grand nombre de paquets UDP sur des ports aléatoires d’un serveur distant, qui recherche en vain les applications à l’écoute sur ces ports. Le serveur distant est alors forcé de renvoyer un grand nombre de paquets ICMP de type « Destination Unreachable » à l’attaquant pour lui indiquer que sa destination est injoignable. L’attaquant peut également falsifier l’adresse IP de retour pour que les réponses ne convergent pas vers ses serveurs. L’envoi de réponses épuise les ressources du serveur de la victime et finit par neutraliser complètement un réseau. Une attaque SYN flood TCP consiste à envoyer une succession de connexions TCP semi-ouvertes de façon à empêcher les serveurs de répondre aux autres requêtes des clients demandant d’ouvrir de nouvelles connexions. Cette attaque tire parti de la façon dont le TCP établit des connexions. À chaque fois qu’un client (un navigateur Web par exemple) tente d’ouvrir une connexion, les informations sont stockées sur le serveur. Comme cette opération utilise de la mémoire et des ressources du système d’exploitation, le nombre de connexions en cours est limité (inférieur à dix en principe). Le serveur envoie ensuite une réponse au client, qui renvoie un avis de réception pour finir d’établir la connexion. À ce moment-là, les ressources en attente sont libérées de façon à pouvoir accepter d’autres connexions. Au cours d’une attaque, le logiciel attaquant génère des paquets falsifiés qui se présentent au serveur sous la forme de nouvelles connexions valides. Ces paquets entrent dans la file d’attente, mais la connexion n’est jamais établie. Les fausses connexions restent en file d’attente jusqu’à expiration du délai. Le système attaqué ne peut gérer aucune nouvelle connexion pendant toute la durée de l’attaque. 3 LIVRE BLANC Êtes-vous prêt à contrecarrer les attaques DNS ? Une attaque ICMP passe par des équipements réseau comme les routeurs pour envoyer des messages d’erreur en cas d’indisponibilité du service demandé ou d’absence de réponse du serveur distant. Parmi les attaques ICMP, citons les ping floods, le ping de la mort et le smurfing. Les ping floods envoient rapidement des paquets ICMP sans attendre les réponses, saturant leurs victimes par le biais des paquets de réponse ICMP echo qu’elles renvoient. Les attaques de type ping de la mort consistent à envoyer des paquets ICMP surdimensionnés de façon fragmentée. Lorsque le serveur visé réassemble ces fragments, les paquets dépassent la taille maximale autorisée et finissent par faire plier le serveur en raison du dépassement de capacité des mémoires tampons. Les attaques Smurf consistent à falsifier les paquets ICMP en mettant comme adresse IP source celle de la victime, avant de les diffuser sur un réseau informatique. Tous les équipements du réseau répondent à ces paquets et les réponses convergeant vers le serveur de la victime finissent par le saturer. Les exploits DNS utilisent les bogues logiciels présents lors de l’implémentation (traitement et analyse) du protocole pour exploiter les vulnérabilités du logiciel du serveur DNS. En envoyant des paquets DNS mal formés au serveur DNS visé, l’attaquant l’empêche de répondre ou le neutralise totalement. La pollution du cache DNS consiste à insérer dans la requête DSN un enregistrement d’adresse faux pour un domaine Internet. Si le serveur DNS accepte l’enregistrement, il répond aux requêtes ultérieures en donnant l’adresse d’un serveur contrôlé par l’attaquant. Tant que l’entrée falsifiée reste dans le cache, les requêtes Web et les e-mails entrants sont renvoyés vers l’adresse de l’attaquant. Les nouvelles attaques de type pollution du cache comme le « paradoxe des anniversaires » utilisent la force brute, inondant simultanément le serveur de réponses et de requêtes DNS, dans l’espoir d’obtenir une correspondance pour l’une des réponses et de polluer la mémoire cache. Les anomalies de protocole envoient des paquets DNS mal formés (comprenant un en-tête et des valeurs de charge utile inattendus) au serveur visé, ce qui empêche le serveur de répondre ou le fait plier définitivement en provoquant une boucle infinie dans les threads du serveur. Ces attaques font souvent appel à l’usurpation d’identité. La reconnaissance consiste à essayer de récupérer des informations sur l’environnement réseau avant de lancer une attaque d’envergure de type DDoS ou autre. Les techniques utilisées à cet effet sont l’analyse des ports et la recherche des versions et des auteurs. Ces attaques laissent entrevoir des modèles de comportement anormaux qui, s’ils sont identifiés, peuvent constituer un signe précurseur. L’utilisation d’un tunnel DNS (DNS tunneling) consiste à transporter un autre protocole vers le port 53 en l’encapsulant dans le DNS (ce qui est autorisé si le parefeu est configuré de façon à transporter du trafic autre que DNS) dans le but d’exfiltrer des données. Une application de tunneling gratuite sous licence ISC, servant à transporter le trafic IPv4 à travers les serveurs DNS, est largement utilisée dans le cadre de ces attaques. Inadéquation des mesures de sécurité existantes Il existe sur le marché des solutions de sécurité qui prétendent garantir la protection du DNS, mais il n’en est rien. Dans la réalité, elles offrent des moyens de protection limités. La plupart d’entre elles sont des solutions externes qui sont « plaquées » après coup plutôt que conçues de A à Z pour sécuriser le DNS. Les solutions adoptent différentes approches : surdimensionnement, inspection approfondie des paquets, protection générique contre le DDoS, limitation du débit et services dans le cloud. 4 Approche 1 : Surdimensionnement. Des technologies comme les équilibreurs de charge permettent de répondre à une attaque DDos en augmentant la capacité du réseau dans l’espoir que l’attaque s’arrête à un moment donné. Cette approche ne saurait tenir tête à la croissance rapide de la taille des attaques DDoS. De plus, il n’est pas possible de l’utiliser pour surveiller le trafic DNS malveillant ou mal formé. Approche 2 : Inspection approfondie des paquets. Les pare-feu de nouvelle génération et les équipements IPS proposent une protection contre les vulnérabilités courantes et les attaques DDoS de base de couche 3. Toutefois, ils n’ont pas la capacité de détecter, ni de les atténuer, les anomalies de protocole spécifiques au DNS ou les attaques visant le DNS. Dans la mesure où ces équipements nécessitent une puissance de calcul extrêmement élevée pour détecter précisément les attaques DNS, l’inspection approfondie semble totalement inadaptée au vu des coûts et du nombre de points de distribution nécessaires. Approche 3 : Protection générique contre le DDoS. Ces solutions couvrent un large éventail d’attaques DDoS, mais elles ne permettent pas de comprendre comment s’articulent les attaques DNS. Approche 4 : Services dans le cloud. Les solutions cloud s’intéressent uniquement aux attaques volumétriques et n’offrent aucune protection contre les requêtes DNS mal formées ou d’autres types de menaces. Par ailleurs, elles suscitent l’inquiétude sur le plan de la confidentialité3, elles peuvent être contournées4 et elles peuvent entraîner des problèmes de latence. Approche 5 : Limitation du débit de réponse (RRL). La simple limitation du débit, sans analyse, est une solution « toute faite » qui certes définit un seuil, mais peut aussi rejeter le trafic légitime. Toutes les sources de trafic DNS n’ont pas les mêmes exigences. Par exemple, un serveur de mise en cache DNS en aval du réseau peut générer 100 fois plus de trafic de base qu’une source de bureau normale, et ce trafic peut être tout à fait légitime. Un serveur proxy HTTP ou de messagerie a affaire à une demande de trafic DNS supérieure. La simple limitation du débit entraîne trop de faux positifs. Les employés et les clients risquent de ne plus pouvoir accéder aux ressources au cours d’une attaque DDoS déterminée. Colmater les failles de sécurité du DNS en y intégrant des mécanismes de défense Infoblox Il n’existe actuellement qu’un seul moyen efficace de lutter contre les menaces DNS pesant sur la sécurité de votre réseau : protéger les serveurs DNS de l’intérieur. Avec une solide connaissance du protocole DNS, Infoblox peut vous aider en cela. De plus, nos serveurs répondent aux requêtes DNS. Infoblox Advanced DNS Protection constitue une solution complète pour contrer les attaques visant le DNS. Il distingue intelligemment le trafic légitime du trafic malveillant généré par les attaques. Il écarte automatiquement le trafic lié aux attaques pour ne répondre qu’aux requêtes légitimes. De plus, Advanced DNS Protection reçoit, via une mise à jour automatique, des règles élaborées à partir d’une analyse et d’une étude approfondies des menaces, ce qui permet de lutter en permanence contre les nouvelles menaces dès leur apparition. Les fonctionnalités de la solution sont décrites ci-dessous. 5 LIVRE BLANC Êtes-vous prêt à contrecarrer les attaques DNS ? Un serveur DNS fortifié : la meilleure protection contre les attaques ciblant le DNS Le boîtier Infoblox Advanced Appliance est un serveur DNS fortifié intégrant des mécanismes de sécurité. Vous pouvez le configurer en tant que serveur externe faisant autorité ou en tant que serveur DNS récursif pour vous protéger contre les attaques internes ou externes. Les boîtiers Advanced Appliance disposent de processeurs programmables de nouvelle génération fournissant une puissance de calcul dédiée à l’atténuation des menaces. Le serveur DNS est le mieux placé pour protéger le réseau contre les attaques DNS. Détection et prévention exceptionnelles Advanced DNS Protection surveille, détecte et rejette en continu les paquets générés par les attaques DNS (amplification, réflexion, attaques par saturation, exploits, tunnel DNS, pollution du cache et anomalies de protocole) tout en assurant la fiabilité des services DNS pour répondre au trafic légitime. Vous préservez ainsi le fonctionnement de vos services DNS critiques, même en cas d’attaque. Grâce à une mise à jour automatique, le système reçoit régulièrement de nouvelles règles élaborées à partir d’une analyse et d’une étude approfondie des menaces. La protection est ainsi assurée en permanence contre les nouvelles menaces visant le DNS dès leur apparition. Visibilité centralisée des attaques Grâce à des rapports détaillés, Advanced DNS Protection vous fournit une vue centralisée de tout comportement anormal sur votre réseau et vous informe sur les moyens d’action à mettre en œuvre. Ces rapports précisent le nombre d’événements par catégorie, par règle, par gravité et vous soumet une analyse des tendances des membres et une analyse de l’évolution dans le temps. Vous pouvez y accéder via le serveur Infoblox Reporting Server. Configuration selon vos besoins Chaque entreprise a des modèles de flux de trafic particuliers, qui varient en fonction de la saison, de l’heure de la journée ou de l’implantation géographique. Par exemple, un site de distribution en ligne peut s’attendre à des niveaux de trafic DNS bien supérieurs à ceux d’une petite banque pendant les fêtes de fin d’année ou à la période des soldes. Une limite de débit acceptable pour le site de distribution peut être considérée comme une limite de débit inhabituelle pour la banque. Advanced DNS Protection vous permet de personnaliser les seuils de trafic afin d’affiner le paramétrage de votre protection en fonction des modèles de flux de trafic DNS qui vous sont propres. Vous êtes ainsi en mesure de répondre au trafic légitime sans inquiétude tout en bloquant ou rejetant le trafic malveillant. Atouts d’Infoblox Advanced DNS Protection Aucune approche ne peut à elle seule vous protéger contre les nombreuses techniques utilisées pour exploiter les serveurs DNS, c’est pourquoi Infoblox Advanced DNS Protection combine tout un éventail de technologies. • Seuils de débit intelligents pour restreindre les attaques par saturation et DDoS ciblant le DNS, sans refuser le service aux utilisateurs légitimes. Les seuils de débit intelligents se basent sur la capacité d’Advanced DNS Protection à distinguer les différents types de requêtes et les débits qui y sont associés. Par exemple, un serveur de mise en cache DNS en aval du réseau peut générer 100 fois plus de trafic de base qu’une source de bureau normale, et ce trafic peut être tout à fait légitime. Un serveur proxy HTTP ou de messagerie a une demande de trafic DNS supérieure, ce qui est légitime. 6 LIVRE BLANC Êtes-vous prêt à contrecarrer les attaques DNS ? - Limitation de la bande passante par rapport à la source pour détecter les requête anormales par source et provoquer l’échec des méthodes de force brute. - Limitation de la bande passante par rapport à la destination pour détecter toute augmentation anormale du trafic par domaine ciblé. • Processeurs programmables de nouvelle génération pour filtrer très précisément le trafic et écarter le trafic malveillant pour ne répondre qu’aux requêtes légitimes. • Détection et signalement des activités de reconnaissance pour identifier et anticiper les attaques et permettre aux équipes réseau de s’y préparer avantmême leur lancement. • Analyse des paquets à la recherche d’exploits ciblant des vulnérabilités spécifiques pour intercepter certaines attaques avant qu’elles n’atteignent le logiciel DNS. • Visibilité et rapports centralisés pour permettre aux équipes réseau de reconnaître les attaques en cours dans les différentes parties du réseau. La solution vous donne une vue d’ensemble ainsi que des informations sur la portée et la gravité des attaques de façon à ce que vous puissiez prendre les mesures adéquates. • Protection permanente grâce aux mises à jour automatiques d’Infoblox pour qu’Advanced DNS Protection soit toujours capable de suivre l’évolution incessante des menaces. • Advanced DNS Protection est un serveur DNS qui ne traitera PAS le trafic malveillant, contrairement aux équipements adjoints qui n’ont aucune idée de ce qu’est le trafic DNS. Ensemble, ces techniques contribuent au même résultat : continuer à assurer des services DNS fiables, même en cas d’attaque. Est-il temps de colmater la faille de sécurité du DNS dans votre réseau ? Avec ce livre blanc, nous espérons vous avoir fait prendre conscience de la gravité de la vulnérabilité du DNS et vous avoir convaincu que l’état de votre réseau dépend probablement de la rapidité avec laquelle vous allez renforcer votre sécurité en instaurant une protection spécifique du DNS. Mieux vaut intégrer des mécanismes de sécurité au serveur que de lui adjoindre des solutions extérieures. Il n’y a pas de meilleur endroit pour se défendre contre les techniques exploitant le DNS qu’à l’intérieur-même des serveurs DNS qui constituent leur cible. Et la seule solution conçue dans ce sens est Infoblox Advanced DNS Protection. Contactez-nous dès aujourd’hui pour découvrir ce bouclier qui vous protège des menaces les plus dangereuses pesant sur votre réseau. À propos d’Infoblox Infoblox (NYSE:BLOX) aide les utilisateurs à mieux contrôler leurs réseaux. Avec les solutions Infoblox, les entreprises peuvent automatiser des fonctions de contrôle réseau complexes afin de réduire les coûts et d’accroître la sécurité et la disponibilité. Notre technologie permet la découverte automatique, la gestion des configurations et des changements en temps réel, ainsi que la mise en conformité de l’infrastructure réseau. Elle fournit des fonctions de contrôle réseau stratégiques (gestion des DNS, DHCP et adresses IP) pour les applications et les équipements d’extrémité. Les solutions Infoblox aident plus de 6 900 entreprises et fournisseurs de services dans 25 pays à contrôler leurs réseaux. 1 Prolexic Quarterly Global DDoS Attack Report (Rapport mondial trimestriel de Prolexic sur les attaques DDoS), 1er trimestre 2013 2 http://openresolverproject.org/ 3 http://www.renesys.com/2013/10/google-dns-departs-brazil-ahead-new-law/ 4 http://www.crn.com/news/security/240159295/cloud-based-ddos-protection-is-easily-bypassed-says-researcher.htm 7 LIVRE BLANC Êtes-vous prêt à contrecarrer les attaques DNS ? SIÈGE SOCIAL : SIÈGE FRANCE : 3111 Coronado Drive Regus Business Center Santa Clara 168 avenue charles de Gaulle California 95054 92522 Neuilly sur Seine USA France +1.408.986.4000 +33.1.70.37.53.05 +1.866.463.6256 [email protected] (sans frais pour les États-Unis et le Canada) www.infoblox.fr [email protected] www.infoblox.com © 2013 Infoblox Inc. Tous droits réservés. infoblox-whitepaper-prepare-withstand-DNS-attacks-Déc2013