Êtes-vous prêt à contrecarrer les attaques DNS

LIVRE BLANC
Êtes-vous prêt à contrecarrer
les attaques DNS ?
Fortifier l’infrastructure DNS critique
Êtes-vous prêt à contrecarrer les attaques DNS ?
Fortifier l’infrastructure DNS critique
Depuis le premier trimestre 2012, le nombre d’attaques visant l’infrastructure par le
biais du DNS (Domain Name System) a augmenté de 200 %1. Pourquoi ? En raison
de sa nature-même, le DNS est facile à exploiter.
• La plupart des pare-feu d’entreprise sont configurés pour autoriser le trafic sur
le port 53 vers le service DNS, ce qui donne aux attaquants un moyen simple
d’échapper aux systèmes de défense existants.
• Comme les requêtes DNS sont asymétriques, elles peuvent aboutir à une
réponse d’une taille bien supérieure à celle de la requête, ce qui signifie que votre
système DNS lui-même peut servir à amplifier une attaque. Les pirates peuvent
envoyer un seul paquet de données et déclencher une activité intense amplifiée
plusieurs fois, ce qui finit par paralyser votre entreprise.
• Les attaquants peuvent facilement dissimuler leurs identités car le protocole DNS
est sans état.
Les grands services informatiques et les fournisseurs de services n’ont pas d’autre
choix que de contourner ces faiblesses car, à l’époque d’Internet, les services DNS
sont au cœur de toutes les activités stratégiques des entreprises d’aujourd’hui. Sans
service DNS opérationnel, les smartphones ne fonctionnent pas, une entreprise ne
peut pas travailler en ligne, les équipes ne peuvent pas communiquer efficacement,
la productivité s’effondre, la satisfaction client décline, les revenus chutent et la
réputation de l’entreprise est compromise.
Ce livre blanc explique comment résoudre ces problèmes et écarter les menaces
ciblant le DNS. Il décrit le fonctionnement du protocole DNS, répertorie les divers
types d’attaques DNS pour vous donner une idée claire de l’ampleur de la menace
et présente en détail la meilleure solution disponible : Infoblox Advanced DNS
Protection, le premier boîtier DNS qui se protège lui-même pour colmater la faille
de sécurité globale du réseau.
Fonctionnement et action du DNS
Avant d’aborder les menaces et leur prévention, passons en revue les principes de
base du DNS. Le système DNS est le carnet d’adresses de toutes les destinations
sur Internet, où chaque nom de domaine comme infoblox.com est traduit en adresse
IP, de type 54.235.223.101. C’est donc le DNS qui détermine si les communications et
les requêtes parviennent aux bonnes adresses. Pour mener leurs activités en ligne,
les entreprises et les fournisseurs de services ont absolument besoin d’un service
DNS fiable et rapide pour leur trafic entrant et sortant. Les communications avec les
fournisseurs, les clients et les sites de l’entreprise s’échangent via e-mail, sites Web
et transfert de fichiers HTTP. Le traitement DNS s’accompagne d’un effet secondaire
non négligeable : les serveurs DNS sont ouverts à tous, un peu comme les portes
d’un centre commercial qui laissent entrer aussi bien les voleurs à l’étalage que
les clients.
Il existe deux types de serveurs de noms DNS : les serveurs faisant autorité et les
serveurs récursifs.
1
LIVRE BLANC
Êtes-vous prêt à contrecarrer les attaques DNS ?
• Les serveurs DNS faisant autorité sont le point d’entrée vers les services d’une
entreprise. Ils ne répondent qu’aux requêtes concernant les noms de domaine
pour lesquels ils ont été configurés ou correspondant à un ensemble de zones
spécifique. Les serveurs DNS qui se connectent à Internet sont généralement
configurés en mode faisant autorité. Ce sont eux qui font l’objet d’attaques
externes comme l’amplification, la réflexion et les exploits.
• Les serveurs DNS récursifs, également appelés « serveurs de mise en cache »
répondent aux requêtes en interrogeant d’autres serveurs de noms. Il leur
arrive d’aller chercher les réponses dans une mémoire cache, d’où leur autre
appellation. Si un serveur récursif ne trouve pas la réponse dont il a besoin dans
la mémoire cache, il explore l’arborescence de l’espace de noms en répétant la
requête, selon les références des serveurs faisant autorité, jusqu’à ce qu’il trouve
un serveur de noms capable de lui donner la réponse. Autrement dit, les serveurs
de noms récursifs dépendent des serveurs de noms faisant autorité. Les serveurs
de noms récursifs sont généralement déployés en interne pour fournir des
services aux utilisateurs internes. Ils sont vulnérables aux attaques provenant
des utilisateurs situés à l’intérieur de l’entreprise.
Principales menaces visant le DNS
Le nombre de menaces potentielles au moment de l’écriture de ce livre blanc est
véritablement alarmant. Nous les avons répertoriées ici et nous vous les décrivons
brièvement.
Les attaques directes par amplification du DNS ont pour but de saturer la bande
passante sortante du serveur DNS. Elles consistent à envoyer un grand nombre
de requêtes DNS, spécifiquement conçues pour donner lieu à des réponses très
volumineuses pouvant atteindre jusqu’à 70 fois la taille de la requête. Comme le
DNS repose sur le protocole UDP (User Datagram Protocol), l’attaquant peut utiliser
un petit volume du trafic sortant pour forcer le serveur DNS à générer un volume
bien supérieur, ce qui aboutit à la saturation du flux de téléchargement en amont
du serveur DNS et, pour finir, à un déni de service (DoS).
Les attaques par réflexion utilisent un serveur DNS tiers (généralement un serveur
de noms récursif ouvert) sur Internet pour propager une attaque DoS ou DDoS
en envoyant des requêtes à ce serveur récursif. Les serveurs récursifs traitent les
requêtes de toutes les adresses IP et renvoient des réponses. L’attaque falsifie les
requêtes DNS qu’elle envoie en incluant l’adresse IP de la victime comme IP source
dans la requête, de façon à ce que la requête comporte les informations de serveur
de la victime plutôt que celles de l’attaquant. Par conséquent, lorsque le serveur de
noms récursif reçoit les requêtes, toutes les réponses qu’il envoie convergent vers
l’adresse IP de la victime. Le fort volume de trafic résultant de ce phénomène de
réflexion peut mettre le site de la victime hors service.
Les attaques DoS distribué par réflexion (DrDoS) combinent la réflexion et
l’amplification, ce qui augmente considérablement la taille des requêtes initiales—et
la probabilité de saturer le serveur de la victime. Paradoxalement, les extensions de
sécurité DNS (DNSSEC), conçues pour sécuriser les réponses DNS par chiffrement
et empêcher la pollution du cache, peuvent encore aggraver la situation car les
signatures cryptographiques qu’utilisent les DNSSEC alourdissent les messages
DNS. L’amplification peut atteindre un facteur 100, et les attaquants peuvent se servir
de réseaux d’ordinateurs zombies, comptant souvent des milliers de serveurs, pour
multiplier encore le nombre de requêtes envoyées.
Il s’agit d’une menace particulièrement féroce et difficile à contrer. Il existe près de
33 millions de serveurs DNS récursifs ouverts2 et 28 millions d’entre eux n’étant
soumis à aucun contrôle d’accès peuvent être utilisés dans des attaques DrDoS.
2
Se
Internet
rve
urs
s
s
ête
e
rpé
réc
urs
ifs
ou
ve
rts
u
us
qu
Re
ets lifiés
qu
Pa amp
s
lété
ref
Attaquant
Victime
Figure 1 : Une attaque DoS distribué par réflexion
Les attaques par saturation TCP/UDP/ICMP sont des attaques volumétriques
mettant en jeu un nombre énorme de paquets pour épuiser la bande passante et les
ressources d’un réseau. Elles exploitent les protocoles TCP (Transfer Control Protocol),
UDP (User Datagram Protocol) et ICMP (Internet Control Message Protocol).
Une attaque UDP flood consiste à envoyer le plus grand nombre de paquets UDP
sur des ports aléatoires d’un serveur distant, qui recherche en vain les applications à
l’écoute sur ces ports. Le serveur distant est alors forcé de renvoyer un grand nombre
de paquets ICMP de type « Destination Unreachable » à l’attaquant pour lui indiquer
que sa destination est injoignable. L’attaquant peut également falsifier l’adresse
IP de retour pour que les réponses ne convergent pas vers ses serveurs. L’envoi
de réponses épuise les ressources du serveur de la victime et finit par neutraliser
complètement un réseau.
Une attaque SYN flood TCP consiste à envoyer une succession de connexions TCP
semi-ouvertes de façon à empêcher les serveurs de répondre aux autres requêtes
des clients demandant d’ouvrir de nouvelles connexions. Cette attaque tire parti de la
façon dont le TCP établit des connexions. À chaque fois qu’un client (un navigateur
Web par exemple) tente d’ouvrir une connexion, les informations sont stockées
sur le serveur. Comme cette opération utilise de la mémoire et des ressources du
système d’exploitation, le nombre de connexions en cours est limité (inférieur à dix
en principe). Le serveur envoie ensuite une réponse au client, qui renvoie un avis de
réception pour finir d’établir la connexion. À ce moment-là, les ressources en attente
sont libérées de façon à pouvoir accepter d’autres connexions.
Au cours d’une attaque, le logiciel attaquant génère des paquets falsifiés qui se
présentent au serveur sous la forme de nouvelles connexions valides. Ces paquets
entrent dans la file d’attente, mais la connexion n’est jamais établie. Les fausses
connexions restent en file d’attente jusqu’à expiration du délai. Le système attaqué
ne peut gérer aucune nouvelle connexion pendant toute la durée de l’attaque.
3
LIVRE BLANC
Êtes-vous prêt à contrecarrer les attaques DNS ?
Une attaque ICMP passe par des équipements réseau comme les routeurs pour
envoyer des messages d’erreur en cas d’indisponibilité du service demandé ou
d’absence de réponse du serveur distant. Parmi les attaques ICMP, citons les ping
floods, le ping de la mort et le smurfing.
Les ping floods envoient rapidement des paquets ICMP sans attendre les réponses,
saturant leurs victimes par le biais des paquets de réponse ICMP echo qu’elles
renvoient.
Les attaques de type ping de la mort consistent à envoyer des paquets ICMP
surdimensionnés de façon fragmentée. Lorsque le serveur visé réassemble ces
fragments, les paquets dépassent la taille maximale autorisée et finissent par faire
plier le serveur en raison du dépassement de capacité des mémoires tampons.
Les attaques Smurf consistent à falsifier les paquets ICMP en mettant comme
adresse IP source celle de la victime, avant de les diffuser sur un réseau
informatique. Tous les équipements du réseau répondent à ces paquets et les
réponses convergeant vers le serveur de la victime finissent par le saturer.
Les exploits DNS utilisent les bogues logiciels présents lors de l’implémentation
(traitement et analyse) du protocole pour exploiter les vulnérabilités du logiciel du
serveur DNS. En envoyant des paquets DNS mal formés au serveur DNS visé,
l’attaquant l’empêche de répondre ou le neutralise totalement.
La pollution du cache DNS consiste à insérer dans la requête DSN un
enregistrement d’adresse faux pour un domaine Internet. Si le serveur DNS accepte
l’enregistrement, il répond aux requêtes ultérieures en donnant l’adresse d’un serveur
contrôlé par l’attaquant. Tant que l’entrée falsifiée reste dans le cache, les requêtes
Web et les e-mails entrants sont renvoyés vers l’adresse de l’attaquant. Les nouvelles
attaques de type pollution du cache comme le « paradoxe des anniversaires »
utilisent la force brute, inondant simultanément le serveur de réponses et de requêtes
DNS, dans l’espoir d’obtenir une correspondance pour l’une des réponses et de
polluer la mémoire cache.
Les anomalies de protocole envoient des paquets DNS mal formés (comprenant
un en-tête et des valeurs de charge utile inattendus) au serveur visé, ce qui empêche
le serveur de répondre ou le fait plier définitivement en provoquant une boucle infinie
dans les threads du serveur. Ces attaques font souvent appel à l’usurpation d’identité.
La reconnaissance consiste à essayer de récupérer des informations sur
l’environnement réseau avant de lancer une attaque d’envergure de type DDoS ou
autre. Les techniques utilisées à cet effet sont l’analyse des ports et la recherche
des versions et des auteurs. Ces attaques laissent entrevoir des modèles de
comportement anormaux qui, s’ils sont identifiés, peuvent constituer un signe
précurseur.
L’utilisation d’un tunnel DNS (DNS tunneling) consiste à transporter un autre
protocole vers le port 53 en l’encapsulant dans le DNS (ce qui est autorisé si le parefeu est configuré de façon à transporter du trafic autre que DNS) dans le but d’exfiltrer
des données. Une application de tunneling gratuite sous licence ISC, servant à
transporter le trafic IPv4 à travers les serveurs DNS, est largement utilisée dans le
cadre de ces attaques.
Inadéquation des mesures de sécurité existantes
Il existe sur le marché des solutions de sécurité qui prétendent garantir la protection
du DNS, mais il n’en est rien. Dans la réalité, elles offrent des moyens de protection
limités. La plupart d’entre elles sont des solutions externes qui sont « plaquées »
après coup plutôt que conçues de A à Z pour sécuriser le DNS. Les solutions
adoptent différentes approches : surdimensionnement, inspection approfondie des
paquets, protection générique contre le DDoS, limitation du débit et services dans
le cloud.
4
Approche 1 : Surdimensionnement.
Des technologies comme les équilibreurs de charge permettent de répondre à une
attaque DDos en augmentant la capacité du réseau dans l’espoir que l’attaque
s’arrête à un moment donné. Cette approche ne saurait tenir tête à la croissance
rapide de la taille des attaques DDoS. De plus, il n’est pas possible de l’utiliser pour
surveiller le trafic DNS malveillant ou mal formé.
Approche 2 : Inspection approfondie des paquets.
Les pare-feu de nouvelle génération et les équipements IPS proposent une protection
contre les vulnérabilités courantes et les attaques DDoS de base de couche 3.
Toutefois, ils n’ont pas la capacité de détecter, ni de les atténuer, les anomalies de
protocole spécifiques au DNS ou les attaques visant le DNS. Dans la mesure où ces
équipements nécessitent une puissance de calcul extrêmement élevée pour détecter
précisément les attaques DNS, l’inspection approfondie semble totalement inadaptée
au vu des coûts et du nombre de points de distribution nécessaires.
Approche 3 : Protection générique contre le DDoS.
Ces solutions couvrent un large éventail d’attaques DDoS, mais elles ne permettent
pas de comprendre comment s’articulent les attaques DNS.
Approche 4 : Services dans le cloud.
Les solutions cloud s’intéressent uniquement aux attaques volumétriques et n’offrent
aucune protection contre les requêtes DNS mal formées ou d’autres types de
menaces. Par ailleurs, elles suscitent l’inquiétude sur le plan de la confidentialité3,
elles peuvent être contournées4 et elles peuvent entraîner des problèmes de latence.
Approche 5 : Limitation du débit de réponse (RRL).
La simple limitation du débit, sans analyse, est une solution « toute faite » qui certes
définit un seuil, mais peut aussi rejeter le trafic légitime. Toutes les sources de trafic
DNS n’ont pas les mêmes exigences. Par exemple, un serveur de mise en cache
DNS en aval du réseau peut générer 100 fois plus de trafic de base qu’une source de
bureau normale, et ce trafic peut être tout à fait légitime. Un serveur proxy HTTP ou
de messagerie a affaire à une demande de trafic DNS supérieure. La simple limitation
du débit entraîne trop de faux positifs. Les employés et les clients risquent de ne plus
pouvoir accéder aux ressources au cours d’une attaque DDoS déterminée.
Colmater les failles de sécurité du DNS en y intégrant des
mécanismes de défense Infoblox
Il n’existe actuellement qu’un seul moyen efficace de lutter contre les menaces DNS
pesant sur la sécurité de votre réseau : protéger les serveurs DNS de l’intérieur. Avec
une solide connaissance du protocole DNS, Infoblox peut vous aider en cela. De plus,
nos serveurs répondent aux requêtes DNS.
Infoblox Advanced DNS Protection constitue une solution complète pour contrer les
attaques visant le DNS. Il distingue intelligemment le trafic légitime du trafic malveillant
généré par les attaques. Il écarte automatiquement le trafic lié aux attaques pour ne
répondre qu’aux requêtes légitimes. De plus, Advanced DNS Protection reçoit, via une
mise à jour automatique, des règles élaborées à partir d’une analyse et d’une étude
approfondies des menaces, ce qui permet de lutter en permanence contre les nouvelles
menaces dès leur apparition. Les fonctionnalités de la solution sont décrites ci-dessous.
5
LIVRE BLANC
Êtes-vous prêt à contrecarrer les attaques DNS ?
Un serveur DNS fortifié : la meilleure protection contre les attaques
ciblant le DNS
Le boîtier Infoblox Advanced Appliance est un serveur DNS fortifié intégrant des
mécanismes de sécurité. Vous pouvez le configurer en tant que serveur externe
faisant autorité ou en tant que serveur DNS récursif pour vous protéger contre
les attaques internes ou externes. Les boîtiers Advanced Appliance disposent de
processeurs programmables de nouvelle génération fournissant une puissance de
calcul dédiée à l’atténuation des menaces. Le serveur DNS est le mieux placé pour
protéger le réseau contre les attaques DNS.
Détection et prévention exceptionnelles
Advanced DNS Protection surveille, détecte et rejette en continu les paquets générés
par les attaques DNS (amplification, réflexion, attaques par saturation, exploits, tunnel
DNS, pollution du cache et anomalies de protocole) tout en assurant la fiabilité des
services DNS pour répondre au trafic légitime. Vous préservez ainsi le fonctionnement
de vos services DNS critiques, même en cas d’attaque. Grâce à une mise à jour
automatique, le système reçoit régulièrement de nouvelles règles élaborées à partir
d’une analyse et d’une étude approfondie des menaces. La protection est ainsi assurée
en permanence contre les nouvelles menaces visant le DNS dès leur apparition.
Visibilité centralisée des attaques
Grâce à des rapports détaillés, Advanced DNS Protection vous fournit une vue
centralisée de tout comportement anormal sur votre réseau et vous informe sur les
moyens d’action à mettre en œuvre. Ces rapports précisent le nombre d’événements
par catégorie, par règle, par gravité et vous soumet une analyse des tendances des
membres et une analyse de l’évolution dans le temps. Vous pouvez y accéder via le
serveur Infoblox Reporting Server.
Configuration selon vos besoins
Chaque entreprise a des modèles de flux de trafic particuliers, qui varient en
fonction de la saison, de l’heure de la journée ou de l’implantation géographique. Par
exemple, un site de distribution en ligne peut s’attendre à des niveaux de trafic DNS
bien supérieurs à ceux d’une petite banque pendant les fêtes de fin d’année ou à la
période des soldes. Une limite de débit acceptable pour le site de distribution peut
être considérée comme une limite de débit inhabituelle pour la banque. Advanced
DNS Protection vous permet de personnaliser les seuils de trafic afin d’affiner le
paramétrage de votre protection en fonction des modèles de flux de trafic DNS qui
vous sont propres. Vous êtes ainsi en mesure de répondre au trafic légitime sans
inquiétude tout en bloquant ou rejetant le trafic malveillant.
Atouts d’Infoblox Advanced DNS Protection
Aucune approche ne peut à elle seule vous protéger contre les nombreuses
techniques utilisées pour exploiter les serveurs DNS, c’est pourquoi Infoblox
Advanced DNS Protection combine tout un éventail de technologies.
• Seuils de débit intelligents pour restreindre les attaques par saturation et DDoS
ciblant le DNS, sans refuser le service aux utilisateurs légitimes. Les seuils de
débit intelligents se basent sur la capacité d’Advanced DNS Protection à distinguer
les différents types de requêtes et les débits qui y sont associés. Par exemple, un
serveur de mise en cache DNS en aval du réseau peut générer 100 fois plus de
trafic de base qu’une source de bureau normale, et ce trafic peut être tout à fait
légitime. Un serveur proxy HTTP ou de messagerie a une demande de trafic DNS
supérieure, ce qui est légitime.
6
LIVRE BLANC
Êtes-vous prêt à contrecarrer les attaques DNS ?
- Limitation de la bande passante par rapport à la source pour détecter les
requête anormales par source et provoquer l’échec des méthodes de force brute.
- Limitation de la bande passante par rapport à la destination pour détecter
toute augmentation anormale du trafic par domaine ciblé.
• Processeurs programmables de nouvelle génération pour filtrer très
précisément le trafic et écarter le trafic malveillant pour ne répondre qu’aux
requêtes légitimes.
• Détection et signalement des activités de reconnaissance pour identifier et
anticiper les attaques et permettre aux équipes réseau de s’y préparer avantmême leur lancement.
• Analyse des paquets à la recherche d’exploits ciblant des vulnérabilités
spécifiques pour intercepter certaines attaques avant qu’elles n’atteignent le
logiciel DNS.
• Visibilité et rapports centralisés pour permettre aux équipes réseau de
reconnaître les attaques en cours dans les différentes parties du réseau. La solution
vous donne une vue d’ensemble ainsi que des informations sur la portée et la gravité
des attaques de façon à ce que vous puissiez prendre les mesures adéquates.
• Protection permanente grâce aux mises à jour automatiques d’Infoblox pour
qu’Advanced DNS Protection soit toujours capable de suivre l’évolution incessante
des menaces.
• Advanced DNS Protection est un serveur DNS qui ne traitera PAS le trafic
malveillant, contrairement aux équipements adjoints qui n’ont aucune idée de ce
qu’est le trafic DNS.
Ensemble, ces techniques contribuent au même résultat : continuer à assurer des
services DNS fiables, même en cas d’attaque.
Est-il temps de colmater la faille de sécurité du DNS dans
votre réseau ?
Avec ce livre blanc, nous espérons vous avoir fait prendre conscience de la gravité
de la vulnérabilité du DNS et vous avoir convaincu que l’état de votre réseau dépend
probablement de la rapidité avec laquelle vous allez renforcer votre sécurité en
instaurant une protection spécifique du DNS.
Mieux vaut intégrer des mécanismes de sécurité au serveur que de lui adjoindre
des solutions extérieures. Il n’y a pas de meilleur endroit pour se défendre contre les
techniques exploitant le DNS qu’à l’intérieur-même des serveurs DNS qui constituent
leur cible. Et la seule solution conçue dans ce sens est Infoblox Advanced DNS
Protection. Contactez-nous dès aujourd’hui pour découvrir ce bouclier qui vous
protège des menaces les plus dangereuses pesant sur votre réseau.
À propos d’Infoblox
Infoblox (NYSE:BLOX) aide les utilisateurs à mieux contrôler leurs réseaux. Avec
les solutions Infoblox, les entreprises peuvent automatiser des fonctions de contrôle
réseau complexes afin de réduire les coûts et d’accroître la sécurité et la disponibilité.
Notre technologie permet la découverte automatique, la gestion des configurations
et des changements en temps réel, ainsi que la mise en conformité de l’infrastructure
réseau. Elle fournit des fonctions de contrôle réseau stratégiques (gestion des DNS,
DHCP et adresses IP) pour les applications et les équipements d’extrémité. Les
solutions Infoblox aident plus de 6 900 entreprises et fournisseurs de services dans
25 pays à contrôler leurs réseaux.
1 Prolexic Quarterly Global DDoS Attack Report (Rapport mondial trimestriel de Prolexic sur les attaques DDoS),
1er trimestre 2013
2 http://openresolverproject.org/
3 http://www.renesys.com/2013/10/google-dns-departs-brazil-ahead-new-law/
4 http://www.crn.com/news/security/240159295/cloud-based-ddos-protection-is-easily-bypassed-says-researcher.htm
7
LIVRE BLANC
Êtes-vous prêt à contrecarrer les attaques DNS ?
SIÈGE SOCIAL :
SIÈGE FRANCE :
3111 Coronado Drive
Regus Business Center
Santa Clara
168 avenue charles de Gaulle
California 95054
92522 Neuilly sur Seine
USA
France
+1.408.986.4000
+33.1.70.37.53.05
+1.866.463.6256
[email protected]
(sans frais pour les États-Unis et le Canada)
www.infoblox.fr
[email protected]
www.infoblox.com
© 2013 Infoblox Inc. Tous droits réservés. infoblox-whitepaper-prepare-withstand-DNS-attacks-Déc2013