Nouveaux usages des DNS et de la virtualisation

Nouveaux usages des DNS
et de la virtualisation
dans la sécurité
Philippe Bourcier
S00 - Philippe Bourcier
1
DNS : la clé des échanges réseau
Le protocole DNS, utilisé pour la résolution des noms d’hôtes en
adresses IP est aujourd’hui au cœur de votre
système d’information, que ce soit pour le ou
les domaines utilisateurs (type Active Directory)
et quasiment tout autre échange ayant lieu sur
un réseau d’entreprise comme sur Internet…
On peut distinguer deux types de résolutions DNS :
La résolution INTERNE : domaines DNS de votre LAN/WAN
La résolution INTERNET : tous les domaines DNS
disponibles sur Internet (pour le web, la messagerie, les
partenaires, etc.)
S00 - Philippe Bourcier
2
DNS : de l’importance de sa maîtrise
Limiter la résolution DNS des domaines externes (Internet)
aux proxys et autres passerelles est une mesure de
sécurisation du réseau à plusieurs titres :
Tunnels DNS sur Internet impossibles
Propagation et contrôle à distance des vers et trojans limitée
Possibilité de détection des anomalies
Un problème se pose alors : comment
donner aux utilisateurs du LAN un accès
aux protocoles non-standard (HTTP/… sur
ports spécifique) ou non-proxifiables (RTC,
IPSEC…) vers Internet ?
De multiples règles de filtrage et d’accès ?
Un ADSL Pirate ?
S00 - Philippe Bourcier
3
Une solution… la « médiation »
Définition : Une plate-forme de médiation permet d’accéder
en toute sécurité a divers services externes depuis le réseau
interne (à travers des machines virtuelles) sans
interconnexion directe des réseaux. La médiation permet une
gestion fine, sécurisée et maitrisée des exceptions d’accès aux
réseaux externes.
Usages : VPN partenaires, serveurs et applications externes
sur ports non-standard, connexions RTC/RNIS/IPv6/framerelay, plates-formes de services mutualisés…
S00 - Philippe Bourcier
4
La plate-forme de médiation : en images…
S00 - Philippe Bourcier
5
Requêtes DNS rejetées = opportunité
Les requêtes DNS de résolution Internet filtrées par défaut, ne
doivent plus être considérées comme un « bruit de fond ». Il
faut en fait les considérer comme une source d’information utile
sur la santé de votre réseau.
Il suffit de rediriger les requêtes n’étant pas destinées aux
domaines locaux vers un serveur « Fake » DNS pour pouvoir
les logger et les analyser. Le Fake DNS devient alors un nouvel
outil de détection d’anomalies de sécurité et système simple.
S00 - Philippe Bourcier
6
« Fake DNS » : analyse des flux DNS et IP
Scénario d’une
Requête DNS
classique suivie
d’un flux IP à
destination du
réseau interne
S00 - Philippe Bourcier
Pour aller plus loin
dans l’analyse des
flux « parasites »,
il est aussi possible
de coupler une sonde
réseau ou un
honeypot aux logs
des requêtes DNS.
7
« Fake DNS » : analyse des flux DNS et IP
Scénario d’une
Requête DNS
« suspecte » suivie
d’un flux IP à
destination d’un
outil d’analyse
de flux
S00 - Philippe Bourcier
8
Conclusion
Si votre réseau permet aujourd’hui la résolution DNS Internet
aux postes de travail, la mise en place d’une plate-forme de
médiation et le filtrage de cette résolution DNS vous permettra
de mieux contrôler la sécurité de votre réseau tout en offrant
des services sécurisés d’accès aux réseaux externes.
La mise en place de solutions de journalisation des flux DNS
et IP « suspects » permet d’améliorer simplement la détection
d’anomalies sur le réseau d’entreprise et ceci de façon
permanente et flexible (architecture centralisée ou non).
S00 - Philippe Bourcier
9
Questions ?
Commentaires ?
[email protected]
S00 - Philippe Bourcier
10