Nouveaux usages des DNS et de la virtualisation
Transcription
Nouveaux usages des DNS et de la virtualisation
Nouveaux usages des DNS et de la virtualisation dans la sécurité Philippe Bourcier S00 - Philippe Bourcier 1 DNS : la clé des échanges réseau Le protocole DNS, utilisé pour la résolution des noms d’hôtes en adresses IP est aujourd’hui au cœur de votre système d’information, que ce soit pour le ou les domaines utilisateurs (type Active Directory) et quasiment tout autre échange ayant lieu sur un réseau d’entreprise comme sur Internet… On peut distinguer deux types de résolutions DNS : La résolution INTERNE : domaines DNS de votre LAN/WAN La résolution INTERNET : tous les domaines DNS disponibles sur Internet (pour le web, la messagerie, les partenaires, etc.) S00 - Philippe Bourcier 2 DNS : de l’importance de sa maîtrise Limiter la résolution DNS des domaines externes (Internet) aux proxys et autres passerelles est une mesure de sécurisation du réseau à plusieurs titres : Tunnels DNS sur Internet impossibles Propagation et contrôle à distance des vers et trojans limitée Possibilité de détection des anomalies Un problème se pose alors : comment donner aux utilisateurs du LAN un accès aux protocoles non-standard (HTTP/… sur ports spécifique) ou non-proxifiables (RTC, IPSEC…) vers Internet ? De multiples règles de filtrage et d’accès ? Un ADSL Pirate ? S00 - Philippe Bourcier 3 Une solution… la « médiation » Définition : Une plate-forme de médiation permet d’accéder en toute sécurité a divers services externes depuis le réseau interne (à travers des machines virtuelles) sans interconnexion directe des réseaux. La médiation permet une gestion fine, sécurisée et maitrisée des exceptions d’accès aux réseaux externes. Usages : VPN partenaires, serveurs et applications externes sur ports non-standard, connexions RTC/RNIS/IPv6/framerelay, plates-formes de services mutualisés… S00 - Philippe Bourcier 4 La plate-forme de médiation : en images… S00 - Philippe Bourcier 5 Requêtes DNS rejetées = opportunité Les requêtes DNS de résolution Internet filtrées par défaut, ne doivent plus être considérées comme un « bruit de fond ». Il faut en fait les considérer comme une source d’information utile sur la santé de votre réseau. Il suffit de rediriger les requêtes n’étant pas destinées aux domaines locaux vers un serveur « Fake » DNS pour pouvoir les logger et les analyser. Le Fake DNS devient alors un nouvel outil de détection d’anomalies de sécurité et système simple. S00 - Philippe Bourcier 6 « Fake DNS » : analyse des flux DNS et IP Scénario d’une Requête DNS classique suivie d’un flux IP à destination du réseau interne S00 - Philippe Bourcier Pour aller plus loin dans l’analyse des flux « parasites », il est aussi possible de coupler une sonde réseau ou un honeypot aux logs des requêtes DNS. 7 « Fake DNS » : analyse des flux DNS et IP Scénario d’une Requête DNS « suspecte » suivie d’un flux IP à destination d’un outil d’analyse de flux S00 - Philippe Bourcier 8 Conclusion Si votre réseau permet aujourd’hui la résolution DNS Internet aux postes de travail, la mise en place d’une plate-forme de médiation et le filtrage de cette résolution DNS vous permettra de mieux contrôler la sécurité de votre réseau tout en offrant des services sécurisés d’accès aux réseaux externes. La mise en place de solutions de journalisation des flux DNS et IP « suspects » permet d’améliorer simplement la détection d’anomalies sur le réseau d’entreprise et ceci de façon permanente et flexible (architecture centralisée ou non). S00 - Philippe Bourcier 9 Questions ? Commentaires ? [email protected] S00 - Philippe Bourcier 10