Problèmes de sécurité courants du DNS

Le système de noms de domaine (DNS) est un composant essentiel d’Internet. Son rôle est de convertir les noms de domaine en adresses IP utilisées pour acheminer le trafic réseau vers la destination prévue. Le rôle vital du DNS et son absence de sécurité intégrée par défaut en font une cible courante pour les cybercriminels. Les attaquants peuvent cibler le DNS avec des attaques par déni de service (DoS) pour rendre les sites inaccessibles ou exploiter les failles de sécurité du DNS pour atteindre leurs propres objectifs.

Comprendre le DNS et ses défis de sécurité

Les adresses IP que les ordinateurs utilisent pour s’identifier les uns les autres sont difficiles à mémoriser, c’est pourquoi les noms de domaine existent. Le rôle du DNS est de convertir un nom de domaine mémorable, comme catonetworks.com, en une adresse IP, comme 45.60.110.90.

Le DNS est l’un des protocoles fondamentaux d’Internet, développé avant que la sécurité ne soit une préoccupation pressante. Pour cette raison, les requêtes et réponses DNS manquent de cryptage et d’authentification par défaut. Le rôle important du DNS et son absence de cryptage et d’authentification en font une cible privilégiée pour les attaquants. Puisque l’ensemble d’Internet utilise et fait confiance au DNS, une attaque l’exploitant peut avoir des répercussions significatives.

Menaces courantes de sécurité du DNS

Les attaques sur le DNS constituent une menace de sécurité réseau courante en raison de son rôle vital et de sa sécurité faible. Certaines des menaces de sécurité les plus courantes associées au DNS incluent les suivantes :

Empoisonnement du cache DNS

Les résolveurs DNS mettent couramment en cache les enregistrements DNS fréquemment consultés, améliorant la vitesse et réduisant la charge sur les serveurs DNS. Dans une attaque par empoisonnement du cache DNS, l’attaquant profite de l’absence de cryptage et d’authentification du DNS pour injecter de fausses entrées DNS dans le cache d’un résolveur. En conséquence, les utilisateurs demandant ces enregistrements DNS recevront une adresse IP spécifiée par l’attaquant, les redirigeant vers un site malveillant.

Usurpation DNS

Le spoofing DNS est une large catégorie d’attaques DNS qui inclut le empoisonnement du cache DNS. Dans une attaque de spoofing DNS, l’attaquant se fait passer pour un serveur DNS et modifie les enregistrements DNS dans le but de rediriger le trafic.

Détournement DNS

Le détournement DNS est une classe générale d’attaques qui consiste à rediriger les utilisateurs vers un site malveillant en modifiant la manière dont les requêtes DNS sont résolues. Le spoofing et l’empoisonnement du cache sont des types spécifiques d’attaques de détournement, mais un attaquant peut également manipuler les résolutions DNS via des logiciels malveillants, des routeurs compromis et d’autres moyens.

Attaques d’amplification DNS

Les attaques d’amplification DNS sont un type d’attaque DoS qui tire parti des résolveurs DNS ouverts et du fait que les réponses DNS sont (souvent significativement) plus grandes que la requête associée. Dans une attaque d’amplification DNS, l’attaquant envoie une requête DNS à un résolveur ouvert avec l’adresse IP source définie sur celle de la cible. Cela amène le résolveur à envoyer la réponse à la cible prévue, qui reçoit beaucoup plus de données que ce que l’attaquant a envoyé. Avec de nombreux résolveurs ouverts et des enregistrements DNS avec des réponses beaucoup plus grandes que les requêtes, un attaquant peut lancer une attaque DoS à grande échelle tout en utilisant seulement une fraction de la bande passante du système cible.

Enregistrements DNS pendants

Les enregistrements DNS pendants existent lorsqu’une organisation a enregistré un domaine avec un serveur DNS et décommissionne ensuite cette ressource. Un attaquant peut être en mesure de prendre le contrôle de l’adresse IP associée ou du nom de domaine pleinement qualifié (FQDN), potentiellement en le revendiquant auprès d’un fournisseur de cloud après que la cible l’ait libéré. Si tel est le cas, le trafic vers le sous-domaine indiqué dans l’entrée DNS sera redirigé vers le site de l’attaquant.

Ombre de domaine

L’ombre de domaine créera des sous-domaines malveillants sous un domaine racine légitime qui a été compromis par un attaquant. Ce faisant, l’attaquant crée un sous-domaine difficile à détecter qui tire parti de la réputation du domaine racine légitime. Ce sous-domaine peut ensuite être utilisé dans des attaques de phishing ou comme infrastructure de commande et de contrôle (C2) de logiciels malveillants avec un risque réduit de détection ou d’être bloqué par une organisation.

Attaques NXDOMAIN (Attaques de domaine fantôme)

Les attaques NXDOMAIN sont un type d’attaque DoS conçu pour contourner la mise en cache afin de submerger un serveur DNS. L’attaquant effectue une série de requêtes pour des sous-domaines inexistants, qui ne seront pas présents dans le cache d’un résolveur. En conséquence, l’attaque sera transmise au serveur d’origine pour résolution, consommant des ressources et dégradant la capacité du serveur à répondre aux requêtes légitimes.

Résolveurs DNS malveillants

Les résolveurs DNS jouent un rôle critique en recevant les requêtes DNS des utilisateurs, en effectuant des requêtes de suivi vers les serveurs DNS et en renvoyant un résultat. Un résolveur DNS malveillant peut surveiller les requêtes DNS d’un utilisateur et fournir des informations incorrectes qui envoient les utilisateurs vers des pages de phishing. Les utilisateurs peuvent être dirigés vers un résolveur DNS malveillant via un empoisonnement DHCP ou un logiciel malveillant.

Rebinding DNS

Dans une attaque de rebinding DNS, un serveur DNS contrôlé par un attaquant répondra initialement à une requête DNS avec l’adresse IP d’un site servant du code malveillant mais spécifiera une valeur de temps de vie (TTL) très courte. Lorsque le TTL expire, le navigateur de l’utilisateur effectuera une autre requête, à laquelle le serveur DNS malveillant répondra avec l’adresse IP d’une ressource interne. En conséquence, le domaine peut être considéré comme faisant partie du réseau interne, permettant au code malveillant de contourner la politique de même origine (SOP) et d’accéder aux ressources internes.

Attaques de typosquatting et d’homographes

Les attaques de typosquatting et d’homographes consistent à créer des domaines malveillants qui ressemblent étroitement à des domaines légitimes. Si un utilisateur fait une faute de frappe dans une URL ou clique sur un lien dans un e-mail de phishing, il sera dirigé vers un site web contrôlé par un attaquant. Souvent, cela est utilisé pour la collecte de données d’identification si l’utilisateur saisit ses identifiants sur le site de phishing.

Meilleures pratiques pour la sécurité DNS

Certaines meilleures pratiques de sécurité réseau pour se protéger contre les menaces DNS courantes incluent :

• Mettre en œuvre DNSSEC : Les extensions de sécurité DNS (DNSSEC) mettent en œuvre l’authentification pour les requêtes DNS. L’activer sur le(s) domaine(s) d’une organisation aide à prévenir leur utilisation dans des attaques DNS.
• Surveiller le trafic DNS : De nombreuses attaques DNS impliquent des requêtes et des réponses DNS inhabituelles. La surveillance du trafic DNS pour détecter des anomalies peut aider à identifier des attaques potentielles.
• Journaliser les requêtes DNS : Les requêtes DNS fournissent un enregistrement des sites visités et des domaines contactés par un ordinateur. Les consigner peut être inestimable pour l’enquête judiciaire d’une attaque de phishing, d’une infection par un logiciel malveillant ou d’un autre incident de sécurité.
• Utiliser des services DNS réputés : Les organisations peuvent choisir le fournisseur DNS utilisé pour résoudre leurs requêtes. Choisir un serveur DNS bien connu réduit le risque potentiel de redirection malveillante ou d’espionnage.

Intégrer la sécurité DNS dans un cadre SASE

Un Secure Access Service Edge (SASE) intègre diverses fonctionnalités de sécurité et de mise en réseau en une seule solution. Utiliser une plateforme SASE qui offre DNS en tant que service (DaaS) peut aider à protéger une organisation contre diverses menaces. Avec le DNS intégré à la plateforme SASE de l’organisation, l’entreprise est protégée contre les serveurs DNS malveillants et peut effectuer un filtrage DNS pour identifier et bloquer le trafic vers des domaines malveillants connus.

FAQ sur les problèmes de sécurité DNS courants

Qu’est-ce que l’empoisonnement du cache DNS ?

L’empoisonnement du cache DNS introduit des entrées DNS malveillantes dans le cache d’un résolveur DNS. En conséquence, les utilisateurs demandant ce domaine seront redirigés vers un site contrôlé par un attaquant pour le vol d’identifiants ou la distribution de logiciels malveillants.

Comment le tunneling DNS pose-t-il un risque de sécurité ?

Le tunneling DNS permet à un attaquant de dissimuler ses communications dans des requêtes et des réponses DNS. Cela augmente la difficulté pour une organisation d’identifier l’exfiltration de données ou les messages de commande et de contrôle (C2) de logiciels malveillants.

Que sont les enregistrements DNS pendants ?

Des enregistrements DNS suspendus existent lorsqu’une organisation a décommissionné un actif cloud mais pas l’enregistrement DNS associé. Un attaquant qui revendique l’adresse IP ou le nom de domaine entièrement qualifié (FQDN) associé à cet enregistrement peut rediriger tout le trafic destiné à ce sous-domaine vers un site malveillant.

Comment l’intégration de la sécurité DNS dans un cadre SASE peut-elle bénéficier aux organisations ?

L’intégration de la DNS dans un cadre SASE protège contre les serveurs DNS malveillants et fournit une visibilité sur le trafic DNS. En conséquence, une organisation peut plus facilement bloquer le trafic vers des domaines connus comme nuisibles et appliquer des politiques de sécurité d’entreprise.

Pourquoi la sécurité DNS doit-elle faire partie de votre stratégie SASE ?

Le DNS est une partie vitale d’Internet, mais il n’a pas été conçu pour être sécurisé. En conséquence, les attaquants exploitent le DNS de diverses manières pour faire avancer leurs campagnes d’attaque. Intégrer le DNS dans une architecture SASE permet à une organisation de mettre en œuvre une sécurité DNS solide et une application des politiques dans le cadre d’une architecture de sécurité holistique et convergente. Cela améliore la visibilité de la sécurité, simplifie l’application des politiques et améliore la détection et la réponse aux menaces.

Découvrez comment Cato Networks fournit une protection contre les menaces au niveau DNS dans le cadre d’une stratégie SASE complète. Réservez une démo aujourd’hui pour explorer la visibilité DNS unifiée, l’application des politiques et la prévention des menaces.