Si le DNS s’arrête, tout s’arrête.
En effet, il joue un rôle crucial dans le fonctionnement d’internet, pour simplifier l’approche.
Même les enfants comprennent que sans ce mécanisme il n’y a pas d’internet à la maison.
Donc, sans un mécanisme valable, il n’y aura aucun service IP cohérent.
Alors, les adultes – les professionnels 🤐 – sont-ils alors têtus ?
Adhérence avec le DNS
Les raisons du « si le DNS s’arrête, tout s’arrête » sont :
- La traduction des noms de domaine : il permet de traduire les noms de domaine en adresse IP qu’utilisent les machines. Sans cette traduction, les utilisateurs ne peuvent pas accéder aux services,
- Les accès aux services en ligne : de nombreux services (sites web, applications mobiles, messagerie et cætera) reposent sur des noms de domaine pour fonctionner. Si le DNS s’arrête, ces services deviennent inaccessibles et/ou incohérents,
- Le routage du trafic réseau : il aide également à répartir le trafic réseau en direction des serveurs appropriés, c’est essentiel pour la disponibilité et la performance. Ainsi, un arrêt entraîne fatalement des perturbations majeures dans le routage du trafic,
- La résilience et la redondance : même si des mesures de redondance et des serveurs de secours existent pour lui, une panne généralisée du nœud principal pourrait encore causer des interruptions bien bruyantes. Les serveurs peuvent tomber en panne à cause de problèmes techniques, d’attaques ou d’erreurs humaines. Quand je pense que certains cumulent les handicaps, il n’y a rien de rassurant 💀
- Le fonctionnement des services : au-delà de l’accès aux services publics en ligne, le DNS est également essentiel pour les réseaux internes des entreprises. Les systèmes et applications internes utilisent souvent des noms de domaine internes pour communiquer entre eux … enfin, quand les architectes ont bien travaillé ! Si le service tombe en panne ou configuré hasardeusement en interne, cela peut entraîner une paralysie des opérations les plus simples.
En définitive, le DNS est une infrastructure critique de n’importe quel réseau IP, internet (donc public) ou intranet (fatalement privé : réseau d’entreprise ou domestique).
Comme quoi, dans tout s’arrête, il y a « tout ».
DNS et infrastructure
Il est le garant de tout service d’annuaire et des authentifications fortes par exemple.
Le réduire à l’état d’une simple application, comme le veut la modélisation OSI, relève de l’inconscience ou de la méconnaissance.
L’interruption du DNS emmène des conséquences dévastatrices pour l’accessibilité aux services. C’est pourquoi ce rappel : le DNS est un prérequis pour Active Directory, qui lui-même fournit des services – dont le DNS – à son tour.
De ce fait, une instabilité du DNS aura des impacts non négligeables sur l’infrastructure, par conséquent sur les applicatifs métiers, subséquemment le business.
Flinguer le DNS tuera fatalement l’Active Directory, et un DNS approximatif signifie forcément une certaine impotence.
Ce que je viens de décrire n’est un secret pour personne dans ce monde du numérique, de plus en plus hybride. Il faut donc être pragmatique et penser à la sécurité de son DNS avant toute autre chose.
Il faut garder à l’esprit que même un DNS bien configuré peut devenir rapidement problématique s’il n’est pas bien protégé, en cas d’attaque. Donc, un DNS fonctionnel et opérationnel ne suffit pas pour être serein, il faut le sécuriser, le blinder.
Les attaques DNS
Attaques | Principes | Impacts |
Déni de Service Distribué (DDoS) | Les attaquants submergent les serveurs DNS avec un volume massif de requêtes, les rendant ainsi incapables de répondre aux requêtes légitimes. C’est le principe de la « Water Torture ». | Impossibilité pour les utilisateurs et services de résoudre les noms de domaine, faisant que les sites web et les services en ligne deviennent inaccessibles. |
DNS Cache Poisoning | Injection d’informations incorrectes dans le cache des serveurs DNS. Cela peut rediriger les utilisateurs et services vers des sites malveillants, même avec l’adresse légitime de sites/services web. | Redirection vers des sites de phishing ou des sites contenant des logiciels malveillants. |
Amplification DNS | Exploitation des serveurs DNS ouverts afin d’envoyer un énorme volume de réponses à une victime ciblée. En utilisant des requêtes DNS avec des adresses IP usurpées, ils amplifient le trafic dirigé vers la victime. | Cela conduit à des attaques DDoS massives contre la victime, rendant les services indisponibles. |
DNS Tunneling | Les attaquants encapsulent des données malveillantes ou des communications de commande et contrôle dans les requêtes. Cela permet de contourner les pares-feux et les systèmes de détection d’intrusion. | Exfiltration des données sensibles et/ou communication avec des logiciels malveillants sur le réseau compromis. |
Typosquatting ou typo-Squatting | Enregistrement de noms de domaine similaires à aux domaines légitimes, en misant sur le fait que les utilisateurs commettront des fautes de saisie. | Redirection vers des sites malveillants ou de phishing, où leurs informations peuvent être volées. |
DNS hijacking | Modification des paramètres DNS d’un client pour rediriger le trafic vers des serveurs contrôlés par les attaquants. | Redirection vers des sites malveillants ou des serveurs de phishing, même si l’adresse saisie est correcte |
DNS Spoofing | Envoi de réponses falsifiées à un résolveur avant que le serveur DNS légitime ne puisse répondre. | Redirection des utilisateurs vers des sites malveillants en toute transparence. |
Conclusion
Il existe plusieurs types d’attaques DNS que les cybercriminels peuvent utiliser avec l’objectif de perturber les services en ligne ou encore pour voler des informations sensibles.
En fin de compte, les attaques peuvent entraîner des conséquences graves, notamment la perte de données, l’indisponibilité des services et aussi la compromission de la sécurité des utilisateurs et celle de l’organisation éventuellement.
De toute évidence, les phases de design et de sizign sont importantes pour bien prendre en compte cet aspect sécurité.
La mise en place de mesures de sécurité telles que le DNSSEC (DNS Security Extensions), l’utilisation de serveurs DNS fiables et le maintien de bonnes pratiques de sécurité au niveau réseau (filtrage, anti-DDoS et cætera) sont essentiels pour atténuer les risques.
Bref, dans la mesure où le DNS contribue à la sécurité (sans DNS, la PKI et le MFA par exemple ne fonctionneront pas), par conséquent tout est important dès lors que nous évoquons le DNS.