Accueil Expert Sécurité : les solutions traditionnelles ne fonctionnent pas, pourquoi insister ?

Sécurité : les solutions traditionnelles ne fonctionnent pas, pourquoi insister ?

Suite aux problèmes rencontrés avec les solutions de protection lors des attaques DNS sur Rackspace et DNSimple en décembre dernier, une nouvelle stratégie est nécessaire pour lutter efficacement contre les attaques DNS. Hervé Dhelin, directeur marketing EfficientIP, fait le point.

Selon l’enquête réalisée par IDC en 2014 sur la sécurité DNS, « les solutions de sécurité classiques ne constituent pas une bonne option pour protéger les infrastructures DNS critiques des attaques ». L’enquête révèle par ailleurs que 68% des répondants utilisent toujours des pare-feu : Cela représente une mauvaise réponse à un vrai problème. Durant une attaque DDoS, le hacker essaie généralement de faire tomber le serveur DNS pour que les requêtes légitimes ne soient plus traitées, ou pour corrompre le cache DNS et transmettre aux utilisateurs de fausses informations. Plusieurs méthodes existent pour protéger les serveurs DNS contre ces attaques. La plus courante consiste à filtrer les requêtes DNS afin d’éliminer celles qui sont illégitimes. Le problème : les solutions actuelles ne sont pas suffisamment puissantes pour absorber et analyser méticuleusement toutes les requêtes qui leur sont envoyées, et peuvent même impacter négativement le service DNS.

En décembre dernier, le fournisseur de services cloud, Rackspace subissait une attaque DDoS qui a paralysé ses serveurs DNS pendant 11 heures. Dans sa communication de crise avec ses utilisateurs, l’entreprise indique alors que ses ingénieurs travaillent à résoudre le problème rencontré. Malheureusement les solutions de protection employées n’ont pas été sans impact : “ en raison de la nature de l'événement, une partie du trafic légitime à notre infrastructure DNS peut être bloqué par inadvertance1 ”.

Le même mois, DNS Simple fait face une attaque similaire et décide finalement de désactiver le mécanisme de défense de DNS du dispositif de protection DDoS pour retrouver un service normal de résolution de noms.

Dans les deux cas, les entreprises ont pris des mesures radicales qui n’ont pas uniquement bloqué le trafic illégitime mais également les requêtes légitimes. C’est une preuve que les solutions actuelles ne sont pas adaptées aux problématiques des services DNS et que les entreprises restent vulnérables. Il est temps de repenser la sécurité de ce maillon faible de l’infrastructure réseau.

 

Cinq raisons qui démontrent que les solutions de filtrage actuelles sont insuffisantes

Depuis 40 ans, les responsables de la sécurité informatique (RSSI) utilisent des solutions de filtrage pour parer aux attaques. Malheureusement les solutions de filtrage disponibles sur le marché s’avèrent insuffisantes pour protéger le service DNS, voire dangereuses dans certains cas. Il est temps de réfléchir autrement et ce, pour 5 raisons :

Des attaques informatiques de plus en plus complexes

Les hackers sont souvent très créatifs et trouvent régulièrement de nouveaux moyens de prendre en défaut les infrastructures DNS. De nouvelles techniques de plus en plus complexes voient le jour. Les règles mises en place ne permettent pas de s’adapter aux menaces persistantes et élaborées rapidement. En effet, certaines solutions existantes ont plus d’une centaine de règles à configurer et à maintenir ; une tâche qui peut se révéler cauchemardesque.

Un filtrage basé sur une analyse superficielle : un risque élevé d’exclure les requêtes légitimes

Lorsqu’elles détectent une attaque, les solutions mises en place peuvent « blacklister » l’adresse IP identifiée comme responsable de l’attaque. À l’aide d’un malware installé dans de nombreuses machines, un pirate informatique est capable de générer des attaques contre les services DNS. Afin de préserver la disponibilité des services, le système de protection bloque les requêtes en provenance de l’adresse IP qui génère l’attaque. Or cette adresse, et donc la machine qui y est rattachée, peut être celle d’un client, d’un partenaire, ou encore la vôtre…

Une certaine impuissance face aux attaques volumétriques…

Lorsque les attaques sont volumétriques (environ 63% des attaques DDoS DNS), les solutions actuelles peuvent être rapidement saturée. Détecter une attaque volumétrique est assez simple. En revanche, pour détecter les attaques basées sur de faibles volumes, le mécanisme de filtrage doit se livrer à une analyse en profondeur du contenu des messages DNS, avant de reconstruire les résolutions de bout-en-bout demandées par les clients. Cette analyse représente beaucoup de données à traiter et donc une importante charge de travail pour les outils d’analyse.

Lors d’une attaque volumétrique, la quantité de données explose, les outils sont saturés et la solution de protection peut ne pas être pleinement efficace. … et « lentes». La plupart du temps, les attaques « lentes « ou insidieuses passent inaperçues (Phantom attack, Sloth attack, …). Ce type d’attaque n’est pas basé sur un volume important de requêtes envoyées sur une longue durée, mais sur des volumes plus faibles avec des fréquences qui les rendent invisibles au filtrage.

Une vulnérabilité à l'empoisonnement du cache

Lorsqu’une solution de filtrage détecte sur un serveur DNS autoritarif un comportement suspect, elle est censée rejeter les paquets concernés et tenter de répondre seulement aux requêtes légitimes. Problème : rejeter des paquets laisse des requêtes sans réponse. Or, le délai d’attente de réponse du serveur récursif constitue une opportunité pour les pirates pour empoisonner le cache en répondant à la place du serveur autoritatif. L’un des objectifs des hackers est donc de déclencher le mécanisme de filtrage avec des faux positifs pour accéder au cache des serveurs.