Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Rodolphe Moreno, Infoblox : Nous surveillons l’activité de votre DNS

octobre 2012 par Marc Jacob

Pour l’édition 2012 des Assises de la sécurité, Infoblox présentera un état de l’art des problématiques DNS en termes de sécurité. Selon Rodolphe Moreno, Regional Manager Southern Europe d’Infoblox , les vulnérabilité DNS sont de plus en plus nombreuses. Il conseille donc aux RSSI de surveiller de près l’activité de leur DNS.

Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?

Rodolphe Moreno : Nous allons présenter un état de l’art des problématiques DNS en termes de sécurité sur la base de nos retours clients et notre approche pour refondre les architecture DNS.
Cette approche s’appuie sur une mise en œuvre des bonnes pratiques en terme d’architecture, l’utilisation des fonctions de redondance native proposée par nos solutions appliances, une centralisation de l’administration permettant une délégation d’administration granulaire, une tracabilité exhaustive et surtout une visibilité parfaite de l’activité DNS.
Cette surveillance de l’activité DNS permet d’être alerté en temps réel en cas de trafic anormal.

GS Mag : Quelles nouvelles menaces avez-vous identifié ?

Rodolphe Moreno : Les vulnérabilité DNS sont de plus en plus nombreuses. Sur les 4 derniers mois, on ne compte pas moins de 4 vulnérabilités majeures qui ont demandé aux clients de mettre à jour leurs serveurs DNS ( CVE-2012-1667 dated June 4, CVE-2012-3868, CVE-2012-3817 dated July 24, CVE-2012-4244 dated September 12 ). Ces vulnérabilités sont une menace pour les DNS externes (DNS en DMZ) et sur les DNS utilisés sur le réseau interne de l’entreprise.

Les problématiques de sécurité peuvent être classées suivant ces deux catégories : le DNS externe qui gère les connexions extérieures et le DNS interne qui gère les communications au sein du réseau de l’entreprise.

La notion de DNS externe couvre deux fonctions : la fonction de cache (résolutions de noms externes par exemple www.google.fr), et les fonctions de DNS dit autoritatif (gestion des noms de domaine publics de l’entreprise). L’exploitation des vulnérabilités des serveurs caches peut engendrer un détournement du flux Web et mail ou un arrêt total de toute activité sortant sur internet. La corruption d’un serveur autoritatif peut conduire à une disparition de la présence de l’entreprise sur la toile ou arrêter des services comme la réception d’email. L’actualité nous montre que ces menaces ne sont pas vaines, les sites comme "AL Jazeera", ZoneEdit et GoDaddy ont tous subi des arrêts de service importants durant le mois de septembre.

Le DNS Interne que l’on croit souvent moins vulnérable, dû à la sécurité périmétrique mise en place dans les entreprises, n’est pas à l’abri des menaces. Si on exclut le cas banal des serveurs DNS interne qui font de la récursion directe sur internet et qui font courir à l’entreprise des risques de cache poisoning énorme, nous rencontrons 3 grands types de menaces. Premièrement les Botnets et malaware qui, une fois installés sur les postes du réseau interne vont utiliser le DNS pour contacter leur "centre de commandement". Deuxièmement l’évasion de données qui peut s’appuyer sur des flux DNS ("tunneling"). Troisièmement des attaques menées très simplement par des employés en délicatesse avec leur entreprise et qui auraient choisi comme mode de manifestation de bloquer le réseau grâce à des outils simples trouvés sur des sites du type des "Anonymous". Les DNS traditionnels sont souvent très vulnérables et constituent un point névralgique du réseau, il est simple et très efficace de mener une telle action.

GS Mag : Comment va évoluer votre offre en regard de ces nouvelles menaces ?

Rodolphe Moreno : L’offre d’Infoblox s’appuie tout d’abord sur l’éducation de nos clients afin de mettre en place de bonnes pratiques en terme d’architecture DNS. Pour cela nous préconisons à nos clients de se référer au livre de Cricket Liu "DNS & Bind" aux éditions O’Reilly. Le livre Cricket Liu, VP architecture chez infoblox, est devenu au fil des années la référence dans le monde du DNS.

Notre gamme de produit évolue vers plus de visibilité de l’activité DNS pour nos clients au travers du "reporting" en temps réel, du suivi des tendances des requêtes DNS et de l’alerting. Une autre évolution sera de corréler ces rapports d’activité avec des bases de données de sites malveillants afin de pouvoir prévenir et stopper des attaques de type botnets.
Notre gamme d’appliance évolue également vers des plateformes de plus en plus performantes afin de faire face à des attaques de type DDOS. La dernière appliance de la gamme Infoblox peut supporter jusqu’à 1 million de requêtes DNS par seconde grâce à un module d’accélération matériel développé spécifiquement.
L’implémentation du DNSSEC fait également partie de nos préoccupations. La mise en place d’une solution DNSSEC peut s’avérer laborieuse et dangereuse pour l’entreprise qui n’aurait pas assez de ressource à y consacrer. Infoblox propose une solution simple à déployer qui permet d’automatiser la gestion des clés et des process associés (signature des zones, rollover des clés, etc.)

GS Mag : Quelle sera votre stratégie commerciale pour 2012/2013 ?

Rodolphe Moreno : La sécurité DNS est un sujet essentiel dans notre stratégie de pénétration de marché auprès des grands comptes. Un focus sera fait sur le développement des outils de "reporting" afin de donner un maximum de visibilité et de contrôle à nos clients.
Un des autres axes de développement est de s’inscrire dans l’écosystème de nos clients afin d’automatiser un certain nombre de tâches au niveau des fonctions supportées par nos appliances qui sont DNS, DHCP, IPAM (gestion des adresses IP).

L’IPAM Infoblox permet aux clients d’avoir une visibilité et un contrôle du plan d’adressage IP en temps réel. Nos solutions permettent de déployer une infrastructure de service DNS/DHCP sécurisée et hautement disponible. Infoblox propose aujourd’hui de connecter ces fonctions DNS/DHCP directement avec l’environnement physique et virtuel de nos clients au travers de notre produit de découverte et de gestion d’infrastructure "NetMRI", de plug-in pour VMware et de connecteurs avec les outils d’orchestration de vos partenaires HP, BMC,CISCO, Microsoft...

GS Mag : Quel est votre message aux RSSI ?

Rodolphe Moreno : Le DNS est une brique fondamentale de votre infrastructure mais qui reste souvent une brique vulnérable dont le domaine de responsabilité est souvent partagé entre différentes équipes (réseau, système unix, Microsoft…). Infoblox est un spécialiste reconnu mondialement sur ce marché. Nous vous apportons tout d’abord un conseil en termes d’architecture, et ensuite des solutions vous permettant d’exploiter une architecture hautement redondante, performante, administrable centralement, avec un monitoring accru qui vous permet de suivre toutes les activités DNS suspectes.


Voir les articles précédents

    

Voir les articles suivants