Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?

Rodolphe Moreno : Nous allons présenter un état de l’art des problématiques DNS en termes de sécurité sur la base de nos retours clients et notre approche pour refondre les architecture DNS. Cette approche s’appuie sur une mise en œuvre des bonnes pratiques en termes d’architecture, l’utilisation des fonctions de redondance native proposée par nos solutions Appliance, une centralisation de l’administration permettant une délégation d’administration granulaire, une traçabilité exhaustive et surtout une visibilité parfaite de l’activité DNS.
Nous présenterons les fonctions de DNS firewall, DDOS DNS, DNSSEC,…

GS Mag : Quelles nouvelles menaces avez-vous identifié ?

Rodolphe Moreno : Quantité de réseaux sont chaque jour piratés via les DNS, cibles faciles pour les cybercriminels car accessibles et très peu sécurisés. Ils figurent parmi les rares services quasi systématiquement autorisés à traverser les Firewalls, la plupart du temps par des proxys DNS locaux. Il est essentiel, désormais, que les entreprises intègrent la protection des systèmes de noms de domaine dans leur stratégie de sécurité.

On distingue généralement deux types d’attaques :
– celles qui visent à provoquer une interruption de services DNS, telles que les attaques par déni de service / déni de service distribué (Denial of Service, DOS / Distributed Denial of Service, DDOS), empoisonnement de cache, manipulation de réponses ou encore interception (Man-in-the-Middle, MITM) ;
– et celles qui exploitent indirectement les DNS, comme les attaques par botnets, détournement de noms de domaine, APT ou détournement de DNS (tunneling).

Les principaux vecteurs utilisés par les cybercriminels :
Empoisonnement de cache : l’attaquant envoie de fausses réponses DNS à un résolveur DNS, lequel les stocke dans le cache DNS pendant la durée de vie prédéfinie. L’ordinateur considère que le serveur DNS empoisonné est légitime et incite alors l’utilisateur à télécharger, sans le savoir, des contenus malveillants.
Exploitation d’anomalies dans le protocole DNS : l’attaquant envoie des requêtes ou réponses DNS mal formées au serveur DNS visé afin d’exploiter les anomalies d’implémentation du protocole du logiciel du serveur. Cette technique permet de déclencher des dénis de service, d’empoisonner le cache ou de compromettre les serveurs ciblés.
Redirection de DNS (MITM) : le protocole DNS sur UDP étant sans état, il est vulnérable aux attaques MITM, de type DNS Changer, DNS Replay ou redirection illégitime, principalement utilisées à des fins de hacktivisme, de phishing, de défacement de sites Web ou de vol de données.
Détournement de DNS (DNS Tunneling) : l’attaquant exploite le DNS tel un canal caché pour contourner les mécanismes de sécurité classiques. Les données sortantes et entrantes communiquées sont respectivement encapsulées dans des requêtes et réponses DNS. Le programme malveillant installé.

GS Mag : Comment va évoluer votre offre en regard de ces nouvelles menaces ?

Rodolphe Moreno : L’offre d’Infoblox s’appuie tout d’abord sur l’éducation de nos clients afin de mettre en place de bonnes pratiques en terme d’architecture DNS. Pour cela nous préconisons à nos clients de se référer au livre de Cricket Liu "DNS & Bind" aux éditions O’Reilly. Le livre Cricket Liu, VP architecture chez Infoblox, est devenu au fil des années la référence dans le monde du DNS.
Infoblox DNS Firewall constitue une ligne de défense sans équivalent ?
• C’est une solution simple, qui ne dépend pas de la nature des malwares
• Notre solution protège tous les types de clients (pc, mac Smartphones, tablettes, et même les automates industriels et médicaux)
• DNS Firewall s’adapte à votre architecture existante
• Nous agissons en amont de l’établissement des connexions, ce qui allège mécaniquement le volume de données à filtrer sur les Firewalls.
• Nous filtrons les noms de domaines et les adresses IP, notre système de filtrage est donc très difficile à contourner pour les pirates.
• Nous gardons une trace des requêtes filtrées pour aider à agir rapidement sur les clients infectés.
Notre gamme d’Appliance évolue également vers des plateformes de plus en plus performantes afin de faire face à des attaques de type DDOS. La dernière Appliance de la gamme Infoblox peut supporter jusqu’à 1 million de requêtes DNS par seconde grâce à un module d’accélération matériel développé spécifiquement.
L’implémentation du DNSSEC fait également partie de nos préoccupations. La mise en place d’une solution DNSSEC peut s’avérer laborieuse et dangereuse pour l’entreprise qui n’aurait pas assez de ressource à y consacrer. Infoblox propose une solution simple à déployer qui permet d’automatiser la gestion des clés et des procès associés (signature des zones, roll over des clés, etc.)

GS Mag : Quelle sera votre stratégie commerciale pour 2013/2014 ?

Rodolphe Moreno : La sécurité DNS est un sujet essentiel dans notre stratégie de pénétration de marché auprès des grands comptes. Un focus sera fait sur le développement des fonctions de DNS firewall, DDOS DNS et de "Reporting" afin de donner un maximum de visibilité et de contrôle à nos clients.
Un des autres axes de développement est de s’inscrire dans l’écosystème de nos clients afin d’automatiser un certain nombre de tâches au travers des orchestrateurs de VMware, HP, BMC, CA, Microsoft…
 ?