Cybersécurité : la NSA fait des recommandations sur l'adoption du DNS chiffré par les entreprises,
afin d'éviter d’entraver les contrôles de sécurité du DNS traditionnel

Sans le DNS, Internet ne pourrait pas fonctionner de manière conviviale. Le DNS joue un rôle crucial dans la cybersécurité, car les serveurs DNS peuvent être compromis et utilisés comme vecteur pour d'autres types d'attaques. Dans un document intitulé : "Adopting Encrypted DNS in Enterprise Environments", l’agence de sécurité nationale ou National Security Agency (NSA), organisme gouvernemental du département de la défense des États-Unis, a publié le jeudi 14 janvier un rapport sur la cybersécurité en entreprise. Ledit document explique les avantages et les risques liés à l'adoption du protocole du système de noms de domaine chiffré (DoH) dans les environnements d'entreprise.

Nom : nsa.PNG
Affichages : 5765
Taille : 81,5 Ko

Rappelons que le DNS est une base de données, évolutive, hiérarchique et dynamiquement distribuée à l'échelle mondiale. Elle fournit une correspondance entre les noms d'hôtes, les adresses IP (IPv4 et IPv6), les informations de serveur de noms, etc. Toutefois, elle est devenue un vecteur d'attaque populaire pour les cybercriminels. Le DNS partage ses demandes et ses réponses en texte clair, qui peut être facilement consulté par des tiers non autorisés.

En plus de faire correspondre les noms d'hôte aux adresses IP, le DNS peut effectuer divers autres types de correspondance. Chaque correspondance définit un enregistrement de ressource (RR pour Resource Record) . Par exemple, un RR qui associe un nom d'hôte à une adresse IPv4 s'appelle un enregistrement A, un RR qui effectue la correspondance entre un nom de domaine et une liste de serveurs de messagerie pour ce domaine s'appelle un enregistrement MX et un RR qui effectue la correspondance avec le serveur de noms pour le domaine est appelé un enregistrement NS. D'autres types d'enregistrement de ressources, tels AAAA et PTR peuvent également être exploités.

L'enregistrement de ressource : le RR composé des champs NAME, TYPE, CLASS, TTL, RDLENGTH et RDATA définit les types de données DNS stockés dans la base de données DNS. Les types de RR les plus courants sont SOA , adresses IP (A et AAAA), serveurs de messagerie SMTP (MX), serveurs de noms (NS), pointeurs pour les recherches DNS inversées (PTR) et alias de noms de domaine ( CNAME ). Le serveur DNS faisant autorité est responsable de tous les RR du domaine. Il renvoie les réponses aux requêtes DNS avec les informations stockées dans les RR pour un espace de nom de domaine stocké sur le serveur local. Les serveurs DNS faisant autorité fournissent les réponses aux résolveurs récursifs DNS. Ils sont exposés à Internet et autorisent généralement les requêtes DNS à partir de toutes les adresses IP.

La figure ci-dessous montre un exemple d'un serveur DNS Microsoft. Dans cet exemple, le nom de domaine est secure-x.local. L'hôte hq-srv.secure-x.local est le serveur de noms du domaine secure-x.local, tel que configuré par l'enregistrement NS. Les enregistrements A sont utilisés pour faire correspondre le nom d'hôte à l'adresse IP. Par exemple, le nom d'hôte hq-srv est mappé sur l'adresse IP 192.168.1.2, le nom d'hôte inside-srv est également mappé sur l'adresse IP 192.168.1.2, etc. Les noms de domaine complets pour ces deux noms d'hôte sont hq-srv.secure-x.local et inside-srv.secure-x.local.

Nom : resolver.PNG
Affichages : 1177
Taille : 52,7 Ko

L'organisme responsable du renseignement et de la sécurité des systèmes d'informations du gouvernement américain indique que le DNS chiffré est de plus en plus utilisé pour empêcher l'écoute et la manipulation du trafic DNS. « Avec la popularité croissante du DNS chiffré, les propriétaires et les administrateurs de réseaux d'entreprises doivent parfaitement comprendre comment l'adopter correctement sur leurs propres systèmes », indique l’organisation. « Même s'ils ne sont pas formellement adoptés par l'entreprise, les navigateurs et autres logiciels plus récents peuvent de toute façon essayer d'utiliser le DNS chiffré et de contourner les défenses traditionnelles basées sur le DNS de l'entreprise », ont-ils ajouté.

DNS chiffré et DNS traditionnel

Le système de noms de domaine agissant avec le protocole de transfert sécurisé via TLS (HTTPS) chiffre les requêtes DNS pour assurer la confidentialité, l'intégrité et l'authentification de la source lors d’une transaction avec le résolveur DNS d'un client. Le rapport de la NSA indique que, si le DoH peut protéger la confidentialité des demandes DNS et l'intégrité des réponses, les entreprises qui l’utilisent perdront néanmoins une partie du contrôle nécessaire lors de l'utilisation du DNS au sein de leurs réseaux, à moins qu'elles n'autorisent leur Resolver DoH comme pouvant être utilisé. Le résolveur DoH d'entreprise peut être soit un serveur DNS géré par l'entreprise, soit un résolveur externe.

Cependant, si le résolveur DNS d'entreprise ne prend pas en charge le DoH, le résolveur d'entreprise doit toujours être utilisé et tous les DNS chiffrés doivent être désactivés et bloqués jusqu'à ce que les capacités des DNS chiffrés puissent être pleinement intégrées à l’infrastructure DNS de l’entreprise. La NSA recommande pour ainsi dire que le trafic DNS d'un réseau d'entreprises, chiffré ou non, ne soit envoyé qu'au résolveur DNS d'entreprise désigné. Cela permet de garantir une utilisation correcte des contrôles de sécurité essentiels de l'entreprise, de faciliter l'accès aux ressources du réseau local et de protéger les informations du réseau interne.

Nom : dns_dohB.png
Affichages : 1125
Taille : 107,8 Ko

Fonctionnement des architectures DNS d'entreprise

  1. l'utilisateur veut visiter un site web dont il ne sait pas qu'il est malveillant et tape le nom de domaine dans le navigateur web ;
  2. la demande de nom de domaine est envoyée au résolveur DNS de l'entreprise avec un paquet de texte en clair sur le port 53. Les requêtes qui violent les politiques de surveillance du DNS peuvent générer des alertes et/ou être bloquées ;
  3. si l'adresse IP du domaine ne se trouve pas dans le cache des domaines du résolveur DNS de l'entreprise et que le domaine n'est pas filtré, il enverra une requête DNS par la passerelle de l’entreprise ;
  4. la passerelle d'entreprise transmet la requête DNS en texte clair à un serveur DNS externe. Elle bloque également les demandes DNS qui ne proviennent pas du résolveur DNS de l'entreprise ;
  5. la réponse à la requête avec l'adresse IP du domaine, l'adresse d'un autre serveur DNS avec plus d'informations, ou une erreur est renvoyée en texte clair par le biais de la passerelle d'entreprise ;
  6. la passerelle d'entreprise renvoie la réponse au résolveur DNS de l'entreprise. Les étapes 3 à 6 se répètent jusqu'à ce que l'adresse IP du domaine demandé est trouvée ou qu’une erreur survienne ;
  7. le résolveur DNS renvoie la réponse au navigateur web de l'utilisateur, qui demande alors la page web à partir de l'adresse IP figurant dans la réponse.

La NSA démontre qu’avec les architectures DNS traditionnelles d'entreprise, une fois qu'un client soumet une requête DNS, il accède d'abord au résolveur DNS récursif d'entreprise, souvent attribué via le protocole DHCP (Dynamic Host Configuration Protocol). Le résolveur DNS d'entreprise renverra la réponse à la requête depuis son cache ou la transmettra via la passerelle d'entreprise aux serveurs DNS externes faisant autorité. La réponse DNS sera retournée via la passerelle d'entreprise vers le résolveur DNS d'entreprise et enfin au client. Au cours de cet échange, le résolveur DNS d'entreprise et la passerelle d'entreprise peuvent voir la requête et la réponse en texte clair et les enregistrer pour en suite, les analyser ou les bloquer si elles semblent malveillantes.

Par la suite, le résolveur DNS à interroger peut-être configurer dans le système d'exploitation ou dans une application spécifique, telle qu’un navigateur Web. Lorsqu'un client a activé et configuré DoH pour utiliser un résolveur DoH non désigné par l'entreprise. Le trafic DoH sera envoyé directement à la passerelle d'entreprise en tant que trafic chiffré HTTPS sur le port 443, en contournant entièrement le résolveur DNS d'entreprise. La demande ira ensuite au résolveur DoH sélectionné par le client, qui renverra la réponse aux serveurs faisant autorité pour résoudre la demande. La réponse à la requête reviendra du résolveur DoH via la passerelle d'entreprise vers le client sur le port 443. La transaction entre le client et le résolveur DoH est chiffrée, par conséquent la demande et la réponse en texte clair ne peuvent généralement pas être analysées par la passerelle d'entreprise. Si le résolveur DoH ne peut pas répondre à la requête ou est inaccessible, la requête d'origine peut être renvoyée à l'aide du DNS traditionnel.

Nom : dns_doh2B.png
Affichages : 1105
Taille : 105,3 Ko

fonctionnement du DoH avec un résolveur DoH externe

  1. l'utilisateur veut visiter un site web non autorisé et tape le domaine dans le navigateur web ;
  2. la requête DoH est chiffrée et envoyée via la passerelle d'entreprise sur le port 443. Le résolveur DNS de l'entreprise est contourné, déviant ainsi ses capacités de blocage et de surveillance ;
  3. la passerelle d'entreprise transmet la demande chiffrée au résolveur DoH externe, tout comme elle transmettrait toute autre demande HTTPS à un serveur externe. L'historisation et la visibilité au niveau de la passerelle d'entreprise ne sont généralement pas possibles ;
  4. le résolveur DoH externe effectue la résolution DNS et répond à la requête avec l'adresse IP du site ;
  5. la passerelle d'entreprise renvoie la réponse chiffrée du DoH au navigateur web de l'utilisateur, qui demande alors la page web à partir de l'adresse IP dans la réponse.

En plus de souligner l'importance d'une configuration appropriée des réseaux d'entreprise pour améliorer, et non pas entraver les contrôles de sécurité du DNS, les recommandations de la NSA aideront les propriétaires et les administrateurs de réseaux d'entreprises à trouver un équilibre entre la protection de la vie privée et la gouvernance du DNS pour leurs réseaux.

Source : NSA

Et vous ?

Quel est votre avis sur la protection de la vie privée sur Internet ?

Voir aussi :

Le programme de surveillance téléphonique de la NSA est inconstitutionnel et coûteux, il n'a pas empêché une seule attaque terroriste d'après un juge fédéral

La NSA a publié un support de cours sur Python qu'elle utilise pour former ses ingénieurs, après avoir reçu une demande d'un ingénieur logiciel conformément à loi Freedom of Information Act de 1966

Comment réduire les risques liés au suivi de la localisation ? La NSA répond en partageant quelques conseils

Des chercheurs font revivre l'empoisonnement du cache DNS, une attaque Internet de 2008, en se servant du protocole ICMP. Cette technique a pour but ultime d'usurper l'identité d'un site

Le DNS-over-HTTPS finira probablement par être déployé sur tous les navigateurs, malgré l'opposition des FAI, le support du DoH est déjà effectif sur Edge, Firefox, Opera, Vivaldi, Chrome et Brave