Analyse de sécurité DNS - a-kalin0/Admin-Projet-CAA GitHub Wiki

Identification des biens à protéger [1][2][3][4][5][6]

  • Les serveurs DNS : résolveur et soa
  • L'authenticité des employés qui accèdent au serveur DNS
  • Les noms de domaine DNS
  • Les fichiers de zone des domaines DNS
  • Les logs des différents services
  • La réputation de l'entreprise Woodytoys

Identification des vulnérabilités et des menaces qui en découlent [1][7][8]

De manière générale, le DNS fonctionne sans système d'authentification et de chiffrement. Il répond donc à toutes les requêtes, quel que soit le client. C'est pour cette raison qu'il y a beaucoup de moyens d'usurpation, de falsification et de manipulation pour tromper n'importe qui quant au système sur lequel la résolution DNS intervient réellement.

Les vulnérabilités du DNS peuvent se baser sur les normes de sécurité des systèmes d'information (C.A.I.D) : [11]

  • Confidentialité : seules les personnes autorisées peuvent avoir accès aux informations qui leur sont destinées (notions de droits ou permissions). Tout accès indésirable doit être empêché.

  • Authenticité : les utilisateurs doivent prouver leur identité par l'usage de code d'accès.

  • Intégrité : les données doivent être celles que l'on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. En clair, les éléments considérés doivent être exacts et complets.

  • Disponibilité : l'accès aux ressources du système d'information doit être permanent et sans faille durant les plages d'utilisation prévues. Les services et ressources sont accessibles rapidement et régulièrement.

On pourrait classer les menaces selon plusieurs critères :

  • Problèmes de gestion :

    • Mauvaise gestion des noms de domaine : Expiration de noms de domaine dues à une mauvaise gestion de ceux-ci.
    • Mauvaise gestion des certificats numériques : Expiration de noms de domaine dues à une mauvaise gestion de ceux-ci.

  • Usurpation d'identité :

    • ID Spoofing : Technique consistant à injecter de fausses données dans une communication en se faisant passer pour l'émetteur.
    • Cache Poisoning : Technique consistant à injecter de fausses informations dans un résolveur pour le corrompre.

  • Déni de service

    • Déni de service (Dos ou DDoS) : Technique consistant à rendre un service indisponible en le bombardant de requêtes.

  • Tunneling DNS

    • Tunneling DNS : Technique consistant à transformer le DNS ou système de noms de domaine en une arme de piratage.

  • Autres

    • Attaques zero-day : Logiciel malveillant exploitant les failles d'un logiciel pour lancer une cyberattaque.
    • Malwares : Virus, vers, cheveaux de Troie, ransomwares, spywares... Tout type de logiciel malveillant
    • Piratage DNS : Technique impliquant des modifications non autorisées d'un résolveur hébergeant un domaine.
    • Shadowing DNS : Technique impliquant des modifications non autorisées au niveau des fichiers de zone d'un domaine.
    • Utilisation du SOA public comme résolveur
    • Fuite de fichiers de zones
    • Etc.

Identification des risques associés à chaque menace [1][2][3][4][5][6][7][8][9][10][11][12][13][14][15][16][17][18][19][20]

Nous allons nous concentrer sur les menaces spécifiques vues en cours :

  • ID Spoofing :
    • Usurpation d'identité
    • Vol de données sensibles (mots de passe, données bancaires, ...)
    • Activités malveillantes sous une fausse identité
  • Cache Poisoning :
    • Falsification de données mise en cache sur le résolveur
    • Diffusion de fausses informations
    • Propagation de logiciels malveillants
    • Exploitation de vulnérabilités
  • Déni de service (DDoS) :
    • Interruptions de services
    • Pertes de productivité et d'argents
    • Atteinte à la réputation de l'entreprise
    • Diversion pour d'autres attaques malveillantes
  • Tunneling DNS :
    • Contournement de Firewall ou autres mécanismes de sécurité

Classification des menaces en fonction des risques [2][3][4][5][6][7][8][9][10][11][12][13][14][15][16][17][18][19][20]

Menace Probabilité Impact Estimation du risque Contre-mesure
ID SPOOFING Moyenne Moyen : compromet la sécurité des utilisateurs de l'entreprise Moyen Implémenter le DNSSEC
CACHE POISONING Moyenne Élevé : sature le cache du serveur et compromet la sécurité des utilisateurs de l'entreprise Élevé Implémenter le DNSSEC.
DÉNI DE SERVICE (DDOS) Faible Élevé : rend nos services potentiellement indisponibles Moyen Utiliser des solutions de mitigation des attaques DDoS, telles que des pare-feu, des filtres de trafic et des services de CDN.
TUNNELING DNS Moyenne Fort : Preuve de faille dans la sécurité du système Fort Mettre en place des mécanismes de détection et de blocage des tunnels DNS non autorisés.

==> Remarques : L'évaluation des probabilités, impact et du risques des menaces se base sur un point de vue subjectif et sur une brève analyse des sources de la Bibliographie. Elles peuvent être incorrectes.

Contres mesures pour les risques identifiés

  1. De manière globale, il est important de mettre à jour les différents composants du système pour garantir au mieux la sécurité de base.

  2. Le DNSSEC

    • Risques contrés : ID SPOOFING ET CACHE POISONING.

    • Explications : Le DNSSEC (Domain Name System Security Extensions) est, comme son nom l'indique, une extension de sécurité qui permet à un client de valider la réponse DNS sur les domaines et TLD pris en charge. Il repose sur la signature numérique le chiffrement asymétrique avec donc deux clés : privée et publique.

  3. DNS over TLS (DoT)

    • Risques contrés : ID SPOOFING ET CACHE POISONING.

    • Explication : Le DoT établit un tunnel sécurisé entre le client et le résolveur. Il garantit une meilleure confidentialité que le DNSSEC ainsi que la réception d'informations venant d'adresses IP précises par un client. Sa principale différence avec le DoH est que le DoT s'appuie sur le protocole TLS et fonctionne sur le port 853.

  4. DNS over HTTPS (DoH)

    • Risques contrés : ID SPOOFING ET CACHE POISONING.

    • Explication : Le DoH établit un tunnel sécurisé entre le client et le résolveur. Il garantit une meilleure confidentialité que le DNSSEC ainsi que la réception d'informations venant d'adresses IP précises par un client. Sa principale différence avec le DoT est que le DoH s'appuie sur le protocole HTTPS et fonctionne sur le port 443.

  5. DNSCrypt

    • Risques contrés : ID SPOOFING ET CACHE POISONING.

    • Explication : Le DNSCrypt est une méthode d'authentification des communications entre un résolveur et un client. Il chiffre entièrement la communication DNS ainsi que la question et la réponse DNS. De plus, il peut fonctionner sur le même port, et ce de manière simultanée, que le DoH.

  6. Mécanismes de détection et de blocage des tunnels DNS non autorisés.

    • Risques contrés : TUNNELING DNS.

    • Explication : Mettre en place des mécanismes d'analyses de charge utile et de charge rapide peut permettre de repérer des attaques par tunneling DNS. L'analyse de charge utile se concentre sur des données inhabituelles envoyées dans les deux sens d'une communication DNS. Dans une analyse de traffic, on se concentre plus sur le nombre de requêtes envoyées vers un domaine DNS spécifique et on le compare à l'envoi moyen de requêtes.

  7. Utilisation de pare-feu et de filtres de trafic.

    • Risques contrés : DÉNI DE SERVICE (DDoS)

    • Explication : Grâce aux mécanismes de détection d'attaques, aux filtres de trafic et aux pare-feu, la sécurité et la surveillance de votre réseau seront considérablement renforcées, garantissant ainsi qu'aucun individu malveillant ne puisse accéder à vos systèmes. Ces dispositifs permettent une détection précoce des menaces potentielles, bloquent les flux de trafic malveillants et établissent une barrière de protection robuste autour de votre infrastructure réseau. Ainsi, on pourra éviter que notre SOA public soit utilisé comme résolveur par des personnes mal intentionnées.

Mise en place des contre mesures [22]

  1. DNSSEC

    • Voici un lien vers une page de mode d'emploi pour implémenter le DNSSEC : Lien URL

    • Une validation du prof est nécessaire avant de synthétiser le mode d'emploi sur le wiki.

  2. DNS over TLS (DoT)

    • Il existerait plusieurs possibilités d'implémenter DNS over TLS via Docker

    • Voici un lien vers un repo GitHub, avec une documentation, implémentant le protocole DoT : Lien GitHub

  3. DNS over HTTPS (DoH)

    • Il existerait aussi plusieurs possibilités d'implémenter DNS over HTTPS via Docker

    • Voici un lien vers un repo GitHub, avec une documentation, implémentant le protocole DoH : Lien GitHub

Pour les deux protocoles : on pourrait partir sur la documentation de ce site. Mais il vaudrait mieux une validation de la prof avant de tenter quoi que ce soit...

  1. DNS Crypt

    • Voici un lien vers un repo GitHub, avec une documentation, implémentant le protocole DNSCrypt : Lien GitHub et Autre lien GitHub

    • Une validation du prof serait nécessaire avant de synthétiser la mise en place de la contre-mesure.

  2. Mécanismes de détection et de blocage des tunnels DNS non autorisés et Utilisation de pare-feu, de filtres de trafic et de services de CDN

    • On pourrait utiliser Azure Firewall via Azure Portal (Mode d'emploi : ICI), cela pourrait nous permettre de mettre en place une contre mesure sympathique. Cepednant, cela reste à valider par la prof.

Documentation des risques résiduels

  • Concernant la VM Azure : Documentation
  • Concernant le Firewall Azure : Documentation
  • Concernant les contres-mesures : Les repositories GitHub disposent d'une documentation suffisante dans le cadre du projet. Cela reste cependant à faire valider par la prof.

Maintenance

  • Concernant le troubleshooting et la maintenance, il sera primordial de regarder les logs et les journaux... Dans un premier temps ceux de Docker Desktop et dans un second temps ceux de la VM Azure.

Bibliographie

  1. V. VAN DEN SCHRIECK, "Synthèse et références pour la théorie : 4. DNS : Déploiement et sécurisation", Année académique 2022-2023 et consultée le 8 Mai 2023

  2. CSC, "DNS : Une composante fondamentale trop souvent négligée, 1e partie – Qu’est-ce que le DNS et pourquoi est-il vulnérable ?", 8 Mai 2019 et consultée le 8 mai 2023

  3. CSC, "DNS : Une composante fondamentale trop souvent négligée, 2e Partie – Les quatre vulnérabilités DNS que vous devez connaître", 16 Mai 2019 et consultée le 8 mai 2023

  4. CSC, "DNS : Une composante fondamentale trop souvent négligée, 3e Partie – Six vulnérabilités DNS supplémentaires qui rendent la sécurité essentielle", 23 Mai 2019 et consultée le 8 mai 2023

  5. CSC, "DNS : Une composante fondamentale trop souvent négligée, 4e Partie – La menace croissante des piratages DNS et du domain-shadowing", 31 Mai 2019 et consultée le 8 mai 2023

  6. CSC, "DNS : Une composante fondamentale trop souvent négligée, 5e Partie – Atténuer les risques de 10 vulnérabilités DNS importantes", 6 Juin 2019 et consultée le 8 mai 2023

  7. AFNIC, "DNS : Types d'attaques et techniques de sécurisation", Juin 2009 et consultée le 8 mai 2023

  8. M.BUCKBEE - VARONIS, "Guide de sécurité DNS", 2 Avril 2021 et consultée le 8 Mai 2023

  9. S.BORTZMEYER - AFNIC, "Sécurité du DNS et DNSSEC", 2009 et consultée le 8 Mai 2023

  10. WIKIPÉDIA, "Sécurité du DNS", 21 Avril 2023 et consultée le 8 Mai 2023

  11. WIKIPÉDIA, "Sécurité des systèmes d'information", 25 Mars 2023 et consultée le 8 Mai 2023

  12. INTEL, "Qu'est-ce qu'une attaque Zero Day ?", N.A. et consultée le 8 Mai 2023

  13. MICROSOFT, "Qu’est-ce que l’authentification à 2 facteurs ?", N.A. et consultée le 9 Mai 2023

  14. OKTA, "ARP poisoning ou empoisonnement ARP : définition, techniques, défense et prévention", 14 Février 2023 et consultée le 9 Mai 2023

  15. TONIA - EURODNS, "Guide ultime des bonnes pratiques de gestion des domaines", 12 Juillet 2021 et consultée le 9 Mai 2023

  16. SERVICENOW , "Qu’est-ce que la gestion des certificats ?", N.A. et consultée le 9 Mai 2023

  17. NAMESHIELD, "DNSSEC", N.A. et consultée le 9 Mai 2023

  18. MICROSOFT, "Alertes de sécurité - guide de référence", N.A. et consultée le 9 Mai 2023

  19. CLOUDFARE, "Cinq bonnes pratiques pour mitiger les attaques DDoS ", 17 Juin 2020 et consultée le 9 Mai 2023

  20. GEEKFLARE, "Top 12 des protections DDoS basées sur le cloud pour les sites Web de petites et petites entreprises", 15 Décembre 2022 et consultée le 9 Mai 2023

  21. MALWAREBYTES "Antivirus", N.A. et consultée le 9 Mai 2023

  22. MALEKALCOM, "DNSSEC, DNS Over TLS ou HTTPS (DoT et DoH) et DNSCrypt : les différences", 1 Septembre 2020 et consultée le 15 Mai 2023