Analyse sécurité service DNS - daviddieuHE/ADMIN2023 GitHub Wiki
Analyse sécurité du service DNS
Responsable : CYBERS Thomas
Groupe : 2TL1-8
Statut de l'étape : Pas commencée / en cours de réalisation / en cours d'évaluation / validée
Vidéo : https://youtu.be/iyMcDugJMJk
1. Quels sont les biens à protéger?
- Le serveur soa externe
- Le serveur soa interne
- Les données DNS
- Les informations d'authentification
- Le résolveur de l'entreprise
2. Quelles sont les menaces et les risques associés ?
2.1. Déni de service distribué (DDoS) :
Le DDoS est une attaque qui vise à submerger un serveur, un réseau ou une infrastructure avec un grand volume de trafic illégitime provenant de plusieurs sources, rendant les services indisponibles pour les utilisateurs légitimes.
- L'impact d'une attaque DDoS peut être une indisponibilité complète ou partielle des services en ligne, ce qui peut entraîner une perte de revenus, une détérioration de la réputation de l'entreprise, une frustration des utilisateurs et une perturbation des activités commerciales.
- Les risques associés incluent la perte de clients, des coûts élevés pour atténuer l'attaque, des dommages à la réputation de l'entreprise et une exposition accrue à d'autres types d'attaques pendant la confusion et la distraction générées par l'attaque DDoS.
2.2. Empoisonnement du cache DNS (DNS cache poisoning) :
Le DNS cache poisoning est une attaque visant à corrompre le cache d'un serveur DNS en y injectant des enregistrements DNS falsifiés, ce qui peut entraîner la redirection des utilisateurs vers des sites Web malveillants ou compromettre la confidentialité des communications.
- L'impact de cette menace peut être la propagation de fausses informations auprès des utilisateurs légitimes, entraînant des attaques de phishing, l'usurpation d'identité ou la distribution de logiciels malveillants.
- Les risques associés incluent la perte de confiance des utilisateurs, la violation de la confidentialité des données, les dommages à la réputation de l'organisation et les conséquences financières découlant des attaques réussies contre les utilisateurs induits en erreur.
2.3. Détournement de trafic (DNS hijacking) :
Le DNS hijacking est une attaque où les paramètres de configuration d'un serveur DNS sont modifiés de manière malveillante, redirigeant le trafic des utilisateurs vers des sites Web ou des serveurs contrôlés par un attaquant, souvent dans le but de voler des informations ou de mener des attaques supplémentaires.
- L'impact de cette menace peut être la redirection du trafic légitime vers des sites Web malveillants, exposant les utilisateurs à des attaques de phishing, de collecte d'informations sensibles ou de distribution de logiciels malveillants.
- Les risques associés incluent la perte de confidentialité et d'intégrité des données, la violation de la confiance des utilisateurs, les pertes financières résultant du vol d'informations sensibles, ainsi que les dommages à la réputation de l'organisation en tant que conséquence de ces activités malveillantes.
2.4. Les attaques de reconnaissance DNS (DNS reconnaissance) :
Le DNS reconnaissance est une attaque visant à collecter des informations sur un réseau en interrogeant les serveurs DNS pour obtenir des détails sur les noms d'hôtes, les adresses IP et les enregistrements DNS, afin de préparer des attaques plus sophistiquées.
- L'impact de cette menace peut être la divulgation de renseignements sensibles sur l'infrastructure interne d'une organisation, facilitant des attaques ciblées, des tentatives d'intrusion ou des attaques ultérieures plus sophistiquées.
- Les risques associés incluent la violation de la confidentialité des données, la perte d'intégrité du réseau, les attaques ciblées contre des vulnérabilités connues, ainsi que les dommages à la réputation et les pertes financières découlant d'une exploitation réussie des informations collectées.
3. Classifications des menaces en fonction du risque
| Menace | Probabilité | Impact | Estimation du risque |
|---|---|---|---|
| Attaque DDoS | Élevée | Élevé | Élevé |
| DNS cache poisoning | Moyenne | Élevé | Moyen à élevé |
| DNS hijacking | Moyenne | Moyen | Moyen |
| DNS reconnaissance | Faible | Faible | Faible |
4. Identification des contre-mesures
4.1. Déni de service distribué (DDoS) :
- Mise en place de pare-feux et de dispositifs de détection et de prévention des intrusions pour filtrer le trafic malveillant.
- Utilisation de services de protection DDoS ou de fournisseurs de services DNS spécialisés qui peuvent absorber les attaques DDoS et maintenir la disponibilité du service DNS.
- Sécuriser le serveur DNS en limitant la récursion.
- Utiliser plusieurs serveurs DNS pour répartir la charge.
4.2. Empoisonnement du cache DNS (DNS cache poisoning) :
- Mise en place de DNSSec. Ce protocole va garantir l'intégrité et l'authenticité des enregistrements DNS en utilisant la cryptographie avec des clés publiques et privées.
- Diminuer le TTL des informations stockées dans le cache du serveur, limitant ainsi la durée pendant laquelle des informations incorrectes pourraient être transmises aux utilisateurs du service.
4.3. Détournement de trafic (DNS hijacking) :
- Surveiller activement les paramètres de configuration du serveur DNS pour détecter tout changement inattendu ou non autorisé.
- Appliquer des mesures de sécurité supplémentaires, telles que l'authentification à deux facteurs (2FA) ou l'utilisation de certificats SSL/TLS, pour protéger les comptes et les accès aux paramètres DNS.
- Utiliser des outils de surveillance réseau pour détecter les modèles de trafic suspects ou les flux anormaux qui pourraient indiquer une activité de DNS hijacking.
4.4. Les attaques de reconnaissance DNS (DNS reconnaissance) :
- Réduire la visibilité de l'infrastructure en masquant les informations sensibles, tels que les noms d'hôtes internes, les enregistrements DNS spécifiques ou les relations entre les systèmes, en utilisant des alias, des enregistrements de ressources masqués ou des techniques de cloaking.
- Utiliser des pare-feux ou des solutions de filtrage DNS pour bloquer les requêtes DNS suspectes ou non autorisées provenant de sources non fiables ou inconnues
5. Mise en place des contre-mesures
| Menace | Risque | Contre-mesure | Mise en place |
|---|---|---|---|
| DDoS | Élevé | Mise en place de systèmes de détection | Oui |
| DNS cache poisoning | Moyen à élevé | Utilisation de DNSSEC | Oui |
| DNS hijacking | Moyen | Surveillance régulière et gestion des privilèges | Oui |
| DNS reconnaissance | Faible | Réduction de la visibilité des informations sensibles | Non |
6. Documentation des risques résiduels
- DNS reconnaissance
7. Plan de maintenance
- Surveillance régulière : Faire des vérifications régulières pour s'assurer que le serveur DNS fonctionne correctement et répond aux requêtes de manière appropriée.
- Mises à jour et correctifs
- Gestion des enregistrements DNS : Effectuer régulièrement des audits des enregistrements DNS pour s'assurer de leur exactitude et de leur cohérence.
- Sauvegarde et récupération : Mettre en place des mécanismes de sauvegarde réguliers pour les données DNS.