Chroniques du Cloud, partie 2 : Prévention et défense contre les attaques DDoS DNS
La sécurité n’est peut-être pas la première considération lorsque l’on considère la manière dont une solution DNS s’intégrera à votre environnement. Après tout, on l’appelle souvent « l’annuaire téléphonique d’Internet » et à quelle fréquence les annuaires téléphoniques et la sécurité sont-ils mentionnés dans la même phrase ? Le DNS est un peu discret, même s’il constitue fondamentalement l’épine dorsale des interactions quotidiennes sur Internet. Peut-être en raison de cette omniprésence, les services DNS sont également fréquemment la cible d’ attaques par déni de service distribué (DDoS) . À mesure que la complexité et la fréquence de ces attaques augmentent, les exigences liées à la défense de cette pierre angulaire de l’infrastructure Internet augmentent également.
Attaques DDoS DNS : Une rose sous un autre nom perturberait toujours la circulation
Que peut-on dire sur les attaques DDoS DNS qui n'a pas déjà été dit ? Ils se déclinent en plusieurs versions et varient en taille, depuis « gênant » jusqu’à « casser Internet » , ou du moins un coin de celui-ci. « DDoS » est un terme générique qui englobe une myriade de types d’attaques de réseau et d’applications qui refusent les services et qui parviennent à s’immiscer dans le trafic d’applications légitimes . Voici quatre des attaques à grande échelle les plus courantes :
Attaques d'amplification et de réflexion DNS transformer le DNS lui-même en une arme, en exploitant la nature ouverte des serveurs DNS pour amplifier le trafic d'attaque, un peu comme crier dans un canyon et utiliser l'écho pour amplifier le son.
Les attaques NXDOMAIN inondent un serveur de requêtes pour des domaines inexistants, créant une cacophonie insidieuse de « mauvais numéros » qui ralentissent le service.
Les attaques de sous-domaines aléatoires posent un problème en demandant une vaste gamme de sous-domaines inexistants, déroutant ainsi les résolveurs DNS.
Les inondations DNS inondent un ou plusieurs serveurs avec un trafic d'apparence légitime, essayant de submerger un système par un volume considérable.
Les attaques DNS Floods, Subdomain, NXDOMAIN et Amplification and Reflection : quelle que soit leur forme, elles cherchent toutes à utiliser un trafic excessif ou irrégulier pour perturber l'accès des utilisateurs légitimes aux applications critiques pour l'entreprise. Ils ne sont pas non plus toujours lancés de manière isolée. En effet, les attaques DDoS DNS peuvent également servir d’ écran de fumée pour masquer d’autres activités malveillantes. Compte tenu de l’existence de ces types d’attaques dans le contexte de la prolifération des transformations numériques, de la prévalence croissante des appareils IoT et de l’expansion de l’accès au réseau 5G, les mauvais acteurs peuvent désormais exploiter plus de technologies et plus de connexions Internet que jamais pour atteindre leurs objectifs néfastes contre les services DNS. Ce qu'il faut faire?
Attaques multi-vectorielles, sécurité multi-vectorielle
Positionner le DNS comme point de départ de la distribution d’applications dans un environnement oblige réellement les équipes à le considérer également comme un point de départ pour la sécurité, même si un service DNS n’est généralement pas considéré comme une solution de sécurité au sens traditionnel du terme.
Il est utile de réfléchir à la sécurité dans le contexte de trois fonctions liées : l’évolutivité, la haute disponibilité et la gestion du trafic malveillant. Toutes ces fonctions jouent un rôle pratique dans l’interaction avec le trafic, garantissant que le bon trafic arrive là où il doit être, sans obstruction.
Évolutivité : Envisagez une infrastructure conçue pour évoluer automatiquement en réponse à l’augmentation des demandes de trafic, donnant aux équipes qui maintiennent le service une longueur d’avance sur la détection des attaques DDoS. Il peut garantir que même lors d'une attaque volumétrique, les utilisateurs légitimes peuvent toujours résoudre leurs requêtes DNS avec une interférence minimale, comme avoir un pont qui peut ajouter des voies pendant les heures de pointe pour éviter les embouteillages. La capacité d'un service DNS à évoluer signifie également qu'une vague soudaine de trafic, malveillante ou non, ne submergera pas les ressources du backend au point de les paralyser.
Haute disponibilité : Ajoutez une autre dimension à la notion d'évolutivité, en particulier dans le contexte de la sécurité DNS, et vous réaliserez la nécessité d'un service DNS qui fournira des résolutions ininterrompues lors d'une attaque susceptible de mettre une ressource hors ligne. Si ce service bénéficie de points de présence (PoP) dans le monde entier, ce réseau de serveurs peut fournir une gestion intelligente du trafic en fournissant des basculements transparents vers des ressources désignées, en permettant l'accès aux utilisateurs et en empêchant les attaquants d'identifier et d'exploiter un point de défaillance unique. L’autre variante de cette solution consiste à associer un service DNS basé sur le cloud à un service DNS sur site, en déployant les deux comme une sorte de duo dynamique de lutte contre les attaques DDoS qui peut répartir la charge entre eux ou positionner un service DNS comme sauvegarde de l’autre.
Gestion du trafic malveillant : Au-delà de l’évolutivité et de la haute disponibilité, un service DNS doit également utiliser des capacités avancées de gestion du trafic malveillant. En exploitant des analyses en temps réel et des renseignements sur les menaces, un tel service peut aider les administrateurs à identifier et à traiter le trafic malveillant avant qu'il ne puisse causer des dommages. Imaginez, si vous le voulez bien, un filtre à eau capable de faire la différence entre un jet d’eau propre et un jet d’eau contaminée, ne laissant passer que l’eau propre. Autoriser uniquement le trafic « propre » sur le réseau libère des ressources en détectant le trafic malveillant de manière préventive, puis en le supprimant avant qu’il n’atteigne sa destination victime, évitant ainsi à cette destination d’avoir à gérer des paquets indésirables et ouvrant la voie à une meilleure disponibilité des applications.
Ces méthodes de sécurité s’articulent autour du problème de l’atténuation du trafic malveillant. Ils grandissent, ils se détournent, ils chutent. Ils se couvrent également mutuellement dans les domaines où une méthode individuelle peut faire défaut. Une haute disponibilité , par exemple, ne signifie pas nécessairement une grande évolutivité (et vice versa). Cependant, le déploiement d’une stratégie de diffusion d’applications qui combine ces trois éléments peut rapidement fournir une ligne de défense solide contre les flux de trafic malveillants.
En pratique, pour garantir une distribution d’applications robuste face à des défis tels que les attaques DDoS, il faut souvent combiner des stratégies et des technologies, telles que la gestion intelligente du trafic, les architectures distribuées et les mécanismes de basculement automatisés. F5 Distributed Cloud DNS peut être la première étape dans le développement de ce type d’environnement pour vos applications distribuées.
Si vous souhaitez en savoir plus sur la manière de procéder, contactez-nous .