Rôle de la sécurité au niveau du DNS pour le SASE

De nombreux articles dans l’industrie et mon blog sur le décryptage de SASE sont très clairs sur les principaux composants de SASE.
Dans le cas de SASE Security, les composants prédominants sont Secure Web Gateway (SWG), Cloud Access Security Broker (CASB), Zero Trust Network Access (ZTNA) et Next-Generation Firewall (NGFW).
Les fonctions de sécurité de ces composants sont le contrôle d’accès basé sur l’adresse IP, le domaine, l’URL et la réputation des fichiers, l’anti-malware, la prévention de la perte de données, la prévention des intrusions, en plus des contrôles d’accès basés sur des politiques à différents niveaux, y compris les contrôles d’accès L3/L4, les contrôles d’accès basés sur la catégorie d’URL, les contrôles d’accès au niveau de la fonction du logiciel en tant que service, etc.
Le protocole de transfert hypertexte (HTTP) étant le protocole le plus courant pour l’accès à l’internet, aux logiciels en tant que service et même aux applications d’entreprise, les fonctions de sécurité sont décrites dans le contexte du protocole de transfert hypertexte dans de nombreux articles.
Dans cet article, l’accent est mis sur le protocole Domain Name System (DNS) et sur la protection contre les menaces qui peut être assurée par les proxys DNS.
Chez Aryaka, nous pensons que SASE doit inclure la sécurité basée sur le DNS. Qu’est-ce que le DNS ? Le DNS est un système qui traduit les noms de domaine lisibles par l’homme en adresses IP.
Les ordinateurs communiquent entre eux à l’aide d’adresses IP, mais les noms de domaine sont plus faciles à retenir et à utiliser pour les humains.
Lorsqu’un utilisateur tape un nom de domaine dans son navigateur pour accéder à un site web ou à un service, le navigateur envoie une requête DNS à un résolveur DNS pour rechercher l’adresse IP associée au nom de domaine.
Le résolveur recherche l’adresse IP dans une base de données distribuée appelée hiérarchie DNS et la renvoie au navigateur, qui utilise alors l’adresse IP pour établir une connexion avec le serveur hébergeant le site web ou le service. Sécurité via DNS et sécurité DNS Le terme « sécurité DNS » est généralement utilisé pour désigner les mesures prises pour protéger l’infrastructure DNS de l’entreprise, y compris les serveurs DNS faisant autorité et les résolveurs DNS.
La « sécurité via le DNS » fait référence à l’utilisation du protocole DNS pour la protection contre les menaces et le contrôle d’accès, généralement via des proxys DNS transparents.
Puisque SASE consolide plusieurs services de sécurité réseau en un seul, nous pensons que SASE doit inclure à la fois des fonctionnalités de « sécurité via DNS » et de « sécurité DNS ».
Ces deux fonctionnalités peuvent être réalisées par SASE via le mécanisme de proxy DNS.
La partie SD-WAN de SASE peut intercepter le trafic DNS et le transmettre à un proxy DNS pour exécuter diverses fonctions de sécurité.
Un proxy DNS doit également agir comme un simple résolveur DNS (non récursif) pour envoyer les requêtes DNS aux résolveurs/serveurs DNS en amont. Caractéristiques communes du proxy DNS SASEAssurer la confidentialité : Les requêtes DNS générées par des clients tels que les applications client/navigateurs natifs ne sont pas cryptées.
De ce fait, toute entité intermédiaire ayant accès au trafic peut voir quels sites web sont visités par les utilisateurs.
Ce manque de confidentialité peut faciliter la tâche des attaquants de type « man-in-the-middle » qui peuvent ainsi suivre le comportement en ligne des utilisateurs.
Étant donné que le proxy DNS de SASE peut intervenir avant que les requêtes DNS ne sortent de la frontière logique de l’entreprise, il peut protéger la confidentialité du comportement en ligne des utilisateurs via DNS-over-TLS et DNS-over-HTTP avec les résolveurs DNS en amont.
Le proxy DNS intercepte les requêtes DNS des clients et peut les transmettre via DNS-over-HTTPS/TLS aux résolveurs DNS en amont. Garantir l’intégrité et l’authentification des réponses DNS : Le système DNS repose sur la confiance.
Les clients et les résolveurs DNS font confiance aux réponses DNS qu’ils reçoivent des serveurs et résolveurs DNS en amont.
Si les systèmes DNS en amont sont compromis, il est possible pour les attaquants d’envoyer des réponses DNS avec les adresses IP de leur site d’attaquants pour les noms de domaine authentiques.
C’est ce qu’on appelle l’usurpation d’identité (spoofing) ou l’empoisonnement du cache DNS.
Les améliorations apportées au protocole DNS par le DNSSEC (Secure DNS) constituent l’une des solutions pour mettre fin à l’usurpation d’identité DNS.
DNSSEC protège contre les attaques en signant numériquement les données de réponse DNS afin d’aider les clients/résolveurs DNS à valider l’authenticité des données, protégeant ainsi contre les données DNS manipulées/faussées.
Cependant, tous les clients et résolveurs DNS ne sont pas capables d’exécuter le DNSSEC. Les mandataires DNS qui s’interposent entre les clients DNS et les serveurs DNS en amont peuvent vérifier la validation des données à l’aide de la fonctionnalité DNSSEC. Protection contre les attaques par inondation du DNS : J’ai trouvé cet article très complet dans la description des attaques DDoS sur l’infrastructure DNS, en particulier les attaques par amplification et réflexion DNS, qui peuvent submerger la victime.
Il s’agit à la fois de l’infrastructure sur laquelle fonctionnent les serveurs/résolveurs DNS et du service DNS lui-même.
Un autre type d’attaque vise à épuiser les ressources (CPU et mémoire).
Les exemples de ce type comprennent les attaques par inondation NXDOMAIN et les attaques par torture de l’eau où l’attaquant envoie des requêtes DNS avec des domaines et sous-domaines inexistants avec des étiquettes aléatoires.
SASE, avec son service de pare-feu L3/L4, peut empêcher les réponses DNS d’atteindre la victime s’il n’y a pas eu de requête DNS pour eux, stoppant ainsi efficacement les attaques par réflexion.
En outre, SASE, avec son service générique de limitation de débit, peut être utilisé pour restreindre le nombre de requêtes par IP/sous-réseau source, atténuant ainsi l’afflux de services DNS (résolveurs et serveurs).
Un proxy DNS SASE est nécessaire pour une protection intelligente contre les attaques par inondation, y compris les inondations NXDOMAIN et les attaques de type « water-torture ».
Le proxy DNS SASE atténue ces attaques en limitant le débit au niveau du protocole DNS et en détectant les étiquettes aléatoires à l’aide de méthodes de détection des noms de domaine anormaux. Protection contre les exploits basés sur le DNS : Les vulnérabilités et la mauvaise configuration de l’infrastructure DNS peuvent être exploitées par des attaquants pour compromettre les services DNS.
Une fois qu’un service DNS est compromis, les attaquants peuvent usurper les réponses DNS avec leurs propres adresses IP.
Parmi les exemples de vulnérabilités par débordement de mémoire tampon, citons la vulnérabilité TKEY de Bind9 et la vulnérabilité par débordement de requête inverse.
Certains exploits peuvent être détectés en vérifiant la conformité avec les RFC pertinentes.
Cependant, dans certains cas, la charge utile de l’exploit respecte les RFC, tout en tirant parti de vulnérabilités dans la mise en œuvre des services DNS.
La sécurité SASE comprend généralement un système de détection et de protection contre les intrusions (IDPS) qui peut être utilisé pour détecter les exploits connus.
Pour une protection de type « zero-day », il est important que le proxy DNS SASE vérifie la conformité du protocole et utilise la détection d’anomalie pour identifier le contenu anormal de la charge utile DNS par rapport à ce qui est généralement observé. Contrôler l’accès et empêcher les utilisateurs de visiter des sites ayant une mauvaise réputation : Comme décrit dans la section « Qu’est-ce que le DNS » ci-dessus, la requête de nom de domaine est la première étape lorsqu’un utilisateur visite un site web.
La sécurité Via-DNS peut jouer un rôle important en empêchant les utilisateurs d’accéder à des sites qui hébergent des logiciels malveillants et des contenus d’hameçonnage.
De nombreux fournisseurs de renseignements sur les menaces fournissent des scores de réputation pour les adresses IP et les noms de domaine.
Ces informations peuvent être utilisées pour bloquer les requêtes DNS vers des noms de domaine malveillants et empêcher les réponses DNS qui incluent de mauvaises adresses IP.
La fonctionnalité d’un proxy DNS de SASE permet la mise en œuvre de ce premier niveau de sécurité anti-malware et anti-phishing pour les utilisateurs.
Les proxys DNS de SASE s’intègrent à de multiples fournisseurs de renseignements sur les menaces pour obtenir régulièrement la base de données de réputation IP/Domaine et filtrer les requêtes et les réponses DNS qui impliquent des adresses IP et des noms de domaine malveillants. Cependant, il est important de noter qu’il peut y avoir des faux positifs dans les flux de renseignements sur les menaces, il est donc crucial de s’assurer que votre fournisseur de SASE offre la possibilité de créer des exceptions.
En outre, un proxy DNS SASE permet aux administrateurs de filtrer les noms de domaine et les adresses IP personnalisés, ce qui peut aider à empêcher les utilisateurs d’accéder à des sites qui ne correspondent pas aux intérêts de l’entreprise. Protection contre les services DNS en amont compromis : Comme indiqué précédemment, DNSSEC peut résoudre le problème de la validité des réponses DNS et empêcher les réponses DNS contenant des adresses IP usurpées.
Cependant, tous les services DNS ne mettent pas en œuvre le protocole DNSSEC.
La détection de l’usurpation de DNS par des services DNS compromis non basés sur le DNSSEC est cruciale pour empêcher les utilisateurs d’accéder à des sites d’hameçonnage et de logiciels malveillants.
Une technique consiste à utiliser plusieurs résolveurs DNS en amont, à comparer les réponses de chaque résolveur et à ne transmettre la réponse DNS que si les résultats sont cohérents.
La fonctionnalité d’un proxy DNS SASE permet la vérification croisée de plusieurs réponses DNS reçues de divers résolveurs DNS en amont.
Il vérifie la cohérence des réponses et ne répond que si la vérification est réussie.
Étant donné que cette approche peut accroître le temps de latence des requêtes DNS en raison de la nécessité d’attendre les réponses de plusieurs résolveurs DNS en amont, il est courant d’envoyer plusieurs requêtes DNS et d’effectuer une vérification croisée uniquement lorsque la base de données de renseignements sur les menaces n’a pas de réponse pour les noms de domaine interrogés. Indicateurs de compromission (IoC) : L’analyse de sécurité du trafic DNS peut fournir des informations précieuses et des indicateurs de compromission.
Parmi les informations et les indicateurs de compromission que la sécurité DNS de SASE peut fournir, on peut citer

• Noms de domaine suspects à l’aide des flux de renseignements sur les menaces.
• Détection des tentatives d’usurpation de DNS par l’analyse des réponses DNS, comme décrit dans la section « Protection contre les services DNS en amont compromis » et d’autres techniques.
• Identification des codes de réponse DNS anormaux et inattendus, tels que NXDOMAIN et SERVFAIL.
• Détection de modèles de requête inhabituels, tels qu’un volume élevé de requêtes pour un domaine particulier ou des requêtes répétées qui n’aboutissent pas.
• Détection des algorithmes de génération de domaine (DGA) généralement utilisés par les logiciels malveillants pour communiquer avec les centres de commande et de contrôle.
• Identification des réseaux à flux rapide, où les adresses IP associées à un domaine changent rapidement.
  Ce comportement est couramment observé sur les sites hébergeant des logiciels malveillants.

Le proxy DNS de SASE, l’IDPS et les pare-feux jouent un rôle important non seulement en atténuant les risques pour les utilisateurs, mais aussi en fournissant des informations précieuses grâce aux journaux générés par le système SASE. Résumé Selon nous, la sécurité basée sur le DNS sert de première ligne de défense à la fois pour les utilisateurs et pour l’infrastructure DNS, car le DNS est consulté avant que les transactions de données réelles ne se produisent.
La détection des attaques le plus tôt possible est cruciale pour une sécurité efficace.
Bien que la sécurité basée sur le DNS ne soit pas mise en avant dans la littérature SASE/SSE actuelle, nous croyons fermement que les services SASE/SSE devraient incorporer la sécurité basée sur le DNS. Consultez les précédents articles de blog sur le SASE et les sujets liés à la sécurité ici.