Le DNS traduit les noms de domaine lisibles par l’homme via des requêtes DNS en adresses IP lisibles par machine, permettant ainsi un accès fluide aux ressources en ligne.
Cependant, cette fonctionnalité essentielle en fait une cible de choix pour les cyberattaques.

Une sécurité DNS compromise peut entraîner des :

• Violations de données : les attaquants peuvent rediriger les utilisateurs vers de faux sites Web pour voler des informations d’identification ou des informations sensibles.
• Infections par logiciels malveillants : le DNS peut être utilisé pour diffuser des logiciels malveillants en résolvant les noms de domaine malveillants.
• Attaques par déni de service distribué (DDoS) : les serveurs DNS peuvent être submergés par le trafic, y compris les attaques par amplification, qui peuvent perturber les services.
• Contournement des architectures Zero Trust : la résolution ouverte des requêtes DNS peut être un moyen de contourner les contrôles réseau Zero Trust.

La norme NIST SP 800-81r3 souligne qu’une infrastructure DNS bien sécurisée est essentielle pour la cyber-résilience, les stratégies de défense en profondeur et les architectures Zero Trust.

Le guide de déploiement couvre en détail divers aspects de la sécurité DNS.

Parmi les points clés, on peut citer :

• L’utilisation du DNS de protection : L’utilisation du DNS de protection pour bloquer les requêtes DNS malveillantes, filtrer le contenu et se conformer aux exigences réglementaires ; le DNS de protection fournit également des données précieuses pour la criminalistique numérique et la réponse aux incidents
• La protection du protocole DNS : Mise en œuvre de mesures pour garantir l’intégrité des services DNS, telles que l’utilisation de DNS chiffrés (DNS sur TLS [DoT] et DNS sur HTTPS [DoH]) et DNSSEC
  
• La sécurisation de l’infrastructure DNS : Déployer des serveurs DNS dédiés et garantir une haute disponibilité et résilience
• La gestion des menaces pesant sur les services faisant autorité : mise en œuvre de mesures visant à prévenir les menaces de transfert de zone, les menaces de contenu de zone, les menaces de mise à jour dynamique et l’utilisation abusive de DNS NOTIFY
• la sécurisation des services récursifs/de redirection : mise en œuvre d’un DNS chiffré, restriction de l’utilisation de fournisseurs DNS publics, détection de l’exfiltration de données via le tunneling DNS et activation de la validation DNSSEC.
• La sécurisation des résolveurs DNS : protection des appareils individuels en sécurisant leurs résolveurs DNS

Ce guide de déploiement de la sécurité DNS du NIST fournit des stratégies essentielles aux professionnels de l’informatique et aux équipes de cybersécurité pour protéger leur infrastructure réseau contre les attaques DNS et les cyber menaces en constante évolution.

Les entreprises doivent examiner et mettre en œuvre les points suivants :

• DNS protecteur et prévention avancée des menaces
• Sécurité du protocole DNS et communication cryptée 
• Sécurité de l’infrastructure DNS
• Protection DNS faisant autorité
• Sécurité DNS récursive
• Sécurité du résolveur de stub
• Prévention des fuites d’informations
• Intégrité du domaine externe et atténuation avancée des menaces

L’utilisation de services DNS de protection, tels qu’un pare-feu DNS avec des renseignements sur les menaces en temps réel, offre une sécurité réseau complète en bloquant les requêtes DNS malveillantes, en filtrant le contenu indésirable et en garantissant la conformité réglementaire.

Ces services fournissent des données médico-légales précieuses pour la réponse aux incidents tout en s’intégrant aux architectures de sécurité existantes telles que les systèmes de gestion des informations et des événements de sécurité (SIEM) et les centres d’opérations de sécurité (SOC).

La protection du protocole DNS nécessite la mise en œuvre de technologies DNS cryptées, notamment la validation DoH, DoT et DNSSEC, pour garantir l’intégrité des communications et empêcher le détournement DNS, les attaques par usurpation DNS et les exploits de type machine-in-the-middle.

La sécurisation de l’infrastructure DNS implique le déploiement de serveurs DNS dédiés avec une implémentation anycast, des mécanismes de basculement automatisés et une distribution géographique pour garantir une haute disponibilité et atténuer les attaques DDoS, y compris les attaques par amplification DNS .

La gestion des menaces pesant sur les services faisant autorité comprend la mise en œuvre de listes de contrôle d’accès pour les transferts de zone, l’authentification par signature de transaction (TSIG), la sécurité des mises à jour dynamiques avec la validation de l’algorithme de service de sécurité générique pour les transactions par secret key (GSS-TSIG) et la protection DNS NOTIFY pour empêcher les attaques basées sur les zones et les modifications non autorisées.

La sécurisation des services récursifs/de transfert implique la mise en œuvre d’un DNS crypté, la restriction de l’utilisation du fournisseur DNS public, la détection du tunneling DNS pour la prévention de l’exfiltration de données et la validation DNSSEC pour protéger les clients internes tout en maintenant les performances du réseau.

La sécurisation des résolveurs stub offre une sécurité DNS au niveau de l’appareil via la configuration du résolveur local, la prévention de l’infection du cache DNS et la gestion des endpoints d’entreprise à l’aide de stratégies de groupe et de l’intégration de la gestion des appareils mobiles pour une sécurité DNS complète sur tous les appareils.

Réduire la quantité d’informations exposées dans les enregistrements DNS afin de limiter les risques de reconnaissance par des attaquants minimise les fuites d’informations.
Il s’agit notamment d’assainir les réponses DNS, de mettre en œuvre des configurations split-horizon DNS, de gérer soigneusement le contenu des enregistrements DNS publics et de protéger les informations relatives aux adresses IP contre toute divulgation non autorisée.

La prévention des attaques sophistiquées grâce à une surveillance proactive des domaines, à la gestion des certificats et à des pratiques d’hygiène DNS permet d’assurer l’intégrité des domaines externes faisant autorité.

La sécurisation de votre infrastructure DNS est primordiale dans le contexte actuel des menaces.
La norme NIST SP 800-81r3 fournit un guide complet pour aider les entreprises à renforcer leur sécurité DNS. 

En mettant en œuvre les recommandations décrites dans ce guide, les organisations peuvent réduire considérablement leur risque d’attaques liées au DNS et améliorer leur résilience globale en matière de sécurité.