Depuis l’attaque par déni de service distribué (DDoS) du botnet Mirai en 2016, le service DynDNS a connu une série de changements majeurs. Plus tard en 2016, Oracle a acquis Dyn et a considérablement modifié le paysage des fournisseurs de système de nom de domaine (DNS) corporate. Depuis l’acquisition de Dyn par Oracle, Dyn a émis trois notifications de fin de services et a annoncé qu’à partir du 31 mai 2023, il n’assurera plus de services DNS majeurs, parmi lesquels :
- Les extensions de sécurité DNS (DNSSEC)
- Les serveurs de nom externes
- Les notifications de statut DNS secondaires
- Les notifications de publication de zone
- Les notifications de services avancées pour le suivi des changements d’agent
Qu’est-ce que cela signifie ?
Cela signifie que les entreprises devront prendre certaines mesures. Elles devront d’abord choisir un nouveau fournisseur DNS, puis migrer vers son infrastructure. Pour comprendre les risques et les effets liés au changement de services DNS, les entreprises doivent d’abord comprendre les menaces qui pèsent sur les serveurs DNS faisant autorité.
DDoS
Aujourd’hui, l’attaque DDoS est probablement la menace la plus fréquente et perturbatrice. Ce type d’attaque cible les sites web et les serveurs en perturbant les services de réseaux dans le but d’épuiser les ressources d’une application. Les auteurs de telles attaques inondent le site de trafic errant, ce qui entraîne un mauvais fonctionnement du site web, ou le rend tout simplement inaccessible. La prolifération des objets non sécurisés connectés à Internet (IoT) constitue une opportunité pour les hackers de créer une armée de botnets en vue de les attaquer.
Les attaques DDoS sont réalisées à des fins d’extorsions, de dissimulation de tentatives d’intrusion, d’attaques sponsorisées par un État, de pratiques commerciales anticoncurrentielles, d’hacktivisme en vue de contester des activités commerciales, ou peuvent être auto-infligées du fait d’une mauvaise configuration. Il est impossible de prédire le moment et le lieu de ces attaques. Les attaques DDoS ciblent souvent les bases de données, les applications et les infrastructures simultanément pour augmenter leurs chances de réussite.
Empoisonnement du cache DNS
Aussi connu sous le nom de spoofing de DNS, l’empoisonnement du cache DNS désigne l’entrée de fausses informations dans un cache DNS afin que les requêtes DNS renvoient une réponse incorrecte et que les utilisateurs soient dirigés vers le mauvais site web. Les résolveurs DNS sont souvent qualifiés d’annuaires d’Internet. Lorsque les résolveurs fonctionnent correctement, ils traduisent du texte lisible par les humains en adresses IP qu’ils stockent dans une mémoire localisée pour réduire la fréquence des requêtes DNS.
Les empoisonnements DNS sont réalisés à des fins de phishing, de distribution de contenu nuisible (tel que les vers et virus informatiques) et de collecte d’informations personnelles (telles que des identifiants ou données de cartes bancaires). Sécurisez votre serveur DNS avec le DNSSEC. Grâce à des signatures numériques basées sur la cryptographie et signées au moyen d’un certificat de clé publique de confiance, il peut déterminer l’authenticité des données et ainsi contrer les attaques par empoisonnement du cache.
Comment protéger les entreprises des menaces DNS
L’atténuation des menaces de sécurité DNS nécessite une approche à plusieurs niveaux ou la mise en œuvre simultanée de plusieurs stratégies de protection. Une infrastructure DNS fortifiée doit pouvoir résister à des attaques DDoS de grande ampleur tout en restant accessible pour les clients. Comprendre le taux d’absorption de bande passante de votre fournisseur DNS peut vous aider à augmenter votre résilience et à diminuer les risques associés à des événements du réseau. La dispersion géographique des nœuds peut également s’avérer utile, car elle permet une plus grande redondance géographique et de transit.
Une infrastructure SOC dédiée 24 h/24, 7 j/7 et 365 j/an est également essentielle pour surveiller le trafic et éliminer toute anomalie, ce qui peut être effectué au niveau local la plupart du temps. Une fois détecté grâce à des techniques d’analyse de données avancées telles que la télémétrie, le trafic anormal doit automatiquement être isolé et éloigné des serveurs cibles au moyen de contre-mesures. En général, le détournement de Border Gateway Protocol est la méthode privilégiée. Si le trafic d’attaque tend à dépasser la capacité d’atténuation locale, le ou les segments cibles devront être détournés au travers de nœuds globaux. Une infrastructure DDoS dédiée et distincte permet aux clients de maintenir en ligne l’infrastructure essentielle à leur activité pendant que des spécialistes SOC œuvrent au retour à la normale des services DNS en évitant le plus possible toute perturbation. Ces réseaux devront faire l’objet d’un audit indépendant et une annonce publique devra confirmer aux clients que les infrastructures sont bien distinctes, conformément aux normes de certification de l’American Institute of Certified Public Accountants (Institut américain des comptables publics certifiés) établies dans le SSAE (Statement on Standards for Attestation Engagements, Déclaration sur les normes relatives aux opérations de certification) No. 18.
Pour continuer sur le thème des infrastructures DNS distinctes, un DNS secondaire permet souvent à un ou plusieurs fournisseurs DNS de fournir des services de résolution des serveurs DNS faisant autorité et offre une meilleure atténuation des menaces DDoS. Par le passé, le maintien de la fonction avancée des serveurs DNS faisant autorité pour tous les fournisseurs s’est avéré difficile pour les entreprises clientes. Cependant, la solution Ultimate DNS de CSC a été conçue pour répondre aux besoins croissants des entreprises. Elle comprend toutes les fonctionnalités nécessaires à une entreprise en termes de gestion DNS, auxquelles s’ajoutent une intégration parfaite de leur DNS et de leur portefeuille de noms de domaine, le CNAME flattening ainsi que des options pour le DNSSEC, la géolocalisation, la répartition de charge pondérée et le basculement. Ultimate DNS a également ajouté la redondance d’un deuxième réseau DNS global anycast via une interface à utilisateur unique en configuration active-active, au sein d’une infrastructure internationale offrant le meilleur niveau de disponibilité du secteur.
Que faut-il rechercher dans un fournisseur DNS ?
Bien souvent, les fournisseurs de Cloud n’offrent que des outils en libre-service et limitent la possibilité de proposer une infrastructure DNS secondaire distincte, exposant de fait les clients aux risques et menaces associés. Sur la base des explications données ci-dessus concernant les menaces et les moyens de les atténuer, les entreprises devraient se tourner vers un fournisseur d’infrastructure DNS corporate possédant :
- Un taux de disponibilité avéré de 100 %
- La capacité d’atténuer les menaces DDoS croissantes
- Une infrastructure corporate secondaire en complément de son infrastructure primaire
- Des fonctionnalités avancées sur son infrastructure primaire et secondaire
- Une expérience avérée en matière de migration DNS pour les plus grandes marques du monde
Comment effectuer une migration ou une transition vers un fournisseur DNS en toute sécurité
Une migration réussie suppose une absence de temps d’arrêt pour votre entreprise. Un plan de projet bien défini et une équipe de gestion du projet de migration diminuent fortement les risques de temps d’arrêt ou de panne au niveau du serveur DNS.
Il est donc essentiel de rassembler la bonne équipe interne et d’opter pour un partenaire DNS qui pourra vous assister dans votre migration.
N’attendez pas la dernière minute. À l’approche de la fin des services DynDNS prévue au 31 mai 2023, les ressources des fournisseurs consacrées à l’assistance aux entreprises vont devenir de plus en plus limitées. Bien qu’il existe plusieurs fournisseurs DNS vers lesquels les entreprises peuvent migrer, peu d’entre eux répondent aux critères corporate listés ci-dessus. Vous devriez donc lancer vos recherches sans plus tarder.
Pour en savoir plus sur nos différents services DNS, contactez-nous dès maintenant.
