Alors que le nombre de clients et d’objets connectés ne cesse de croître, les opérateurs de télécommunications et fournisseurs d’accès Internet (ISP) doivent plus que jamais assurer le service au client tout en protégeant leur système d’information des attaques informatiques. Ces entreprises doivent toujours fournir des services disponibles et très rapides à leurs clients, même lorsqu’ils sont sous une attaque de type DDoS. Cela suppose de posséder une infrastructure performante et sécurisée prenant en charge de nouvelles charges de travail et des applications comme la téléphonie mobile, le BYOD (Bring Your Own Device) et l’Internet des objets. Mais parviennent-ils à répondre à ces attentes ? Quelles sont leurs méthodes ?
On pourrait croire que les opérateurs et FAI sont les entreprises les plus averties et conscientes des enjeux liés à la sécurité de leurs serveurs DNS. Or, l’expérience montre que lors d’une attaque les systèmes de sécurité traditionnels qu’ils utilisent ne sont pas ou plus adaptés aux nouvelles menaces. L’approche traditionnelle des FAI consiste à empiler les serveurs et les équilibreurs de charge pour soutenir l’augmentation du trafic, même s’ils ne connaissent pas vraiment le profil du trafic et ignorent pourquoi il augmente. Les solutions de sécurité DNS traditionnellement utilisées fonctionnent à “l’aveugle” et ne sont pas en mesure de comprendre ce qu’est réellement le profil de trafic sur ces serveurs. Les applications actuelles sont toutes basées sur le protocole IP et si un serveur DNS ne répond pas avec la performance attendue ou si elle est trop faible, toutes les applications seront inaccessibles ! Une cyberattaque a donc un impact négatif très rapide et directe sur l’entreprise, ses utilisateurs et ses clients. Les entreprises de télécommunication et les FAI se rendent compte que la faible sécurité DNS dégrade Internet et la disponibilité mais n’ont pas la bonne visibilité pour
comprendre et gérer cette infrastructure.
Une sécurité DNS mal gérée pour les telcos
De nombreux opérateurs de télécommunications et fournisseurs de services Internet pensent que le blocage du trafic est LA solution aux problèmes de DNS. Malheureusement, les attaques sont de plus en plus sophistiquées et il est de plus en plus difficile de comprendre le modèle, la source ou la cible d’attaque. Toutefois, bloquer simplement le trafic peut conduire à bloquer celui d’un client important, d’une société ou même un pays si l’information nécessaire à la bonne prise de décison n’est pas disponible. Les récentes attaques sur Rackspace ou DNS Simple ont démontré la limite des solutions de sécurité classique et DDoS, pour protéger les services DNS. L’attaque DDoS du fournisseur de services Rackspace a paralysé ses serveurs DNS pendant 11 heures. Pour faire face à cette attaque, l’entreprise a bloqué le trafic qu’il pensait être à l’origine de l’attaque, malheureusement ils ont admis avoir bloqué aussi du trafic légitime venant de leurs clients. Le même mois, DNSimple fait face une attaque similaire et décide finalement de désactiver le mécanisme de sécurité DDoS du DNS pour retrouver un service normal de résolution de noms.
Dans les deux cas, les entreprises ont pris des mesures radicales qui prouvent que les solutions actuelles ne sont pas adaptées aux problématiques des services DNS et que les entreprises restent vulnérables.
Des attaques aux conséquences lourdes …
La sécurité du DNS est mal gérée dans de nombreuses organisations informatiques et l’écosystème de la menace est apte à lancer des attaques où le serveur DNS peut être la cible ou un vecteur pouvant entraîner :
– Échec ou lenteur de l’accès à des sites Web et des applications
– Reroutage du trafic Web vers des sites Web non-autorisés et potentiellement criminelles entraînant des vols de données, une fraude d’identité, …
Au-delà de ces dommages, les entreprises de télécommunications investissent énormément dans leur infrastructure (pare-feu, load-balancer, monitoring…) pour faire face aux cyberattaques. Or, ce genre d’administration et de dépenses peuvent paraître excessives quand ces solutions ne savent pas exactement ce qui se passe. Quand on ne peut pas voir la source d’une attaque, y répondre s’avère risqué .
… mais contournables
Un fait important : 95% du trafic se focalise sur un minimum de nom de domaines souvent demandés (Ex : google, Facebook, sites d’informations,…). Partant de ce constat, la priorité est d’être réactif pour assurer un accès à ses utilisateurs, quel que soit le cas de figure. On a pu mesurer qu’en moins de cinq minutes, un opérateur peut perdre l’accès à ces 95% de trafic ; un timing limité pour prendre conscience de l’attaque et prendre une décision pour la contrer efficacement.
Heureusement, certains fournisseurs et éditeurs de solutions de sécurité DNS ont développé des technologies pour voir l’attaque de l’intérieur, ils peuvent donc effectuer une analyse plus fine ; une analyse qui permet de proposer une sécurité adaptative ou graduelle. Dans les cas extrêmes, la solution consiste à ne plus répondre qu’avec les données en cache et refuser les requêtes inconnues. C’est 95% du trafic qui est ainsi traité, ce qui constitue une bonne alternative et permet de gagner du temps pour répondre à la menace. Serait-ce la solution miracle pour limiter l’impact d’une attaque ? Il serait alors possible de mettre à la corbeille les multitudes de pare-feu, serveurs et autres équilibreurs de charge, coûteux en terme de gestion et pesant lourd dans le budget des entreprises de télécommunication. (Par Hervé DHELIN, EfficientIP)