DNS : les meilleures pratiques de sécurité à mettre en œuvre dès maintenant

Gestion de base des serveurs DNS

Le premier ensemble de meilleures pratiques de sécurité DNS concerne la création d'un déploiement DNS renforcé et redondant. Utilisez les stratégies suivantes pour créer une base sécurisée offrant une plate-forme solide pour des réglages supplémentaires :

• Sécuriser et renforcer le serveur hôte. Renforcez le serveur hôte où réside le DNS. Assurez-vous que le service DNS fonctionne sur une version actuelle du système d'exploitation, avec un calendrier de correctifs régulier. Ne faites fonctionner que les logiciels et services nécessaires, sans applications supplémentaires susceptibles d'introduire des vulnérabilités.
• Déployer plusieurs serveurs DNS. Évitez les points de défaillance uniques en déployant plusieurs serveurs DNS. Cette redondance permet aux appareils clients de résoudre les noms même si un serveur est indisponible. Il est conseillé de placer les serveurs près des utilisateurs, ce qui permet d'avoir des serveurs DNS dans les bureaux décentralisés. Utilisez le protocole DHCP pour fournir les paramètres des serveurs DNS avec les informations d'adresse IP standard.
• Auditer régulièrement les paramètres et journaux de sécurité DNS. Auditez régulièrement les paramètres de sécurité des serveurs DNS pour vous assurer qu'ils sont à jour, qu'ils correspondent à la posture de sécurité de l'organisation et qu'ils suivent les nouvelles recommandations de sécurité. Des scanners de vulnérabilités automatisés peuvent aider. Examinez les fichiers journaux DNS pour surveiller les requêtes, connexions ou autres trafics DNS inattendus.
• Contrôler l'accès aux serveurs DNS. Contrôler l'accès aux services DNS et aux enregistrements de ressources est crucial. Limitez l'accès à la console aux administrateurs autorisés et implémentez des méthodes d'authentification fortes, incluant l'authentification multi-facteurs (MFA) et des mots de passe robustes. Appliquez le principe du moindre privilège.
• Maintenir une solide stratégie de récupération après sinistre. Maintenez un calendrier de sauvegardes régulier pour protéger les informations DNS et de configuration. Implémentez une infrastructure standard de transfert de zones DNS parallèlement à ce plan de sauvegarde afin de garantir que tous les serveurs contiennent des informations actuelles de résolution de noms. Cela devrait faire partie du plan global de récupération après sinistre de l'organisation.

Configurations standard des serveurs DNS

Après avoir renforcé la plateforme DNS, considérez les paramètres de sécurité au sein du service DNS lui-même. Les pratiques suivantes spécifient des configurations DNS qui aident à atténuer les menaces pesant sur la résolution de noms :

Implémenter le transfert DNS

Redirigez les requêtes de résolution de noms DNS pour les ressources externes vers des serveurs DNS dédiés situés dans la DMZ. Les serveurs DNS internes résolvent les ressources internes. Lorsque des requêtes ne correspondent pas à une ressource interne, elles sont envoyées à des serveurs DNS spécifiques ayant une connectivité directe à Internet. Ne pas exposer directement les serveurs DNS internes à Internet renforce leur sécurité.

Gérer les transferts de zone DNS

Les transferts de zone DNS permettent de garder les serveurs DNS redondants à jour. L'implémentation de services DNS permet généralement aux administrateurs de restreindre les transferts de zone à des adresses IP spécifiques. Assurez-vous que ce paramètre n'inclut que des serveurs DNS légitimes et aucun autre appareil. Des options de chiffrement DNS, comme les Domain Name Security Extensions (DNSSEC), aident également à sécuriser ce processus.

Implémenter les zones intégrées à Active Directory

Les administrateurs Windows Active Directory (AD) et DNS peuvent intégrer les transferts de zone DNS et les mises à jour DNS dans le processus de réplication AD plus vaste. Cette option fournit une sécurité supplémentaire pour les informations DNS dans la réplication AD. Elle offre également une réplication multi-maîtres des données DNS, éliminant ainsi une topologie de réplication DNS séparée. Le processus de réplication d'AD assure également une plus grande redondance et efficacité.

Utiliser le filtrage DNS pour bloquer les sites malveillants

Les filtres DNS vérifient les demandes de domaine des clients par rapport à une liste noire pour empêcher l'accès à des sites spécifiés avant même que la tentative de résolution de noms ne se produise. Cela empêche efficacement de nombreuses menaces avant qu'elles ne surviennent, par exemple en empêchant les utilisateurs d'accéder à des sites contenant des logiciels malveillants ou du contenu qui viole la politique d'utilisation acceptable de l'organisation. Les administrateurs peuvent maintenir des listes noires personnalisées ou acquérir des listes mises à jour auprès de sources tierces.

Implémenter le chiffrement DNS

Le chiffrement est essentiel pour protéger l'intégrité des données DNS et la confidentialité des requêtes de résolution de noms des clients. Les organisations ont plusieurs options de chiffrement à considérer, incluant des approches qui valident les données DNS, comme DNSSEC, ou qui protègent les requêtes clients, telles que DNSCrypt, DNS over TLS (DoT) ou DNS over HTTPS (DoH).

• DNSSEC. Les services DNS modernes proposent DNSSEC, conçu pour protéger contre le cache poisoning et le spoofing. DNSSEC utilise des signatures numériques pour valider la source des données DNS. Cependant, DNSSEC n'assure pas de confidentialité des données ni ne protège les requêtes de résolution de noms DNS.
• DNSCrypt. DNSSEC ne protège pas les requêtes de résolution de noms des clients, mais DNSCrypt, un logiciel open source, le fait. Il vérifie les sources des réponses aux requêtes DNS et confirme que les réponses n'ont pas été altérées en transit. Il garantit également l'anonymat des clients.
• DNS over TLS. DoT utilise TLS pour chiffrer les requêtes de résolution de noms entre les clients DNS et les serveurs DNS afin d'empêcher les attaques en écoute de trafic. Il augmente également la confidentialité en empêchant les FAI de consigner les requêtes de résolution de noms. La mise en œuvre de DoT nécessite un certain effort mais peut offrir des avantages significatifs. DoT utilise le port TCP 853, ce qui peut nécessiter des modifications des contrôles de pare-feu.
• DNS over HTTPS. DoH adopte une approche similaire à DoT, mais encapsule les requêtes DNS dans des paquets HTTPS. Ce trafic ressemble à n'importe quelle autre communication web HTTPS, le rendant effectivement indétectable pour les outils de surveillance et l'espionnage. Comme le trafic HTTPS classique, il repose sur le port TCP 443. DoT et DoH continuent de gagner en popularité à mesure que les plates-formes clientes ajoutent du support. DoH offre une plus grande confidentialité et fonctionne avec n'importe quel navigateur, bien qu'il soit un peu moins efficace que DoT.

Mettre en place les meilleures pratiques de sécurité DNS

Il est difficile de surestimer l'importance du DNS. Sans lui, les communications réseau seraient bien plus difficiles. Diverses activités malveillantes menacent la résolution des noms, notamment les modifications non autorisées de données et les violations de la vie privée.

Atténuez ces préoccupations avec des pratiques de sécurité DNS solides, notamment en renforçant les serveurs, en chiffrant les données et en implémentant des techniques de résilience pour protéger contre la perte de service. En suivant ces pratiques, les organisations peuvent améliorer la sécurité globale de leur réseau tout en maintenant l'accessibilité et la fiabilité des services de résolution de noms.