Actualités

Faille et vulnérabilité DNS

La faille d'envergure[1][2], découverte par Dan Kaminsky et qui a entrainé une série de correctifs pour la grande majorité des serveurs DNS existants n'est pas à prendre à la légère, puisque les impacts potentiels sont importants : En ayant la capacité de corrompre les entrées (le cache) des serveurs DNS, c'est une des clés de voute du SI qui est attaquée.

L'exploitation de cette vulnérabilité ne posant pas de réelle difficulté si le serveur n'est pas patché, il est indispensable de mettre à jour les serveurs DNS, la plupart étant affectés. Cette mise à jour est d'autant plus critique si vous hébergez des serveurs ouverts et permettant d'effectuer des requêtes récursives.

Si votre serveur DNS venait à être corrompu, c'est toutes vos requêtes vers l'extérieur (et vers vous dans une certaine mesure) qui peuvent être interceptées, puisque l'attaquant aura la possibilité de rediriger les internautes de manière totalement transparente vers le site de son choix. Un tel contexte est un catalyseur très important pour les attaques de type phishing, installation de malwares (via les mises à jour automatiques), et aussi Man In The Middle (donc interception de mails entrants/sortants, des connexions vers l'extérieur etc.).

Il faut garder à l'esprit que le correctif n'élimine pas le risque à 100%, mais vise plutôt à rendre l'attaque beaucoup plus difficilement réalisable, en effet on passe de 32,769 paquets nécessaires pour réussir l'attaque à un nombre de tentatives nécessaires compris entre 134,217,728 et 4,294,967,296. Un tel niveau est très raisonnable en sécurité, le risque est réellement minimisé. "

Dans la mesure du possible, nos experts réinstallent le services DNS Bind en dernière version afin de vous protéger contre cette nouvelle attaque.

Cette prestation nécessite que vos DNS soient sous Unix et utilise le service BIND ou sous Windows par l'intermédiaire du service de Microsoft.

Vos configurations sont préservées et les services mis à jour l'un après l'autre afin qu'il n'y ait pas de rupture de service.

Nous réinstallons vos serveurs DNS primaire et secondaire selon les normes de sécurité élevées éditées par notre laboratoire :

Linux Debian Etch

Noyau patché GRsec

Bind cagé en dernière version

Limitation du trafic pour éviter les empoisonnement de cache.

Cette plateforme robuste vous permet de mettre vos utilisateurs à l'abris du phishing et de nombreuses autres attaques que permet cette nouvelle faille DNS. La configuration de vos zones est remise en place afin que tout soit identique, mais plus sécurisé.

Nous installons une infrastructure DNS basée sur des OS OpenBSD ou Linux renforcés.

Ces serveurs sont paramétrés avec les plus hauts niveau de sécurité actuellement disponibles :

Anti Overflow et programmes compilés en statique

Services non privilégiés et élimination des packages inutiles

Limiteur de trafic et détection des attaques sur les services DNS

Randomisation des ports sources

Remplacement de Bind par DJBDNS

Bon à savoir :
La GMAO permet de gêrer toutes les opérations, de la plannificiation à la réception, de la demande de maintenance à la facturation. Le test d'intrusion, qu'il soit externe ou interne, permet de vérifier son niveau réel d'exposition face à des personnes qui seraient mal intentionnées. Une bonne formation en sécurité doit être adaptée à son public, dirigeants, employés, membres de la DSI ou futur RSSI. En sécurité informatique, comme ailleurs, la confiance n'exclue le contrôle. L'audit de sécurité est le moment idéal pour l'équipe exploitant le SI d'effectuer un transfert de compétences. Une bonne GMAO engendre en moyenne 30% de réduction des coûts de maintenance. L'audit de sécurité peut être "ouvert" en whitebox avec mise à disposition des accréditations ou des sources, ou "fermé" en blackbox.

© NBS System 2000-2007. Tous droits réservés. Entreprise spécialisée dans la sécurité informatique. Nous vous proposons des prestations telles que l'audit de sécurité ou encore le test d'intrusion.