Le filtrage DNS : sécuriser le trafic web des équipements non-maîtrisés
Avec la croissance des équipements non-maîtrisés, un nouveau besoin de protection apparaît
La transformation digitale a modifié à une vitesse incroyable nos environnements et outils de travail,
et ce n’est pas sans conséquence en matière de cybersécurité. En effet, le web est devenu le premier vecteur de diffusion des malwares et autres cyberattaques.
Bien que le proxy web (ou la passerelle de sécurité web) soit un outil redoutable et efficace pour protéger le trafic web des entreprises, certaines tendances récentes nécessitent une approche complémentaire. Parmi ces nouvelles tendances, nous pouvons citer:
• l’accélération de la mobilité et des postes non maîtrisés qui se connectent au réseau, comme les téléphones mobiles et les tablettes notamment (aussi appelé le BYOD ou Bring Your Own Device)
• Multiplication des applications métiers utilisées qui se mettent à jour de manière autonome, comme les équipements d’hôpitaux (IRM etc.)
• Augmentation rapide du nombre d’objets connectés au réseau (périphériques, capteurs divers, caméras), etc.
Ces nouveaux équipements ont en commun des capacités de calcul limitées ou une configuration rendant le déploiement d’un agent de proxification difficile.
Le filtrage DNS est une réponse tout à fait efficace pour résoudre ces difficultés et pour protéger efficacement le trafic web de ces équipements.
Qu’est-ce que le DNS ?
Le mécanisme DNS (Domain Name System) permet de traduire un nom de domaine en informations de plusieurs types qui y sont associées, notamment en adresses IP de la machine portant ce nom.
Lorsque l’utilisateur renseigne une URL dans son navigateur, celui-ci demande au serveur DNS, disponible à une adresse connue, de rechercher le nom de domaine indiqué dans l’URL et de fournir l’adresse IP correspondante.
Les entreprises disposent de serveurs DNS pour la résolution des requêtes de leurs zones internes, un transfert vers d’autres serveurs se produit pour les requêtes DNS ne concernant pas les zones internes.
Le DNS est un composant fondamental pour le fonctionnement d’Internet, il est utilisé par tous les périphériques : postes de travail, tablettes, smartphones, objets connectés (IOT).
Par conséquent le DNS est un moyen efficace sur lequel les outils de filtrage DNS peuvent se reposer pour s’assurer de traiter tout le trafic et bloquer tous types de menaces ou accès inappropriés sur tous les ports et protocoles.
Le filtrage DNS
Lorsqu’un serveur DNS est configuré pour bloquer l’accès, il consulte une liste de domaines interdits. Lorsque le navigateur demande l’adresse IP de l’un de ces domaines, le serveur DNS retourne une fausse résolution. Les standards, dont le RPZ, régissent ce mécanisme permettant d’introduire une politique personnalisée dans les serveurs du DNS afin que les résolveurs récursifs renvoient des résultats éventuellement modifiés. En modifiant un résultat, l’accès à l’hôte correspondant peut être bloqué.
Lorsque le serveur DNS donne une mauvaise réponse ou aucune réponse, le poste client ne parvient pas à apprendre l’adresse IP correcte du service qu’il tente de joindre. Sans cette information, il ne peut pas poursuivre et un message d’erreur ou une page de blocage est affichée. Puisque le navigateur ne récupère pas l’adresse IP réelle du site web, il est incapable de le contacter pour obtenir la page web. Par conséquent tous les services et pages web servis sous ce nom de domaine sont inaccessibles.
Dans certains environnements la mise en place d’un proxy web peut être une opération complexe et affecter les performances lors de la navigation. Les responsables de la sécurité informatique peuvent trouver des lacunes à ces solutions qui couvrent uniquement certains ports et protocoles.
Le DNS est un composant fondamental pour le fonctionnement d’Internet, il est utilisé par tous les périphériques : postes de travail, tablettes, smartphones, objets connectés (IOT). Par conséquent le DNS est un moyen efficace sur lequel les outils de filtrage DNS peuvent se reposer pour s’assurer de traiter tout le trafic et bloquer tous types de menaces ou accès inappropriés sur tous les ports et protocoles.
La base de données d’URLs au cœur du filtrage DNS
L’efficacité du filtrage DNS sera étroitement liée à la qualité de la base d’URL qui sera utilisée. Le DNS est un protocole évolutif qui peut absorber des dizaines de milliers de requêtes quotidiennement, il faut donc lui appliquer les mêmes règles de filtrage que pour le trafic internet classique afin d’écarter instantanément toute menace et/ou tout risque de surf inapproprié.
A titre d’exemple, la base d’URL Olfeo, mise à jour depuis 20 ans par une équipe dédiée, fait alors toute la différence : 99% du web légitime est connu; les catégories légales de surf autorisées en France sont maîtrisées et le trafic DNS est bloqué en temps réel.
Quels cas d’usage pour le filtrage DNS ?
Tablettes d’école
De nombreuses écoles distribuent à leurs élèves des équipements type tablettes pour aider à l’apprentissage à travers des outils numériques. Ces équipements doivent contenir bien entendu des systèmes de filtrage afin d’empêcher les jeunes élèves de consulter du contenu inapproprié, illégal ou dangereux pour l’intégrité de l’équipement.
Devant le grand nombre de ces équipements, il est difficile de déployer et maintenir des systèmes de filtrage à base d’agent et proxy sur ces flottes, surtout en situation de nomadisme – les élèves ramènent les tablettes ou PCs chez eux.
Le filtrage DNS, ne nécessitant pas d’agent, est la solution idéale. Facile à déployer, configurer et maintenir pour les écoles ou mairies, ne nécessitant pas d’agent en local sur les machines, le filtrage DNS permet de protéger efficacement et facilement la navigation web des élèves.
Invités sur les réseaux des entreprises / BYOD
Les entreprises mettent à disposition de leurs invités (visiteurs, consultants, prestataires) leur réseau internet (wifi notamment) pour accéder au web. N’ayant aucun contrôle et donc aucune possibilité d’installer des agents de filtrage web, les équipements des visiteurs peuvent comporter un risque important.
Le filtrage DNS permet de sécuriser ces terminaux sans avoir besoin d’avoir la main sur les machines. En les faisant connecter à internet à travers un portail wifi captif par exemple, il est possible, de filtrer leurs requêtes DNS afin de sécuriser leur trafic et appliquer la charte internet des entreprises.
Équipements métier communicants – Internet des Objets
Avec l’avènement de l’internet des objets (IoT), des centaines de millions d’appareils se retrouvent connectés à internet avec une faible cyber-protection et une exposition aux attaques élevées. Caméras, thermostats, capteurs de parking etc. sont autant d’équipements avec hardwares simples et limités – pour des raisons de consommation d’énergie – et ne peuvent pas bénéficier de la protection d’un agent de filtrage tournant dessus.
Rediriger leur trafic web à travers une solution de filtrage DNS est une solution efficace, qui protège les équipements IoT sans avoir à installer un agent et à superviser une flotte importante de machines.
Conclusion
Le filtrage DNS est une solution efficace pour sécuriser simplement le trafic web des équipements non-maitrisés tel que les tablettes, BYOD ou IoT. Utilisé de concert avec du filtrage d’URLs, il permet de protéger l’ensemble des actifs IT des organisations et limite les risques d’exposition à des domaines malicieux pouvant présenter un risque de sécurité.
Pour en savoir plus sur l’offre Filtrage DNS d’Olfeo, cliquez ici pour consulter notre page dédiée.