Tout le monde connait le système des listes-noires. Celles-ci référencent les noms de domaine ou adresses IP ayant en commun des caractéristiques communes. Certaines sont pour les serveurs de mails en relais-ouverts ("open-relays"), d'autres listent les adresses IP infectées par des logiciels malicieux (bots) et d'autres pistent les sites de phishing.
Toutes ces listes ont en commun une chose : C'est via le système DNS qu'il est possible de les interroger. Le système distribué DNS est un moyen de véhiculer les demandes et les réponses.
Filtrer à la source
En proposant DNS RPZ (Response Policy Zones), l'organisation l'ISC (Internet Systems Consortium), propose un système de filtrage des requêtes DNS totalement intégré au coeur du système d'aiguillage d'Internet.
Ce qu'ils proposent par cette nouvelle extension c'est d'intégrer la consultation de ces listes noires au coeur du serveur DNS : Si une demande de résolution est reçue pour un nom de domaine connu comme hébergeant un site de phishing la demande pourrait ne pas aboutir du tout ou bien il se pourrait qu'elle soit redirigée : Dans les deux cas, le site factice ne serait pas affiché et l'utilisateur trop crédule serait ainsi protégé.
Pour plus de détails, la spécification technique de DNS RZP est accessible ICI.
Rien de nouveau par rapport à une pratique déjà en place
Dans le contexte du monde de l'entreprise ce type de filtrage est typiquement déjà en place à deux endroits. Le premier c'est au niveau des systèmes de filtrage d'URL : Ils analysent les demandes et bloquent celles destinées à des sites à caractère non professionnel. Le second endroit ou l'on retrouve ce filtrage c'est au niveau des navigateurs Internet.
Le mettre en place au niveau du serveur DNS aurait comme seul bénéfice immédiat de simplifier le système en le centralisant. Et encore, le filtrage d'URL conserve une longueur d'avance : car ils ont la possibilité d'analyser l'URL tout entière, les systèmes d'URL-filtering ont plus de finesse dans leur prise de décision : Impossible pour le DNS qui ne voit que le nom de domaine et rien d'autre.
Bloquer les communications des codes malicieux
C'est selon moi l'intérêt le plus évident/immédiat de ce système : Une fois une machine infectée, un code malicieux doit communiquer vers l'extérieur. Pour se faire, il utilise le DNS. Si les noms de domaines des centres de contrôles (C&C) des botnets ou autres sites de "contact" sont bloqués au niveau des serveurs DNS alors impossible pour lui de joindre son point de ralliement.
Un nouveau moyen de censure ?
Les détracteurs pourront dire qu'un tel système, si il est utilisé abusivement, pourrait être utilisé comme système de censure généralisé. On pourrait même concevoir que le trafic vers certains sites soit redirigé pour analyse ou écoute. Qui contrôle le DNS contrôle l'aiguilleur du réseau.
Chercher la résolution ailleurs
En cas de suspicion, il reste possible de se connecter à d'autres serveurs DNS que ceux proposés par son fournisseur d'accès : OpenDNS ou GoogleDNS par exemple (attention à vos données privées!). Certains iront même peut-être jusqu'à faire tourner leur propre serveur DNS pour plus de tranquillité.
Intéressant mais à surveiller
C'est une démarche intéressante : Si elle est bien utilisée, le DNS RPZ permettrait de répondre plus efficacement et surtout plus rapidement à des menaces liées aux codes malicieux et autres attaques informatiques.
Par contre, si dans le futur son utilisation se généralisait, alors il conviendra de rester vigilants pour qu'il ne tombe pas dans les mains de gouvernements peu soucieux des libertés individuelles et du droit à l'information.
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens