Quelques préjugés persistent au sujet du filtrage DNS (Domain Name System). Voici quelques éléments d’explication pour revenir sur ce service souvent mal perçu.
Préjugé n°1 : Le filtrage DNS, c’est compliqué…
Pour commencer, qu’est ce que le DNS? Il s’agit d’un service permettant de traduire un nom de domaine en informations de plusieurs types et notamment en adresses IP. Le processus de filtrage DNS débute par une requête DNS.
1) La requête : vous saisissez une adresse Web dans le navigateur, déclenchant une requête DNS.
2) La recherche : le serveur DNS spécifié dans la configuration de votre interface réseau (généralement fournie automatiquement par le serveur DHCP) reçoit la demande et recherche l’adresse IP relative à ce domaine.
3) La réponse : si le nom de domaine existe, l’adresse IP correspondante est renvoyée et votre navigateur utilise ensuite cette adresse IP pour communiquer directement avec le serveur Web pour ce domaine (et le met généralement en mémoire cache pour future référence).
Ce processus permet ensuite d’utiliser le DNS comme un filtre de base consommant peu de bande passante afin de protéger les utilisateurs contre les sites de phishing, les botnets et autres sites Web à risque. C’est également un moyen d’empêcher l’accès à des sites Web catégorisés « NSFW » (« not safe for work »). En utilisant un filtre DNS avec une base de données des sites classés, vous renforcez la sécurité de votre réseau puisque le filtrage DNS n’affiche que les sites Web sécurisés avec une adresse IP valide et renvoie vers une page de blocage les sites interdits.
Préjugé n°2 : Pas besoin de filtrage Web : un antivirus au niveau des utilisateurs finaux suffit…
Cela va de soit : un antivirus ne peut détecter les virus que lorsqu’il fonctionne; Et les utilisateurs sont connus pour désactiver l’antivirus et le pare-feu local pour optimiser les performances de leur poste de travail ou pour accéder à certains sites ou logiciels, comme les réseaux sociaux par exemple. En outre, certains sites Web inadaptés au monde professionnel peuvent ne pas être filtrés par une solution antivirus car ils ne sont pas jugés dangereux pour l’utilisateur.
Ainsi, le filtrage Web peut se révéler être d’une grande utilité, comme en attestent ces trois exemples :
- Si un utilisateur partage des films piratés à partir de votre adresse IP, votre entreprise risque d’être dans l’obligation de payer une amende.
- Si un employé est accidentellement infecté par un bot spam, c’est bien votre adresse IP qui sera mise à l’index et bloquée et vos e-mails qui ne seront plus livrés.
- Les malwares qui se répandent sur le web peuvent affecter l’ensemble d’une entreprise : sans filtrage Web, Cryptolocker, ou l’une de ses variantes en constante évolution, peut par exemple détruire un lecteur partagé contenant les historiques des heures supplémentaires de vos employés, ou les factures de vos clients.
Préjugé n°3 : Configurer le filtrage DNS, c’est contraignant
La plupart des routeurs et pare-feux vous permettront de bloquer le port 53 (par lequel s’effectue le trafic DNS). En modifiant vos enregistrements MX internes, un changement de configuration unique en un seul endroit vous permettra d’empêcher l’accès à des sites dangereux et ainsi protéger votre réseau.
Préjugé n°4 : Le filtrage Web par DNS est facile à contourner
Aucune approche de filtrage Web n’est immunisée face au contournement : les services de filtrage basés sur les appareils comme ceux basés sur le cloud DNS peuvent être contournés, mais vous pouvez prendre un petit nombre de mesures pour empêcher vos employés d’accéder à des sites Web interdits. Vous pouvez bloquer les requêtes DNS dirigées vers un autre service que le service DNS que vous avez approuvé et bloquer toutes les autres requêtes DNS.
- Si vous utilisez un serveur DNS externe: Vous devez autoriser uniquement le port 53/UDP pour accéder aux adresses IP des serveurs de services de filtrage DNS que vous avez choisis.
- Si vous avez votre propre serveur DNS interne hébergé localement: Vous devez autoriser uniquement les demandes du port 53 / UDP sortantes à partir de l’adresse IP interne de votre serveur DNS vers les adresses IP externes des serveurs DNS primaire et secondaire. C’est ainsi que votre serveur DNS interne doit être configuré.
En d’autres termes, les ordinateurs locaux interrogent votre serveur DNS local et c’est seulement votre serveur DNS qui interroge le service DNS de filtrage Web sur Internet.
Pour résumer :
Le filtrage DNS ne peut, à lui tout seul, assurer la sécurité de votre réseau. Il s’agit de sensibiliser et d’impliquer tous les acteurs de votre entreprise : chacun doit être informé à l’avance de ce qui est ou non autorisé, ainsi que des potentielles conséquences. Car non seulement les employés risquent leur emploi mais mettent potentiellement en danger tous les autres employés ainsi que l’entreprise. Avoir plusieurs couches de sécurité réduit par conséquent le risque : ainsi, au filtrage Web s’ajoute :
- Le filtrage de spam
- Un antivirus au niveau endpoint (« utilisateurs finaux »)
- Des règles de pare-feu censées
- Des logiciels à jour, ainsi que des sauvegardes système fiables et régulières
- Des employés conscients des dangers
Laisser ne serait-ce qu’une seule porte ouverte parmi tous ces éléments rend tout le reste des verrous inutiles.
Cet article 4 préjugés sur le filtrage DNS est apparu en premier sur Blog Egedian.