L’une des principales choses à faire lorsqu’une entreprise conçoit son infrastructure est de bâtir une sécurité renforcée autour des postes de travails de l'organisation. Habituellement, nous pensons aux firewalls, sondes d’intrusion/détection (IDS/IPS). Leurs utilisations sont devenues primordiales afin de protéger votre environnement et de faciliter les audits de sécurité. La plupart des experts en sécurité vous diront que le firewall est au minimum l’équipement à avoir dans votre infrastructure.
Malheureusement, avec les nouvelles attaques, de nos jours, ce type d’équipement n’est pas suffisant dans le but de protéger les postes de travail d’une organisation qui sont aujourd’hui une des cibles majeures d’attaques. L’attaque DNS est devenue le choix conducteur des cyber criminels pour s’infiltrer dans un réseau. En bref, vous avez besoin d’un autre pare feu vous aidant à vous protéger de ce genre d’attaques. Aujourd’hui l’attention doit se porter sur les résolveurs DNS qui sont les points stratégiques de la sécurité. Les résolveurs DNS sécurisés fonctionnent comme un pare-feu pour le DNS, ajoutant une couche essentielle pour se défendre des menaces, logiciels malveillants et autres sources de menaces utilisant le DNS. Afin de palier à ce genre de menaces, Infoblox propose le module DNS Firewall. Un module qui s’implémente sur une infrastructure DDI Infoblox Trinzic déjà en place. Comment ça fonctionne ?
1> Un dispositif infecté s’est connecté au bureau. Le logiciel malveillant s’étend à d’autres dispositifs sur le réseau. 2> Le logiciel malveillant envoi une requête DNS afin de trouver le « home » (botnet / C&C). Le DNS Firewall identifie la requête DNS et prend l’action dites « admin-defined » (rejet de la communication vers le site malveillant ou redirection du trafic vers une page dite « walled garden »). 3> Infoblox Reporting liste les actions DNS Firewall en affichant avec précision :
- Nom d’utilisateur
- Adresse IP de l’équipement
- Adresse MAC de l’équipement
- Type d’équipement (Fingerprint DHCP)
- Nom de l’équipement
- Historique des leases
4> La Threat intelligence est régulièrement mise à jour dans le but d’avoir la meilleure protection possible. 5> D’autres feed Threat Intelligence peuvent être utilisés par DNS Firewall. Infoblox a acquis en Février 2016 la société IID leader mondial dans le ThreatIntelligence réseau. Aujourd’hui, Infoblox a mis en place une nouvelle plateforme dédiée à la gestion de l’abonnement au Feed RPZ de notre infrastructure.
Pour les plus curieux de la solution, des machines virtuelles avec des licences d’évaluation de 60 jours sont disponibles.