01net Pro Entreprise informatique
Actualités gestion et logiciel informatique professionnel
Offre et recherche Emploi informatique internet
Salon conférences inofrmatique IT ebusiness 01
Le Cloud Computing
Vidéos reportage entreprise acteur informatique
Retrouvez tous les services 01Net dédiés aux professionnels !
Télécharger logiciels Pro et progiciels
Livres blancs e-commerce informatique et nouvelles technologies
Retrouvez l'ensemble des dossiers de la rédaction 01net Entreprise
Les synthèses des bonnes pratiques sur les sujets IT du moment

Les correctifs de la mégafaille DNS prennent l'eau

Révélée en juillet, la faille est loin d'être comblée par les patchs de l'industrie. Dans certains cas, ce sont les firewall situés devant les serveurs DNS qui annulent les effets des correctifs.

laisser un avis
La faille critique découverte dans le protocole DNS, et que les éditeurs de logiciels et les fabricants de matériels ont tenté de corriger en juillet dernier en lançant une opération conjointe de grande envergure, se révèle bien plus problématique que prévue.
Certains patchs sont totalement inefficaces. D'après Swa Frantzen, chercheur au SANS Institute, et Andrew Storms, chercheur au SANS Internet Storm Center, ce serait notamment le cas du patch récemment publié par Apple pour sécuriser les serveurs Mac OS X.

Les firewall annulent l'effet des patchs

Le problème le plus complexe, et que les fabricants n'avaient pas anticipé, vient des firewall réseaux. Pour mémoire, le protocole DNS sert à traduire les noms des sites Web en adresses IP tandis que les firewall, situés entre les serveurs DNS et Internet, vérifient que le trafic Web (entrant et sortant) est bien légitime.
Or, pour réaliser ce travail de filtrage, la plupart des firewall n'hésitent pas à modifier arbitrairement certains paramètres des protocoles de transport, en particulier lorsqu'ils se chargent de convertir les adresses IP d'un sous-réseau (fonction NAT pour Network Address Translation). Dans certains cas, ces modifications unilatérales se traduisent par l'annulation des effets des correctifs.
' Sur la plupart des firewall, lorsque la fonction "Port translation" est activée, une des parades liée à la faille DNS et baptisée "Randomization Port" ?" qui consiste à attribuer des ports de manière aléatoire pour compliquer le travail des pirates ?" est désactivée car le firewall réalloue les numéros de port à sa façon ', explique Raphaël Marichez, responsable de la formation ' DNS et sécurité ' de Hervé Schauer Consultants (HSC). Même si le serveur DNS a été reprogrammé pour communiquer par l'intermédiaire de ports aléatoires, le firewall le rendra alors plus prévisible, donc plus facilement attaquable.
La fonction concernée n'est toutefois pas systématiquement utilisée. ' Moins de 25 % des firewall utilisent la fonction "Port translation". Le problème est qu'elle est très difficile à remplacer ', explique Raphaël Marichez. Selon lui, dans ces cas bien précis, les fabricants doivent trouver des solutions spécifiques avec leurs clients.

Les fabricants préparent de nouveaux correctifs

' Nous travaillons déjà assidûment avec nos clients afin d'implémenter rapidement des solutions de contournement. Nos équipes développent aussi une option qui permettra à nos firewall d'attribuer aléatoirement des ports, ce qui permettra de réduire les risques ', explique par e-mail Barry Green, directeur de l'équipe en charge de la sécurité chez Juniper. Quant à Cisco, le fabricant n'a pas été en mesure de répondre à temps.
Pour l'heure, la plupart des fabricants (Juniper, Cisco, Citrix, etc.) encouragent leurs clients à contacter le support technique afin de régler leurs problèmes au cas par cas. Plusieurs sites spécialisés comme DNS-OARC permettent de tester la sécurité des serveurs DNS en tenant compte des firewall installés. Très clairs, les résultats se présentent sous la forme de graphiques qui indiquent le niveau de sécurité de chaque serveur DNS (voir captures ci-dessous).
Selon Raphaël Marichez, étant donnés les efforts menés conjointement par les éditeurs et les fabricants, l'essentiel des serveurs DNS devrait être patché d'ici à la fin de l'année seulement. Et comme d'autres éléments réseaux tels que les firewall requièrent eux aussi un effort de maintenance, la correction de la faille risque de prendre du temps.
Quant aux vulnérabilités intrinsèques du protocole DNS, aucune amélioration réelle ?" à laquelle le protocole DNSSEC (1) est candidat ?" n'est à prévoir avant de nombreuses années.
agrandir la photo
agrandir la photo
(1) Le protocole DNSSEC est une version sécurisée du protocole DNS, très lourde à mettre en ?"uvre, avec une signature chiffrée pour tout échange de données.

Prendre ses précautions en mettant à jour ses serveurs DNS

Les correctifs mettent en place des parades très complexes qui peuvent, dans certains cas, considérablement ralentir les serveurs DNS mis à jour. ' Les patchs ne corrigent pas les faiblesses structurelles du protocole mais empêchent les pirates de les exploiter en ajoutant de la complexité dans les échanges. Cela se traduit par un surcroît de calcul qui peut paralyser les infrastructures mal dimensionnées ', explique Raphaël Marichez.

envoyer
par mail
imprimer
l'article
4 AVIS SUR CET ARTICLE
Répondre
 

Avis sur «Les correctifs de la mégafaille DNS prennent l'eau »

 

ca ne marche pas

de jpepatestemesdns , posté le 13 aout 2008 à 09h25
le lien donné pour tester la sécurité des serveurs DNS ne marche pas ou tout du moins le bouton "test my dns" de ce site.
alerter le modérateur

 

Patch inutile

de madpowah , posté le 13 aout 2008 à 11h38
Il ne faut pas oublier que les patch ne réparent pas les serveurs DNS mais augmentent la complexité pour l'exploitation en nécessitant l'injection de beaucoup plus de paquets.
Les possesseurs de botnet assez conséquents donc peuvent l'exploiter sans problème et très rapidement.
alerter le modérateur


Patch pas du tout inutile

de Matchistador , posté le 13 aout 2008 à 14h51
Justement, avec une bonne randomisation des ports, il faudrait (en théorie) tellement des temps pour réussir, que ca devient trés difficielement réalisable !
alerter le modérateur


Sisi Patch inutile

de madpowah , posté le 13 aout 2008 à 17h27
Cela devient facilement réalisable avec un upload de ~100Go de paquets alors qu'avant ~5Mo suffisait.
100 Go n'est pas forcement compliqué a fournir avec un botnet.
alerter le modérateur

   
 
à lire aussi
SUR LES MÊMES THÈMES
' " Dark " McBride tente un énième retour '
' Flagrant délit d'irresponsabilité '
Ne les appelez plus jamais netbooks !
La norme CMIS sort affûtée de l'été
Ontap 8 : l'arme cloud de Netapp
Un système de fichiers en grille européen
Héberger et maintenir facilement des sites web
Dans les labos
Alexis Dugas de Baudan (AXA France Services) : ' l'évaluation CMMi a un effet " contagieux " '
SSII : la prévention de la grippe A est délicate
Le secteur de l'impression prend une claque
Nominations
L'interface borne-mobile : le maillon faible de la sécurité de la RFID
À la recherche des remplaçants du clavier et de la souris
Gérer la fluctuation de la demande et réduire les stocks
Rendre les processus plus visibles et plus réactifs
Trouver des avantages au niveau financier et opérationnel
Un catalogue de logiciels pour optimiser sa chaîne logistique
' Une gouvernance des données pour un SI logistique plus agile '
L'AFP accélère la transmission de ses fichiers vidéo
Nos partenaires