Le filtrage DNS bloque les applications ou les sites web malveillants ou interdits au niveau du DNS afin qu'ils ne puissent pas être chargés sur les appareils des utilisateurs.
Cet article s'articule autour des points suivants :
Contenu associé
Contrôle des accès
Protection contre la perte de données (DLP)
Passerelle web sécurisée
Qu'est-ce que l'lAM ?
Isolement de navigateur
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Le filtrage DNS est le processus d'utilisation du Domain Name System pour bloquer les sites Web malveillants et filtrer le contenu nuisible ou inapproprié. Ainsi, les données de l'entreprise restent sécurisées et les entreprises peuvent contrôler le contenu auquel leurs employés peuvent accéder sur les réseaux gérés par l'entreprise. Le filtrage DNS fait souvent partie d'une plus grande stratégie de contrôle d'accès.
Le système de noms de domaine ou DNS (pour Domain Name System) fait correspondre les noms de domaine, comme cloudflare.com, aux adresses IP, comme 192.0.2.24. Le DNS est nécessaire pour permettre aux utilisateurs d'accéder à des sites web sans avoir à mémoriser des listes de numéros fastidieuses, de la même façon qu'une personne peut stocker les numéros de téléphone de ses amis dans les contacts de son smartphone au lieu de tous les mémoriser.
Chaque fois qu'un utilisateur ouvre un site web ou accède à une application web, le processus de chargement du contenu ne démarre qu'une fois que l'appareil de l'utilisateur a recherché la bonne adresse IP. Voici les étapes de découverte d'une adresse IP pour qu'un site web puisse se charger :
Le DNS est une partie essentielle de l'accès au contenu web, aucun contenu ne peut se charger avant l'intervention du processus DNS. Le filtrage DNS est donc un moyen efficace d'exercer un contrôle sur le contenu auquel les utilisateurs peuvent accéder.
Toutes les requêtes DNS sont adressées à un résolveur DNS. Les résolveurs DNS spécialement configurés peuvent également agir en tant que filtres en refusant de résoudre les requêtes pour certains domaines suivis dans une liste de blocage, en empêchant ainsi les utilisateurs d'accéder à ces domaines. Les services de filtrage DNS peuvent également utiliser une liste verte au lieu d'une liste de blocage (voir ci-dessous).
Supposons qu'un employé d'une société reçoive un e-mail de phishing et qu'il clique sur un lien qui le mène au site Web malveillant.com. Avant que l'ordinateur de l'employé ne charge le site Web, il envoie d'abord une requête au service de résolution DNS de l'entreprise, qui utilise le filtrage DNS. Si ce site malveillant figure sur la liste de blocage de l'entreprise, le résolveur DNS bloquera la requête, en empêchant le site Web malveillant.com de se charger et en déjouant par la même occasion l'attaque de phishing.
Le filtrage DNS peut mettre les propriétés web sur liste de blocage par nom de domaine ou par adresse IP :
Par domaine : le résolveur DNS ne résout pas ou ne recherche pas du tout les adresses IP de certains domaines.
Par adresse IP : le résolveur DNS tente de résoudre tous les domaines, mais si l'adresse IP est sur la liste de blocage, le résolveur ne la renverra pas au périphérique demandeur.
Dans le contexte du filtrage DNS, une liste de blocage est une liste de domaines ou d'adresses IP nuisibles connus. Les fournisseurs de filtrage DNS peuvent s'appuyer sur des listes noires partagées au sein de la communauté de la cybersécurité, générer leurs propres listes noires ou faire les deux. Certains filtres DNS évalueront même les pages web et les ajouteront automatiquement à une liste de blocage. Par exemple, s'il s'avère qu'un code JavaScript malveillant est exécuté sur example.com, example.com sera ajouté à la liste de blocage.
Le filtrage DNS peut également mettre sur liste de blocage des domaines qui ne sont pas nécessairement utilisés pour des logiciels malveillants ou des attaques de phishing, mais qui hébergent du contenu interdit ou inapproprié. Par exemple, une entreprise peut souhaiter ajouter des sites Web qui hébergent du contenu pour adultes à sa liste de blocage de filtrage DNS.
À l'inverse d'une liste de blocage, une liste verte est une liste de domaines ou d'adresses IP autorisés. Tous les domaines ou adresses IP qui ne figurent pas sur la liste verte sont bloqués.
Le filtrage DNS peut permettre de garder les logiciels malveillants, ou logiciels malveillants, en dehors des réseaux d'entreprise et en dehors des appareils des utilisateurs. Il peut également contribuer à bloquer certains types d'attaques de phishing.
Un site Web qui héberge un logiciel malveillant peut soit tenter de tromper les utilisateurs pour qu'ils téléchargent un programme malveillant, soit exécuter un « drive-by download », c'est-à-dire un téléchargement furtif : le téléchargement d'un logiciel malveillant qui se déclenche automatiquement lorsque la page web se charge. Un certain nombre d'autres attaques sont également possibles. Par exemple, les pages web exécutent du code JavaScript et, en tant que langage de programmation complet, JavaScript peut être utilisé de différentes manières pour compromettre les appareils des utilisateurs.
Le filtrage DNS peut empêcher ce type d'attaques en empêchant les utilisateurs de charger des pages web malveillantes.
Un site Web de phishing est un faux site Web qui est configuré pour voler les informations d'identification de connexion lors des attaques de phishing. Le domaine utilisé pourrait être un domaine usurpé ou simplement un domaine d'apparence officielle que la plupart des utilisateurs ne penseront pas à remettre en question. Quelle que soit la méthode, l'objectif est de tromper l'utilisateur en l'amenant à donner les identifiants de son compte à un attaquant. Ces sites Web peuvent être bloqués à l'aide du filtrage DNS.
Ces capacités dépendent de la capacité du système de filtrage DNS d'identifier les adresses IP ou les domaines malveillants comme étant mauvais. Bien que le filtrage DNS puisse bloquer cette activité malveillante, les attaquants génèrent de nouveaux domaines très rapidement et il n'est pas possible de tous les mettre sur liste de blocage.
Le processus de restriction de l'accès à certains types de contenu est similaire au processus décrit ci-dessus. Les adresses IP ou les noms de domaine connus pour héberger du contenu interdit sont sur liste de blocage et les utilisateurs ne peuvent y accéder. Alternativement, les sites Web approuvés par l'entreprise peuvent être ajoutés à une liste verte, le filtrage DNS bloquant tous les autres sites Web.
Un serveur DNS sécurisé est un résolveur DNS qui bloque les sites Web malveillants ou interdits dans le cadre d'un service de filtrage DNS. Certains serveurs DNS sécurisés offrent également une confidentialité accrue pour protéger les données des utilisateurs. Cloudflare, par exemple, propose un service de résolution DNS appelé 1.1.1.1 qui purge tous les journaux de requêtes DNS après 24 heures.
Parallèlement au filtrage DNS, il existe d'autres moyens de rendre le processus DNS plus sûr, car le DNS n'a pas été conçu dans un souci de sécurité. Le protocole DNSSEC permet de vérifier que les résolveurs DNS fournissent des informations précises et n'ont pas été compromis par un attaquant. Les protocoles DNS sur TLS (DoT) et DNS sur HTTPS (DoH) chiffrent les requêtes et les réponses DNS afin que les attaquants ne puissent pas traquer les requêtes DNS d'un utilisateur et suivre les sites Web qu'ils visitent.
Le filtrage web est un terme large qui peut désigner un certain nombre de méthodes de contrôle du trafic web. Le filtrage DNS est un type de filtrage web. Les autres types de filtrage web incluent le filtrage d'URL, le filtrage de mots clés et le filtrage de contenu.
Cloudflare offre un service DNS faisant autorité, un résolveur DNS public, et des capacités de filtrage DNS pour les entreprises qui veulent restreindre le contenu auquel les employés accèdent sur Internet. Cloudflare Gateway est une passerelle web sécurisée qui inclut le filtrage DNS, ainsi que l'isolation du navigateur et d'autres technologies qui assurent la sécurité des utilisateurs internes. En savoir plus sur Cloudflare Gateway ou sur le fonctionnement des passerelles web sécurisées.