Qu'est-ce que le filtrage DNS ? | Serveurs DNS sécurisés

Le filtrage DNS bloque les applications ou les sites web malveillants ou interdits au niveau du DNS afin qu'ils ne puissent pas être chargés sur les appareils des utilisateurs.

Share facebook icon linkedin icon twitter icon email icon

Filtrage DNS

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Comprendre le fonctionnement du DNS
  • Découvrir où le filtrage DNS s'intègre dans le processus DNS
  • Explorer les types d'attaques que les services de filtrage DNS peuvent bloquer

Qu'est-ce que le filtrage DNS ?

Le filtrage DNS est le processus d'utilisation du Système de noms de domaine pour bloquer les sites web malveillants et filtrer le contenu nuisible ou inapproprié. Ainsi, les données de l'entreprise restent sécurisées et les entreprises peuvent contrôler le contenu auquel leurs employés peuvent accéder sur les réseaux gérés par l'entreprise. Le filtrage DNS fait souvent partie d'une plus grande stratégie de contrôle d'accès.

Qu'est-ce que le système de noms de domaine (DNS) ?

Le système de noms de domaine, ou DNS, fait correspondre les noms de domaine, comme cloudflare.com, aux adresses IP, comme 192.0.2.24. Le DNS est nécessaire pour permettre aux utilisateurs d'accéder à des sites web sans avoir à mémoriser des listes de numéros fastidieuses, de la même façon qu'une personne peut stocker les numéros de téléphone de ses amis dans les contacts de son smartphone au lieu de tous les mémoriser.

Chaque fois qu'un utilisateur ouvre un site web ou accède à une application web, le processus de chargement du contenu ne démarre qu'une fois que l'appareil de l'utilisateur a recherché la bonne adresse IP. Voici les étapes de découverte d'une adresse IP pour qu'un site web puisse se charger :

  1. Une fois que l'utilisateur a saisi un nom de domaine dans son navigateur, l'appareil de l'utilisateur crée une requête DNS et l'envoie à un serveur web spécialisé appelé résolveur DNS.
  2. Le résolveur DNS fait correspondre le nom de domaine demandé à une adresse IP soit en interrogeant des serveurs DNS supplémentaires, soit en vérifiant son cache.
  3. Le résolveur DNS envoie une réponse à l'appareil de l'utilisateur avec l'adresse IP correcte. Cette opération s'appelle « résoudre » le domaine.
  4. L'appareil de l'utilisateur contacte le serveur à cette adresse IP pour ouvrir une connexion et commencer à charger le contenu.

Le DNS est une partie essentielle de l'accès au contenu web, aucun contenu ne peut se charger avant l'intervention du processus DNS. Le filtrage DNS est donc un moyen efficace d'exercer un contrôle sur le contenu auquel les utilisateurs peuvent accéder.

Comment fonctionnent les services de filtrage DNS ?

Toutes les requêtes DNS sont adressées à un résolveur DNS. Les résolveurs DNS spécialement configurés peuvent également agir en tant que filtres en refusant de résoudre les requêtes pour certains domaines suivis dans une liste noire, en empêchant ainsi les utilisateurs d'accéder à ces domaines. Les services de filtrage DNS peuvent également utiliser une liste blanche au lieu d'une liste noire (voir ci-dessous).

Supposons qu'un employé d'une société reçoive un e-mail de phishing et qu'il clique sur un lien qui le mène au site web malveillant.com. Avant que l'ordinateur de l'employé ne charge le site web, il envoie d'abord une requête au service de résolution DNS de l'entreprise, qui utilise le filtrage DNS. Si ce site malveillant figure sur la liste noire de l'entreprise, le résolveur DNS bloquera la demande, en empêchant le site web malveillant.com de se charger et en déjouant par la même occasion l'attaque de phishing.

Le filtrage DNS peut mettre les propriétés web sur liste noire par nom de domaine ou par adresse IP :

Par domaine :Le résolveur DNS ne résout pas ou ne recherche pas du tout les adresses IP de certains domaines.

Par adresse IP : le résolveur DNS tente de résoudre tous les domaines, mais si l'adresse IP est sur la liste noire, le résolveur ne la renverra pas au périphérique demandeur.

Qu'est-ce qu'une liste noire ?

Dans le contexte du filtrage DNS, une liste noire est une liste de domaines ou d'adresses IP nuisibles connus. Les fournisseurs de filtrage DNS peuvent s'appuyer sur des listes noires partagées au sein de la communauté de la cybersécurité, générer leurs propres listes noires ou faire les deux. Certains filtres DNS évalueront même les pages web et les ajouteront automatiquement à une liste noire. Par exemple, s'il s'avère qu'un code JavaScript malveillant est exécuté sur exemple.com, exemple.com sera ajouté à la liste noire.

Le filtrage DNS peut également mettre sur liste noire des domaines qui ne sont pas nécessairement utilisés pour des logiciels malveillants ou des attaques de phishing, mais qui hébergent du contenu interdit ou inapproprié. Par exemple, une entreprise peut souhaiter ajouter des sites web qui hébergent du contenu pour adultes à sa liste noire de filtrage DNS.

À l'inverse d'une liste noire, une liste blanche est une liste de domaines ou d'adresses IP autorisés. Tous les domaines ou adresses IP qui ne figurent pas sur la liste blanche sont bloqués.

Comment le filtrage d'URL permet-t-il de bloquer les logiciels malveillants et les attaques par phishing ?

Le filtrage DNS peut permettre de garder les malware, ou logiciels malveillants, en dehors des réseaux d'entreprise et en dehors des appareils des utilisateurs. Il peut également contribuer à bloquer certains types d'attaques de phishing.

1. Blocage des sites web malveillants

Un site web qui héberge un logiciel malveillant peut soit tenter de tromper les utilisateurs pour qu'ils téléchargent un programme malveillant, soit exécuter un « drive-by download », c'est-à-dire un téléchargement furtif : le téléchargement d'un logiciel malveillant qui se déclenche automatiquement lorsque la page web se charge. Un certain nombre d'autres attaques sont également possibles. Par exemple, les pages web exécutent du code JavaScript et, en tant que langage de programmation complet, JavaScript peut être utilisé de différentes manières pour compromettre les appareils des utilisateurs.

Le filtrage DNS peut empêcher ce type d'attaques en empêchant les utilisateurs de charger des pages web malveillantes.

2. Blocage des sites web de phishing

Un site web de phishing est un faux site web qui est configuré pour voler les informations d'identification de connexion lors des attaques de phishing. Le domaine utilisé pourrait être un domaine usurpé ou simplement un domaine d'apparence officielle que la plupart des utilisateurs ne penseront pas à remettre en question. Quelle que soit la méthode, l'objectif est de tromper l'utilisateur en l'amenant à donner les identifiants de son compte à un attaquant. Ces sites web peuvent être bloqués à l'aide du filtrage DNS.

Ces capacités dépendent de la capacité du système de filtrage DNS d'identifier les adresses IP ou les domaines malveillants comme étant mauvais. Bien que le filtrage DNS puisse bloquer cette activité malveillante, les attaquants génèrent de nouveaux domaines très rapidement et il n'est pas possible de tous les mettre sur liste noire.

Comment le filtrage DNS bloque-t-il du contenu interdit ?

Le processus de restriction de l'accès à certains types de contenu est similaire au processus décrit ci-dessus. Les adresses IP ou les noms de domaine connus pour héberger du contenu interdit sont sur liste noire et les utilisateurs ne peuvent y accéder. Alternativement, les sites web approuvés par l'entreprise peuvent être ajoutés à une liste blanche, le filtrage DNS bloquant tous les autres sites web.

Que sont les serveurs DNS sécurisés ?

Un serveur DNS sécurisé est un résolveur DNS qui bloque les sites web malveillants ou interdits dans le cadre d'un service de filtrage DNS. Certains serveurs DNS sécurisés offrent également une confidentialité accrue pour protéger les données des utilisateurs. Cloudflare, par exemple, propose un service de résolution DNS appelé 1.1.1.1 qui purge tous les journaux de requêtes DNS après 24 heures.

Parallèlement au filtrage DNS, il existe d'autres moyens de rendre le processus DNS plus sûr, car le DNS n'a pas été conçu dans un souci de sécurité. Le protocole DNSSEC permet de vérifier que les résolveurs DNS fournissent des informations précises et n'ont pas été compromis par un attaquant. Les protocoles DNS sur TLS (DoT) et DNS sur HTTPS (DoH) chiffrent les requêtes et les réponses DNS afin que les attaquants ne puissent pas traquer les requêtes DNS d'un utilisateur et suivre les sites web qu'ils visitent.

Quelle est la différence entre le filtrage DNS et le filtrage web ?

Le filtrage web est un terme large qui peut désigner un certain nombre de méthodes de contrôle du trafic web. Le filtrage DNS est un type de filtrage web. Les autres types de filtrage web incluent le filtrage d'URL , le filtrage de mots clés et le filtrage de contenu.

Cloudflare propose-t-il un filtrage DNS en plus d'autres services DNS ?

CloudFlare offre un service DNS faisant autorité, un résolveur DNS public, et des capacités de filtrage DNS pour les entreprises qui veulent restreindre le contenu auquel les employés accèdent sur Internet. Cloudflare Gateway est une passerelle web sécurisée qui inclut le filtrage DNS, ainsi que l'isolement du navigateur et d'autres technologies qui assurent la sécurité des utilisateurs internes. En savoir plus sur Cloudflare Gateway ou sur le fonctionnement des passerelles web sécurisées.