Tout le monde connait le système des listes-noires. Celles-ci référencent les noms de domaine ou adresses IP ayant en commun des caractéristiques communes. Certaines sont pour les serveurs de mails en relais-ouverts ("open-relays"), d'autres listent les adresses IP infectées par des logiciels malicieux (bots) et d'autres pistent les sites de phishing.
Toutes ces listes ont en commun une chose : C'est via le système DNS qu'il est possible de les interroger. Le système distribué DNS est un moyen de véhiculer les demandes et les réponses.
Filtrer à la source
En proposant DNS RPZ (Response Policy Zones), l'organisation l'ISC (Internet Systems Consortium), propose un système de filtrage des requêtes DNS totalement intégré au coeur du système d'aiguillage d'Internet.
Ce qu'ils proposent par cette nouvelle extension c'est d'intégrer la consultation de ces listes noires au coeur du serveur DNS : Si une demande de résolution est reçue pour un nom de domaine connu comme hébergeant un site de phishing la demande pourrait ne pas aboutir du tout ou bien il se pourrait qu'elle soit redirigée : Dans les deux cas, le site factice ne serait pas affiché et l'utilisateur trop crédule serait ainsi protégé.
Pour plus de détails, la spécification technique de DNS RZP est accessible ICI.
Rien de nouveau par rapport à une pratique déjà en place
Dans le contexte du monde de l'entreprise ce type de filtrage est typiquement déjà en place à deux endroits. Le premier c'est au niveau des systèmes de filtrage d'URL : Ils analysent les demandes et bloquent celles destinées à des sites à caractère non professionnel. Le second endroit ou l'on retrouve ce filtrage c'est au niveau des navigateurs Internet.
Le mettre en place au niveau du serveur DNS aurait comme seul bénéfice immédiat de simplifier le système en le centralisant. Et encore, le filtrage d'URL conserve une longueur d'avance : car ils ont la possibilité d'analyser l'URL tout entière, les systèmes d'URL-filtering ont plus de finesse dans leur prise de décision : Impossible pour le DNS qui ne voit que le nom de domaine et rien d'autre.
Bloquer les communications des codes malicieux
C'est selon moi
l'intérêt le plus évident/immédiat de ce système : Une fois une machine
infectée, un code malicieux doit communiquer vers l'extérieur. Pour se
faire, il utilise le DNS. Si les noms de domaines des centres de
contrôles (C&C) des botnets ou autres sites de "contact" sont
bloqués au niveau des serveurs DNS alors impossible pour lui de joindre
son point de ralliement.
Un nouveau moyen de censure ?
Les
détracteurs pourront dire qu'un tel système, si il est utilisé
abusivement, pourrait être utilisé comme système de censure généralisé.
On pourrait même concevoir que le trafic vers certains sites soit
redirigé pour analyse ou écoute. Qui contrôle le DNS contrôle
l'aiguilleur du réseau.
Chercher la résolution ailleurs
En cas de suspicion, il reste possible de se connecter à d'autres serveurs DNS que ceux proposés par son fournisseur d'accès : OpenDNS ou GoogleDNS
par exemple (attention à vos données privées!). Certains iront même
peut-être jusqu'à faire tourner leur propre serveur DNS pour plus de
tranquillité.
Intéressant mais à surveiller
C'est une
démarche intéressante : Si elle est bien utilisée, le DNS RPZ
permettrait de répondre plus efficacement et surtout plus rapidement à
des menaces liées aux codes malicieux et autres attaques informatiques.
Par
contre, si dans le futur son utilisation se généralisait, alors il
conviendra de rester vigilants pour qu'il ne tombe pas dans les mains de
gouvernements peu soucieux des libertés individuelles et du droit à
l'information.