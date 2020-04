A10 Networks aide les fournisseurs de services à sécuriser et protéger le trafic DNS en appliquant le protocole DoH (DNS over HTTPS)

avril 2020 par Marc Jacob

A10 Networks annonce la mise en service de sa fonctionnalité DoH (DNS over HTTPS) sur ses pare-feu convergents (CFW) Thunder. Cette capacité native permet aux fournisseurs d’offrir des services DoH à leurs abonnés. Elle permet aux organisations qui utilisent l’infrastructure DNS d’assurer une sécurité DNS renforcée en évitant les interférences et en assurant la confidentialité des données grâce au chiffrement de bout en bout des requêtes DNS, sans avoir à sacrifier les performances et la latence indispensables sur les infrastructures DNS. Le protocole DoH offre une protection plus efficace contre les attaques DNS. L’efficacité opérationnelle des clients est ains i renfor cée, tout en relevant le niveau de sécurité.

Un chiffrement essentiel pour protéger les données sur Internet

Le protocole HTTPS (HTTP chiffré) prend la part du lion de la protection du trafic Internet. En raison des craintes de sécurité liées aux fuites orchestrées par Edward Snowden en 2013, HTTPS s’est imposé comme la référence de facto. Ainsi, certaines sources, telles que Mozilla Firefox, ont progressé de 300 % au cours de cette période. Le trafic DNS, par contraste, reste essentiellement un canal non chiffré sur Internet. Par conséquent, il est vulnérable aux manipulations et aux violations de sécurité. Par exemple, le rapport sur l’état des armes DDoS au 4e trimestre Q4 d’A10 Networks confirme que les résolveurs DNS constituent l’une des cinq armes DDoS privilégiées, tandis que les ports de services DNS sont l’une des 10 principales cibles UDP.

Le DNS est également exploité pour les logiciels malveillants, les logiciels rançon et les vols de données. Une infrastructure DNS résiliente et hautes performances est essentielle pour le bon fonctionnement des réseaux des fournisseurs de services et de l’Internet lui-même.

Le protocole DoH pour une protection renforcée contre les attaques DNS

A10 Networks, en partenariat avec de grands fournisseurs de services, a développé une capacité DoH qui vient d’être mise en production sur les réseaux de niveau 1. Cette capacité repose sur une proposition de standard publiée sous le titre RFC 8484 par l’IETF (Internet Engineering Task Force).

Le protocole DoH (DNS over HTTPS) est disponible dès maintenant en tant que capacité native des pare-feu convergents Thunder sur toute appliance matérielle ou logicielle, ce qui inclut les instances conteneurisées. Le DoH peut être associé aux autres fonctionnalités de sécurité du produit, ce qui inclut la fonctionnalité de contrôle de fourniture d’applications (ADC), afin d’offrir une protection et une disponibilité complètes pour DNS, tout en assurant les performances indispensables

Les avantages de la solution DoH

Protection des investissements – L’infrastructure DNS est un composant essentiel pour les opérateurs. Elle est conçue pour gérer un gros volume de trafic et est souvent la cible d’attaques soutenues. La capacité DoH permet de protéger et de compléter l’infrastructure DNS existante des fournisseurs de services. Les composants de la solution d’infrastructure DNS existante restent inchangés, tandis que la connectivité sécurisée et la conversion du protocole sont gérées de façon native. Thunder CFW inclut également plusieurs services applicatifs sécurisés, ce qui inclut une fonctionnalité ADC complète, dans le cadre de la suite de sécurité A10 Orion 5G.

Évolutivité et performances – Le chiffrement DoH assuré par TLS implique des capacités de traitement supplémentaires. Le pare-feu convergent Thunder offre l’évolutivité et les performances indispensables pour les gros volumes de trafic DoH. Les requêtes DNS chiffrées peuvent être traitées en grandeur nature grâce à des ressources matérielles avancées, spécifiquement conçues pour gérer les sessions chiffrées.

Sécurité et visibilité – A10 fournit des services applicatifs sécurisés pour protéger l’infrastructure DNS contre les vecteurs d’attaque multiples, que la capacité DoH vient compléter. Les organisations peuvent associer autant de services qu’elles le souhaitent. Par exemple, le pare-feu d’applications DNS, la limitation de requêtes DNS et du taux des requêtes, la protection contre les inondations DNS, la mise en cache de DNS, et bien plus encore, pour améliorer la sécurité, la disponibilité et les performances de l’infrastructure DNS.