Response Policy Zone

Introduction

Le centre informatique de l’Université de Lausanne s’efforce chaque jour de renforcer la sécurité de chacun en mettant en place des systèmes innovants et performants en termes de sécurité informatique. Le RPZ fait partie intégrante de ces nouveaux systèmes de sécurité servant de bouclier contre les sites internet à caractère malicieux, tels que ceux infectés par des virus ou contenant des tentatives de phishing. Son principe de base de pouvoir contrôler la réponse d’un serveur DNS en fait une couche de sécurité supplémentaire aux systèmes déjà présents sur le réseau de l’UNIL.

Le service DNS

Le RPZ étant basé intégralement sur le service DNS, il semble être judicieux de débuter par un bref rappel de ce qu’est le DNS ainsi que son fonctionnement de base.

Sur un réseau informatique comme celui de l’UNIL, ou plus généralement sur Internet, les ordinateurs communiquent entre eux grâce au protocole IP (Internet Protocol) en utilisant des adresses numériques, appelées adresse IP, composé de quatre nombre entiers entre 0 et 255 et notées sous la forme xxx.xxx.xxx.xxx. Par exemple, le site web de l’UNIL est hébergé sur un serveur qui a pour adresse IP 130.223.27.54.

Utiliser et retenir des adresses IP peut vite devenir une torture pour notre cerveau. En effet, il est plus facile et agréable de retenir un nom comme unil.ch, appelé nom de domaine, qu’une adresse IP.

Le DNS (Domain Name System) est un service de translation de noms de domaine en adresses IP utilisables dans le protocole IP et permettant un accès simplifié à Internet. Le service est assuré par un ensemble de serveurs DNS, constituant une sorte d’annuaire global. Par exemple, les serveurs DNS de l’UNIL, par l’intermédiaire du logiciel BIND, sont responsables entre autres du nom de domaine unil.ch.

A titre d’exemple, lorsque vous entrez www.unil.ch dans votre navigateur dans l’enceinte de l’UNIL, votre machine va dans un premier temps résoudre le nom de domaine en adresse IP utilisable dans le protocole IP. Vous allez donc demander ce qu’on appelle une résolution de noms aux serveurs DNS de l’UNIL. Comme les serveurs DNS sont responsables du nom de domaine unil.ch, l’adresse IP recherchée sera stockée localement et l’adresse IP sera alors transmise à votre machine. Dans le cas contraire, si par exemple vous entrez www.google.ch, les serveurs DNS auront pour tâche d’effectuer des requêtes récursives vers d’autres serveurs DNS responsables du domaine google.ch afin d’obtenir l’adresse IP correspondante.

RPZ, kesako ?

Un RPZ (Response Policy Zone) est un système introduit récemment sur les serveurs DNS BIND et qui permet de contrôler les réponses DNS. Plus précisément, le RPZ nous permet de choisir des actions spécifiques à exécuter par les serveurs DNS selon les requêtes effectuées. En effet, pour chacune des requêtes reçues par les serveurs DNS de l’UNIL, nous pouvons contrôler la réponse en déclarant par exemple que le domaine n’existe pas ou encore diriger l’utilisateur vers une autre adresse IP. En d’autres termes, le RPZ permet de « mentir » aux utilisateurs en modifiant le comportement de base d’un serveur DNS.

Pour illustrer cela, prenons l’exemple d’un étudiant voulant se connecter sur le domaine fictif mauvaisdomaine.ch que nous supposons être malicieux. Le RPZ nous permet donc de modifier le comportement du serveur DNS en répondant par une adresse IP différente de l’adresse IP d’origine. La fausse adresse IP pourrait par exemple pointer vers une page de sécurité avertissant l’étudiant de la mauvaise réputation du site web.

En contrôlant les réponses DNS, il devient alors possible de restreindre l’accès à des domaines malicieux. L’utilité d’un tel système au sein de l’Université est multiple. En agissant directement sur les réponses DNS, cela nous permet de prévenir le risque d’infections circulant sur le réseau de l’UNIL et également de détecter les machines infectées pouvant entraîner des failles de sécurité. C’est une couche de sécurité supplémentaire pour l’utilisateur ainsi que pour l’ensemble du réseau de l’UNIL.

Fonctionnement

Comme décrit plus haut, le RPZ va nous permettre de contrôler les réponses des serveurs DNS. Ainsi, ayant à disposition des listes de domaines malicieux, nous pourrons alors rediriger les réponses DNS de ces domaines vers une adresse IP pointant sur une page de sécurité informant l’utilisateur de la raison du blocage. En procédant de la sorte, l’UNIL se réserve le droit de bloquer des domaines qui lui semble malicieux et dont l’accès au sein du réseau de l’Université est potentiellement dangereux.

Ces listes, fournies par Switch et appelées zones RPZ, sont répertoriées par catégories (malware et phishing), et contiennent des noms de domaines de mauvaises réputations et qui ont pour but la violation de la vie privée des utilisateurs et qui peuvent entraîner des failles de sécurités exploitables sur le réseau de l’Université.

Ainsi, une requête DNS destinée à un domaine appartenant à l’une de ces listes sera immédiatement bloquée et entrainera une redirection de l’utilisateur vers une page de sécurité administrée par Switch expliquant les raisons du blocage (voir image ci-dessous).

Les Zones RPZ fournies par Switch sont les suivantes :

  • Zone Malware Switch
    Cette zone, gérée par Switch, contient environ 200'000 domaines impliqués dans des activités malicieuses et provient de différentes sources de confiance testées et approuvées par l’UNIL et par Switch durant une phase de test.
  • Zone Malware SURBL
    Cette zone, fournie à Switch par la compagnie américaine SURBL, contient également une multitude de domaines de mauvaises réputations et pouvant violer la vie privée des utilisateurs visitant le domaine.
  • Zone Physhing SURBL
    Egalement fournie par SURBL, cette zone contient des domaines connus pour être impliqué dans des activités liées au phishing.

landingpage.PNG

RPZ UNIL

A l’heure actuelle, le RPZ est en phase de test sur la totalité du réseau de l’UNIL. L’impact d’un tel système sur des milliers d’utilisateurs est une variable compliquée à déterminer sans un cas pratique comme celui testé en ce moment. C’est pour cette raison que le Centre Informatique se réserve le droit de stopper à tout moment le service en cas d’impact trop important sur les utilisateurs.

TOP ^

Partagez: