EfficientIP, ce Français qui consolide les DNS face aux ransomwares
Ses serveurs DHCP/DNS/IPAM sont plus fiables et plus faciles à administrer que les services de base fournis par Windows ou Linux. Taillés pour les grandes flottes, ils s’ouvrent à présent à toutes les entreprises.
Après les firewalls, après les sauvegardes, les serveurs DNS et DHCP constituent potentiellement un troisième rempart autour du système d’information contre les cyberattaques. Mais encore faut-il qu’ils soient taillés pour cette tâche. C’est l’argument que défend le Français EfficientIP, qui conçoit des versions sophistiquées de ces serveurs et les vend, depuis près d’une vingtaine d’années, aux opérateurs télécoms, aux acteurs de la grande distribution, aux banques.
Depuis peu, le fournisseur tâche d’élargir sa cible. La publication, ces jours-ci, d’un outil gratuit – Data Exfiltration Application – doit lui permettre de faire connaître sa technologie au tout venant des entreprises concernées par les applications SaaS qui ont déployé un service DNS sur leurs serveurs Windows et qui s’inquiètent, comme tout le monde, d’une potentielle cyberattaque. Cet outil propose de détecter un vol de données en cours ou, sinon, de tester si le réseau – son service DNS en l’occurrence – est protégé contre une telle menace.
« L’exfiltration des données est l’un des deux volets d’une attaque par ransomware. »
Ronan DavidDirecteur de la stratégie et co-fondateur, EfficientIP
« L’exfiltration des données est l’un des deux volets d’une attaque par ransomware. Les malfaiteurs se basent sur les DNS pour y parvenir, car il s’agit de l’un des vecteurs d’attaque les plus difficiles à identifier », explique Ronan David, le directeur de la stratégie et co-fondateur d’EfficientIP, lors d’un entretien avec LeMagIT.
L’activité historique d’EfficientIP est la fiabilisation des configurations réseau. Les ransomwares s’en prenant à présent à toute typologie d’entreprises, la fiabilité des réseaux n’est plus seulement la préoccupation des grands comptes.
Élargir la clientèle
Jusqu’ici, les produits d’EfficientIP n’étaient vendus qu’aux grandes entreprises, car tout leur intérêt réside dans la facilité à gérer de larges flottes d’équipements. « Les services DNS et DHCP sont des éléments du cœur de réseau. Toutes les entreprises en ont. Ils sont vieux, il y en a trop ; une paire de chaque par sous-réseau. Nos clients historiques en ont déployé une centaine en moyenne », dit notre interlocuteur.
Il rappelle qu’un serveur DHCP sert à attribuer automatiquement des adresses IP aux machines qui se connectent en réseau. Tandis qu’un serveur DNS est un annuaire qui permet de trouver une machine par son nom, ou une URL, ce qui est bien plus commode, y compris pour les applications, qu’une suite de chiffres. DNS et DHCP sont des services activables sur les versions basiques de Windows Server et Linux ; on les trouve aussi sur toutes les passerelles qui connectent un site à Internet – des SD-WAN dernier cri pour les entreprises aux box que fournissent les opérateurs télécoms aux particuliers.
« Ce sont des services qui posent néanmoins un enjeu critique de rapidité. Quand vous modifiez une configuration, que ce soit pour combler une faille ou pour prendre en compte des postes VoIP sur un nouveau site, vous n’avez pas le temps de vous connecter cent fois à une console d’administration parce que vous avez une centaine de réseaux en fonctionnement. Notre premier avantage est de proposer une gestion centralisée. De passer de l’administration à la gouvernance. »
L’intérêt des solutions EfficientIP se serait élargi aux entreprises de toute taille au fur et à mesure que les usages du DNS ont explosé. Cela a été le cas ces dernières années à cause de la multiplication des appareils par utilisateur, mais aussi parce que le DNS joue un rôle essentiel entre le réseau interne et les applications SaaS qui s’exécutent en cloud.
« 90 % des malwares détournent à présent les services DNS pour déployer leurs attaques. Et, ce, quelle que soit la taille de l’entreprise qu’ils visent. »
Ronan David Directeur de la stratégie et co-fondateur, EfficientIP
« La conséquence de cette croissance est que 90 % des malwares détournent à présent les services DNS pour déployer leurs attaques. Et, ce, quelle que soit la taille de l’entreprise qu’ils visent », assure Ronan David. Selon lui, les DNS basiques fournis avec les serveurs Windows et Linux ne sont pas conçus pour éviter ces détournements : « Nous sommes les seuls à proposer un serveur DNS qui soit équipé – en interne – d’un moteur d’analyse comportementale capable de détecter un détournement des fonctions en temps réel. À l’extérieur du DNS, les firewalls ne voient que des signatures, ils sont incapables de comprendre le sens malveillant d’une transaction et, a fortiori, quelle transaction interdire. »
L’outil gratuit d’EfficientIP – qui fonctionne avec tous les serveurs DNS et DHCP du marché – serait capable de détecter en une minute s’il est possible d’exfiltrer des données en compromettant le DNS configuré par une entreprise. Ensuite, il faudrait déployer les produits commerciaux d’EfficientIP pour bloquer ce risque.
L’offre SOLIDserver
Les serveurs d’EfficientIP, baptisés SOLIDserver, sont fournis en machines virtuelles ou appliances physiques. Ils fonctionnent par défaut par paires pour assurer la haute disponibilité. Ils contiennent trois couches fonctionnelles.
Le socle est l’IPAM (IP Address Management), une sorte de base de données des adresses IP et des noms de machines en production. L’administrateur y définit éventuellement des plages d’adresses IP et des types de noms de machines par sous-réseaux, de sorte que l’IPAM les communique aux serveurs DHCP et aux contrôleurs de domaines pour qu’ils sachent quelles caractéristiques attribuer aux machines qui se connectent. Le paramétrage se fait au moyen d’une console graphique dans laquelle on peut définir des modèles (des « templates ») qui correspondent à autant de schémas de déploiement par type de succursales ou de sous-réseau.
En retour, l’IPAM récupère les adresses et les noms des machines qui ont effectivement été connectées au réseau par un serveur DHCP et un contrôleur de noms. Ces informations nourrissent une cartographie, laquelle permet de visualiser les caractéristiques de la moindre imprimante branchée sur un site distant.
« L’un des cas d’usage les plus fréquents est le déploiement de machines virtuelles. Notre IPAM fournit à l’orchestrateur responsable de la virtualisation une adresse IP pour chaque nouvelle VM et une convention de nommage, de sorte que l’administrateur n’a pas à entrer ces fonctions à la main. Ce système évite aussi les conflits d’adresse IP, quand vous disposez de plusieurs succursales qui ont plusieurs sous-réseaux », explique Ronan David.
« L’IPAM consolide toutes les informations sur la criticité de chaque segment de réseau. »
Ronan DavidDirecteur de la stratégie et co-fondateur, EfficientIP
Il donne l’exemple d’une franchise où chaque supermarché dispose traditionnellement d’au moins trois sous-réseaux : un pour les caisses enregistreuses, un pour les frigos, un pour les caméras. « Il y a historiquement deux approches. Soit un administrateur définit au siège ses plages d’adresses IP sur un serveur DHCP central sans savoir exactement quelles machines seront déployées sur site, soit un informaticien sur site paramètre un DHCP local sans forcément connaître les règles définies au siège. C’est très compliqué dans les deux cas. Nous éliminons cette complexité grâce à l’automatisation », dit notre interlocuteur.
L’IPAM présente par ailleurs l’intérêt de renseigner automatiquement les firewalls et autres dispositifs de sécurité sur la cartographie du réseau. « Nous évitons ainsi aux équipes sécurité d’avoir à demander cette information aux équipes IT et de l’enregistrer ensuite manuellement dans leurs consoles. Mais, au-delà, l’IPAM consolide toutes les informations sur la criticité de chaque segment de réseau. Cela sert aux équipements de type Palo Alto pour appliquer automatiquement les bonnes règles de sécurité aux bons endroits », ajoute-t-il.
Des connecteurs vers d’autres systèmes
L’IPAM fonctionne depuis le datacenter central d’une entreprise. Il est possible de déployer des appliances SOLIDserver dans chaque succursale pour y assurer les fonctions de DHCP et de DNS, ou de s’interconnecter depuis le siège à d’autres DHCP et DNS locaux. « Dans 70 % des cas, nos clients déploient nos appliances dans leurs succursales. Dans 30 % des cas, ils demandent que le SOLIDserver présent au siège s’interconnecte avec les services DHCP et DNS activés sur leurs serveurs Windows locaux. »
« Cela dit, nous rencontrons de plus en plus d’entreprises qui ont des déploiements en cloud et qui nous demandent donc de nous interconnecter avec les services DHCP et DNS d’AWS, d’Azure, GCP, ou d’autres hébergeurs. Nous jouons là aussi une carte en simplifiant radicalement de telles architectures mixtes », se félicite Ronan David.
« [Avec Cloud Observer] Le but est notamment de permettre aux entreprises d’identifier les 15 % de VMs zombies. »
Ronan DavidDirecteur de la stratégie et co-fondateur, EfficientIP
En parlant de cloud, EfficientIP a aussi lancé en toute fin d’année dernière un nouveau service, Cloud Observer, qui permet d’identifier plus finement les machines virtuelles activées en ligne. « Le but est notamment de permettre aux entreprises d’identifier les 15 % de VMs zombies, à savoir celles qui sont restées allumées alors que plus personne ne s’en sert. Cette opération est compliquée pour les outils traditionnels, car chaque hébergeur a un protocole bien à lui. Nous nous efforçons de prendre en charge chacun d’entre eux. »
« Nous enrichissons constamment nos connecteurs. Nous venons d’en publier un pour les SD-WANs de marque Meraki. Dans quelques semaines nous saurons aussi capter les informations précises des clouds privés reposant sur VMware », conclut-il. Prochainement, EfficientIP annoncera aussi de nouvelles fonctions de Threat intelligence qui s’interfaceront avec des outils de maintenance tiers pour améliorer les opérations préventives.
EfficientIP n’est pas le seul à proposer une solution qui intègre des serveurs DHCP, DNS et IPAM. Dans cette catégorie dite des appliances DDI, on trouve notamment le produit Nios DDI de l’Américain Infoblox. D’autres acteurs, comme le Canadien BlueCat et l’Américain SolarWinds, proposent un IPAM qui pilote les serveurs DHCP et DNS en place. Leurs produits sont souvent proposés en bundle avec les serveurs DHCP et DNS d’Infoblox.
