Gepatchte DNS-servers binnen dag te hacken
DNS-servers die de patch voor het door Dan Kaminsky ontdekte DNS-lek geinstalleerd hebben, zijn binnen een dag te hacken, zo berekende PowerDNS-ontwikkelaar Bert Hubert. Een aanvaller zou binnen 24 uur 64% kans hebben om de nameserver over te nemen, wat hem 0,4 Terabyte aan pakketjes kost. "Zelfs een server die perfecte port randomization toepast kan gespooft worden, maar dat kost veel tijd. Er is meer werk nodig om het DNS te beschermen."
Volgens Hubert zou een enkel domein niet echt interessant voor criminelen zijn, maar als het om het hele .nl, of het.com-domein gaat is dat zeker de moeite waard. "Hoewel het op zou moeten vallen wanneer een crimineel probeert de juiste afzenderpoort te raden, zijn er genoeg providers aan het slaapwandelen. Het is dus mogelijk dat een crimineel een gepatchte DNS-server bij een provider overneemt zonder dat die provider daar iets van merkt."
Doordat er zoveel dataverkeer nodig is om de aanval uit te voeren bestaat het vermoeden dat botnets op dit moment worden aangepast om de cache poisoning aanval uit te voeren. Arbor Networks bracht 30 dagen van DNS-aanvallen in kaart, waaruit blijkt dat de aanvallen voornamelijk in de VS plaatsvinden.
Met dank aan Mark H. voor het melden van dit nieuws
via OpenDNS laten lopen, van hen weet je vrij zeker dat ze
de patronen nodig voor een attack vrij snel opmerken?
Zakelijke providers kun je hier natuurlijk op aanspreken,
privé heb ik bijvoorbeeld Ziggo waar ik geen enkel
vertrouwen in heb. Ze patchten niet op tijd en monitoring
zou net zo goed onder de maat kunnen zijn....
overnemen en dit spoofing verhaal.
server te flushen?
dat hun hoofdkwartier zich in de VS bevindt en al hun data
dus ook onder die zgn. Patriot Act (en andere absurde
wetten) vallen. Neen, dank je dus...
Wat zou in dit geval de remedie zijn?
goed naar het DNS protocol en de implementatie gaan kijken.
maar een echte oplossing zal nog wel even op zich laten wachten.
van OpenDNS gebruik te gaan maken.
Voor server beheerders is het handig om je DNS servers te
patchen en te beveiligen tegen:
- Teveel requests binnen een bepaalde tijds limiet blokkeren
op DNS poort (UDP 53) (dit kan o.a. via IPtables met limit:
http://www.cyberciti.biz/tips/howto-limit-linux-syn-attacks.html)
- IDS/IPS systeem installeren op je DNS systeem die cache
poisoning patronen herkent (zie o.a. SNORT:
http://www.snort.org/). Bij herkenning moet je wel zorgen
dat hij het blokkeerd via een IPS extensie (bijvoorbeeld: http://cipherdyne.org/fwsnort/).
- IPtables DNS random source poort "fix"
(http://www.cipherdyne.org/blog/2008/07/mitigating-dns-cache-poisoning-attacks-with-iptables.html).
- Probeer iets van een firewall op je systeem te installeren
die dingen als spoofing en (D)DOSsen kan "blokkeren"
(bijvoorbeeld: http://www.r-fx.org/apf.php)
- Blacklisten van bekende foute IP's en Bogon lijst (via
spamhaus bijvoorbeeld).
- IPtables blokkade tegen metasploit check voor exploitable server: http://www.cipherdyne.org/blog/2008/07/metasploit-dns-cache-poisoning-and-iptables-countermeasures.html
Voor een veilige Bind config, zie ook: http://www.cymru.com/Documents/secure-bind-template.html
Wat zou in dit geval de remedie zijn?
DNSSEC is m.i. de enige goede remedie: http://www.dnssec.net/
Jammer dat het behoorlijk lastig is om te implementeren in
een werkende omgeving.
Wat zou in dit geval de remedie zijn?
DNSSEC is m.i. de enige goede remedie:
http://www.dnssec.net/
Jammer dat het behoorlijk lastig is om te implementeren in een werkende omgeving.
Behalve dat het lastig is om te implementeren:
http://www.security.nl/article/19230/1/DNS-patch_nadelig_voor_prestaties_DNS-servers.html
Alleen al die source port randomization heeft al een flinke impact op de performance. Enig idee hoeveel performance encryptie gaat kosten?
Wat zou in dit geval de remedie zijn?
DNSSEC is m.i. de enige goede remedie:
http://www.dnssec.net/
Jammer dat het behoorlijk lastig is om te implementeren in
een werkende omgeving.
Behalve dat het lastig is om te implementeren:
http://www.security.nl/article/19230/1/DNS-patch_nadelig_voor_prestaties_DNS-servers.html
Alleen al die source port randomization heeft al een flinke
impact op de performance. Enig idee hoeveel performance
encryptie gaat kosten?
technisch gezien; encryptie helemaal geen, want er vindt
geen encryptie plaats in DNSSEC. Het signen kost tijd, maar
wordt vantevoren gedaan, en gebeurt niet 'live'.
Blijft over de verificatie, die een keer per cache
entry/expiration time plaats dient te vinden. Die zal
inderdaad wel cycles kosten, maar is naar verhouding
'licht', en zou een server niet in moeten laten storten.
Overigens heeft alleen BIND last van performance problemen
na udp source port randomization, en alleen omdat het er
blijkbaar echt niet op is ontworpen. Aangezien ze voor
DNSSEC al wat eerder begonnen zijn zal dat kwa architectuur
vast een stuk beter in elkaar zitten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
