image

Gepatchte DNS-servers binnen dag te hacken

dinsdag 5 augustus 2008, 15:40 door Redactie, 10 reacties

DNS-servers die de patch voor het door Dan Kaminsky ontdekte DNS-lek geinstalleerd hebben, zijn binnen een dag te hacken, zo berekende PowerDNS-ontwikkelaar Bert Hubert. Een aanvaller zou binnen 24 uur 64% kans hebben om de nameserver over te nemen, wat hem 0,4 Terabyte aan pakketjes kost. "Zelfs een server die perfecte port randomization toepast kan gespooft worden, maar dat kost veel tijd. Er is meer werk nodig om het DNS te beschermen."

Volgens Hubert zou een enkel domein niet echt interessant voor criminelen zijn, maar als het om het hele .nl, of het.com-domein gaat is dat zeker de moeite waard. "Hoewel het op zou moeten vallen wanneer een crimineel probeert de juiste afzenderpoort te raden, zijn er genoeg providers aan het slaapwandelen. Het is dus mogelijk dat een crimineel een gepatchte DNS-server bij een provider overneemt zonder dat die provider daar iets van merkt."

Doordat er zoveel dataverkeer nodig is om de aanval uit te voeren bestaat het vermoeden dat botnets op dit moment worden aangepast om de cache poisoning aanval uit te voeren. Arbor Networks bracht 30 dagen van DNS-aanvallen in kaart, waaruit blijkt dat de aanvallen voornamelijk in de VS plaatsvinden.

Met dank aan Mark H. voor het melden van dit nieuws

Reacties (10)
05-08-2008, 16:31 door Anoniem
Wat zou in dit geval de remedie zijn? Wellicht al je verkeer
via OpenDNS laten lopen, van hen weet je vrij zeker dat ze
de patronen nodig voor een attack vrij snel opmerken?

Zakelijke providers kun je hier natuurlijk op aanspreken,
privé heb ik bijvoorbeeld Ziggo waar ik geen enkel
vertrouwen in heb. Ze patchten niet op tijd en monitoring
zou net zo goed onder de maat kunnen zijn....
05-08-2008, 16:47 door SirDice
Nu is er, m.i., toch een aardig verschil tussen een server
overnemen en dit spoofing verhaal.
05-08-2008, 16:59 door Anoniem
En als de provider nu eens besluit om zeg... elke 8 uur de DNS-Cache op de
server te flushen?
05-08-2008, 19:51 door Anoniem
OpenDNS leek me ook leuk... tot ik me de bedenking maakte
dat hun hoofdkwartier zich in de VS bevindt en al hun data
dus ook onder die zgn. Patriot Act (en andere absurde
wetten) vallen. Neen, dank je dus...
05-08-2008, 21:39 door Anoniem
Door Anoniem
Wat zou in dit geval de remedie zijn?
men moet eens
goed naar het DNS protocol en de implementatie gaan kijken.
maar een echte oplossing zal nog wel even op zich laten wachten.
05-08-2008, 21:53 door Eghie
Voor de thuis gebruikers zou de remedie zijn om inderdaad
van OpenDNS gebruik te gaan maken.

Voor server beheerders is het handig om je DNS servers te
patchen en te beveiligen tegen:
- Teveel requests binnen een bepaalde tijds limiet blokkeren
op DNS poort (UDP 53) (dit kan o.a. via IPtables met limit:
http://www.cyberciti.biz/tips/howto-limit-linux-syn-attacks.html)
- IDS/IPS systeem installeren op je DNS systeem die cache
poisoning patronen herkent (zie o.a. SNORT:
http://www.snort.org/). Bij herkenning moet je wel zorgen
dat hij het blokkeerd via een IPS extensie (bijvoorbeeld: http://cipherdyne.org/fwsnort/).
- IPtables DNS random source poort "fix"
(http://www.cipherdyne.org/blog/2008/07/mitigating-dns-cache-poisoning-attacks-with-iptables.html).
- Probeer iets van een firewall op je systeem te installeren
die dingen als spoofing en (D)DOSsen kan "blokkeren"
(bijvoorbeeld: http://www.r-fx.org/apf.php)
- Blacklisten van bekende foute IP's en Bogon lijst (via
spamhaus bijvoorbeeld).
- IPtables blokkade tegen metasploit check voor exploitable server: http://www.cipherdyne.org/blog/2008/07/metasploit-dns-cache-poisoning-and-iptables-countermeasures.html

Voor een veilige Bind config, zie ook: http://www.cymru.com/Documents/secure-bind-template.html
06-08-2008, 01:20 door Anoniem
/me hangt nog steeds de djbdns vlag op
06-08-2008, 13:10 door Vorik
Door Anoniem
Wat zou in dit geval de remedie zijn?

DNSSEC is m.i. de enige goede remedie: http://www.dnssec.net/

Jammer dat het behoorlijk lastig is om te implementeren in
een werkende omgeving.
06-08-2008, 13:44 door SirDice
Door Vorik
Door Anoniem
Wat zou in dit geval de remedie zijn?

DNSSEC is m.i. de enige goede remedie:
http://www.dnssec.net/

Jammer dat het behoorlijk lastig is om te implementeren in een werkende omgeving.

Behalve dat het lastig is om te implementeren:
http://www.security.nl/article/19230/1/DNS-patch_nadelig_voor_prestaties_DNS-servers.html

Alleen al die source port randomization heeft al een flinke impact op de performance. Enig idee hoeveel performance encryptie gaat kosten?
06-08-2008, 14:34 door Anoniem
Door SirDice
Door Vorik
Door Anoniem
Wat zou in dit geval de remedie zijn?

DNSSEC is m.i. de enige goede remedie:
http://www.dnssec.net/

Jammer dat het behoorlijk lastig is om te implementeren in
een werkende omgeving.

Behalve dat het lastig is om te implementeren:
http://www.security.nl/article/19230/1/DNS-patch_nadelig_voor_prestaties_DNS-servers.html

Alleen al die source port randomization heeft al een flinke
impact op de performance. Enig idee hoeveel performance
encryptie gaat kosten?

technisch gezien; encryptie helemaal geen, want er vindt
geen encryptie plaats in DNSSEC. Het signen kost tijd, maar
wordt vantevoren gedaan, en gebeurt niet 'live'.

Blijft over de verificatie, die een keer per cache
entry/expiration time plaats dient te vinden. Die zal
inderdaad wel cycles kosten, maar is naar verhouding
'licht', en zou een server niet in moeten laten storten.

Overigens heeft alleen BIND last van performance problemen
na udp source port randomization, en alleen omdat het er
blijkbaar echt niet op is ontworpen. Aangezien ze voor
DNSSEC al wat eerder begonnen zijn zal dat kwa architectuur
vast een stuk beter in elkaar zitten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.