Bedrijfsnetwerken via DNS hack wijd open
Dezelfde technologie waardoor websurfers computers op het internet kunnen vinden en verbinding mee kunnen maken, kan gebruikt worden om geheime communicatie kanalen op te zetten, die beveiligingsmaatregelen weten te omzeilen, aldus een security onderzoeker. De security hack gebruikt data die door de domain name service (DNS) servers wordt verstuurd om extra informatie in de netwerk communicatie te verbergen. Securitymaatregelen, zoals firewalls, negeren meestal DNS data, omdat aangenomen wordt dat het niet schadelijk is. Via het lek in de netwerksecurity van de meeste bedrijven kan een hacker intellectueel eigendom stelen, met een gecompromitteerde server binnen het bedrijf communiceren, of toegang krijgen tot wireless en internet services, aldus security onderzoeker Dan Kaminsky in dit artikel.
SSH tunnel over port 53 of port 80 naar buiten en daarover
routeren
Dan kan je gewoon prima naar buiten in 'secure' environments..
Sterker nog, een systeem zonder covert channel(s) bestaat
eigenlijk niet. Er is een speciaal boek in de rainbow series
dat over het onderwerp covert channel analysis gaat.
Wat Kaminski stelt is waar... we weten dat het bestaat, nu
moeten we er op gaan letten. Gelukkig is DNS een extreem
straightforward protocol, en is het dus niet zo moeilijk om
een IDS zodanig te modificeren dat het IDS in staat is om
"goede" en "slechte" DNS pakketten van elkaar te scheiden.
En port 80 wordt vaak gerouteerd via een proxy server.
DNS 'hacking' geeft je tenminste de mogelijkheid om echt het protocol te
gebruiken, daar heeft een firewall rule dus geen zin en zul je echt naar de
packet content moeten kijken.
direct 'wide open' willen noemen.
Even context voor diegenen die te lui zijn het artikel zelf
te lezen: als een cracker eenmaal op je netwerk zit, kan hij
met een covert channel informatie naar buiten sluizen zonder
dat je het (waarschijnlijk) merkt.
Er zijn massa's covert channels, en ik denk dat het een
illusie is dat het mogelijk is ze allemaal te dichten. Denk
aan: het data-segment van PING-pakketten, genegeerde velden
van TCP/IP of andere protocollen (zoals DNS), de timing van
HTTP-requests, headers van HTTP-requests, et cetera et cetera.
Tsja, het bestaan van een covert channel zou ik nu niet
direct 'wide open' willen noemen.
Even context voor diegenen die te lui zijn het artikel zelf
te lezen: als een cracker eenmaal op je netwerk zit, kan hij
met een covert channel informatie naar buiten sluizen zonder
dat je het (waarschijnlijk) merkt.
Er zijn massa's covert channels, en ik denk dat het een
illusie is dat het mogelijk is ze allemaal te dichten. Denk
aan: het data-segment van PING-pakketten, genegeerde velden
van TCP/IP of andere protocollen (zoals DNS), de timing van
HTTP-requests, headers van HTTP-requests, et cetera et cetera.
Op dit moment testen wij de Intrushield oplossing met Mcafee. Deze kan ook
gewoon in de tunnels kijken naar vreemde content. Kijk maar eens op
http://www.networkassociates.com/us/products/mcafee/network_ips/2600.ht
m
Tsja, het bestaan van een covert channel zou ik nu niet
direct 'wide open' willen noemen.
Even context voor diegenen die te lui zijn het artikel zelf
te lezen: als een cracker eenmaal op je netwerk zit, kan hij
met een covert channel informatie naar buiten sluizen zonder
dat je het (waarschijnlijk) merkt.
Er zijn massa's covert channels, en ik denk dat het een
illusie is dat het mogelijk is ze allemaal te dichten. Denk
aan: het data-segment van PING-pakketten, genegeerde velden
van TCP/IP of andere protocollen (zoals DNS), de timing van
HTTP-requests, headers van HTTP-requests, et cetera et cetera.
Op dit moment testen wij de Intrushield oplossing met Mcafee. Deze kan ook
gewoon in de tunnels kijken naar vreemde content. Kijk maar eens op
http://www.networkassociates.com/us/products/mcafee/network_ips/2600.ht
m
niet als de data encrypted vervoerd wordt ;)
dat zo een tunnel door een split dns komt (dns daemon buitenkant en
binnenkant).
Via een http-proxy wellicht wel, hangt ervan af hoe die zijn data checkt.
Die zal wel ssh over poort 80 tegenhouden. Maar een ssl tunnel wellicht
weer niet. In ieder geval zal die rare payloads in tcp/ip paketten negeren en
niet doorzetten.
Maar als de hacker al binnen is komt hij natuurlijk naar buiten. Ssl is dan de
bekendste weg lijkt mij.
proxies)? Ik denk niet dat zo een tunnel door een split dns
komt (dns daemon buitenkant en binnenkant).
Ik kan nu niet bij het artikel, maar het punt was geloof ik
juist dat de attack daartegen bestand was.
naar buiten. Ssl is dan de bekendste weg lijkt mij.
Tsja, als ssl naar buiten toegestaan is is deze attack
natuurlijk ueberhaupt niet nodig :).
overtrokken.
DNS-verkeer vanuit het interne net worden en kan alleen
worden gericht aan de interne DNS, als je het als rule
hanteerd tenminste op je gateway/firewall/NAT/bridge/filter.
Verkeer gericht aan een ander adres dan dat van de interne
DNS: drop.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
