Organisaties verwaarlozen DNS-infrastructuur
In een ideale wereld zouden er geen DNS-servers bestaan die queries van iedereen willen beantwoorden. “Netwerkbeheerders beseffen onvoldoende dat recursie een risico is.”
Wie had gedacht dat de meeste organisaties hun DNS-infrastructuur inmiddels wel op orde hadden, heeft ongelijk. Dat zegt InfoBlox. De netwerkleverancier liet de Measurment Factory de configuratie meten van vijf procent van alle DNS servers ter wereld.
Cricket Liu, vice president architectuur bij InfoBlox: "In een ideale wereld zouden er geen DNS-servers bestaan die queries van iedereen willen beantwoorden. In werkelijkheid zijn dat er het er ruim vijf miljoen, vierenveertig procent van alle DNS-servers. Netwerkbeheerders beseffen niet dat recursie een risico is. Het is relatief gemakkelijk de cache van een recursieve DNS-server te vergiftigen, zelfs als die is gepatcht tegen de Kaminsky-kwetsbaarheid."
Volgens anderen valt dat risico overigens wel mee. PowerDNS-ontwikkelaar Bert Hubert: "Het is theoretisch mogelijk de cache te manipuleren van een gepatchte server, maar er is tot nu toe slechts een enkeling met zeer veel moeit gelukt en dan nog onder laboratorium-omstandigheden."
Cache vervuilen
Er zijn twee soorten DNS-servers: authoritative en recursieve nameservers. Alleen het tweede type DNS-server (ook wel ‘resolving' of ‘caching' name server genoemd) is vatbaar voor de kwetsbaarheid die Kaminsky ontdekte. Recursieve nameservers zijn namelijk niet op de hoogte van alle domeinnamen op het hele internet, en sturen daarom vertaalverzoeken aan ‘autoritieve' DNS-servers. In zo'n vertaalverzoek vraagt een DNS-server naar het ip-adres dat hoort bij een bepaald website- of mailadres.
Volgens Liu zijn er ‘veel redenen waarom hij niet houdt van recursieve name servers': "Als een name server een query van mij accepteert, kan ik hem vragen iets op te zoeken op mijn name servers. En dan kan ik allemaal onzindata terugsturen zodat de cache vervuild raakt. Als dat geen recursieve name server was geweest had ik dat nooit rechtstreeks kunnen doen."
"Bovendien kan ik in dat geval bij elke query het ‘message id' zien. Als ik maar genoeg query's stuur, kan ik de message id raden. Dat is eenvoudiger na het bekend worden van de Kaminsky-kwetsbaarheid. Daardoor kan ik de cache van een recursieve name server nog gemakkelijker vervuilen. Daarnaast kunnen recursieve name servers misbruikt worden voor DDOS-aanvallen tegen anderen."
Access Control List
Liu adviseert om het gebruik van recursieve name servers zo veel mogelijk te vermijden. Liu: "Gebruik op zijn minst een Access Control List (ACL). Dat is een lijst van ip-adressen die het recht hebben om queries te stellen aan je name server."
In 2007 was het percentage open recursieve queries op het internet tweeenvijftig procent. Dit jaar is dat percentage vierenveertig procent. Liu: "Dat is een verbetering, maar die verbetering is kleiner dan we verwacht hadden. We hadden verwacht dat de Kaminsky-kwetsbaarheid gebruikers meer bewust had gemaakt van de problemen die open recursieve queries kunnen opleveren."
10-02 Infor helpt Ferrari met bouwen F1-auto's
10-02 Tester Four Oaks in Israëlische handen
10-02 IS Online en Tres zijn klaar voor Elfstedentocht
10-02 SecureLink migreert Microsoft-diensten Atradius
10-02 Nieuwe software brengt Vitens in problemen
10-02 Ex-Misys-topman moet CSC uit penarie helpen
10-02 Veenman en 20/20 vision adviseren samen klant
10-02 Cisco maakt 2,2 miljard dollar kwartaalwinst
10-02 Misys en Temenos willen fuseren
10-02 Raet stelt Schrijnemaekers als nieuwe CFO aan
10-02 Complexiteit elimineren met Backup Exec 2012
10-02 Avocent van Emerson beheert datacenter
08-02 Blue Coat MACH5 kan versleutelde Flash Video aan
08-02 'ICT-afdeling is te traag voor ontwikkeling apps'
07-02 Western Digital haalt hard uit naar Stellar Data
07-02 Detron beheert ICT voor RTL
07-02 Detron zoekt naar scherper profiel
07-02 Europese ICT-beslissers voorzichtig met budget
06-02 Erasmus Universiteit reorganiseert ICT
06-02 Banometer: Topstart vacaturemarkt krijgt vervolg
|
|
07-09-09 SURFnet ondersteunt veilig internetprotocol
04-06-09 Internet krijgt beveiligd DNS-protocol
06-04-09 SecureLink richt Haags DNS/DHCP-netwerk in
25-02-09 .com-domein krijgt beveiligd DNS-protocol
06-01-09 Kaminsky vond DNS-lek dankzij fitnessongelukje
12-11-08 Windows 7 biedt betere DNS-beveiliging
13-08-08 DNS-lek ondermijnt vertrouwen in internet
11-08-08 Gepatchte DNS-servers binnen tien uur over te nemen
08-08-08 Nederlander vond als eerste details DNS-lek
08-08-08 DNS-lek maakt internetbankieren onveilig
06-08-08 DNS-patches vertragen internetverkeer
05-08-08 DNSSEC enige oplossing tegen DNS-lek
04-08-08 Gepatchte DNS-servers binnen een dag te hacken
04-08-08 Apple-patch voor DNS-lek deugt niet
01-08-08 Geen nieuwe patches ondanks DNS-gevaar
01-08-08 Apple brengt patch uit voor DNS-lek
30-07-08 DNS-servers aangevallen
30-07-08 Niet alle providers gepatcht tegen DNS-lek
30-07-08 Beheerder patcht DNS-lek vaak ongemerkt
28-07-08 Apple heeft nog geen patch voor DNS-lek
Het herschrijven van de regels van het patch-beheer
De meeste organisaties slagen er niet in patches bijtijds uit te rollen, waardoor ze continu beveiligingsrisico’s......
| Aantal reacties met 3+ sterren | Gemiddelde waardering | |||
 | 1 | 154 | 6.4 | |
 | 2 | 120 | 6.7 | |
 | 3 | 109 | 6.4 | |
 | 4 | 79 | 6.6 | |
| 5 | 53 | 6.1 | |
| 6 | 49 | 6.3 | |
 | 7 | 47 | 6.5 | |
| 8 | 43 | 6.1 | |
| 9 | 43 | 6.0 | |
| 10 | 40 | 6.3 | |
Computable.nl is onderdeel van VNU Media, uitgever van o.a.: NationaleVacaturebank.nl | Intermediair | IntermediairPW | Carrièregids.nl | CompanyRating | NationaleStagebank.nl | Banen.nl | HRbase.nl | HRdirectory.nl | Financebase.nl | InIct.nl | InInterim.nl | InOverheid.nl | Overheidscircuit.nl | Computable | CRN | IT Knowledge Base | Tweakers.net | Recruitmentbloggers
Sitemap | Abonneren | Adverteren | Algemene voorwaarden | Disclaimer | Privacy | Alle rechten voorbehouden © 1995-2012 VNU Media