DNS-patches vertragen internetverkeer

06-08-2008 14:59 | Door Jolein de Rooij | Lees meer artikelen over: DNS, Patches | Er zijn nog geen reacties op dit artikel | Permalink

Het internetverkeer vertraagt door de installatie van een patch voor de populairste DNS-server. De patch maakt het moeilijker voor internetcriminelen om mails af te vangen en surfers om te leiden naar nepsites.

De patch om DNS-servers te beveiligen tegen een ernstig lek vertraagt BIND, de meest gebruikte DNS-server ter wereld. Een nieuwe versie (P2) van de software moet deze problemen oplossen.

P2 is inmiddels beschikbaar voor BIND 9.5.0, 9.4.2 en 9.3.5. Voor BIND 9.4.3 en BIND 9.5.1. is een betaversie beschikbaar.

Hoofdontwikkelaar Paul Vixie - tevens oprichter van het Internet Systems Consortium (ISC), dat BIND onder een open source licentie distribueert - benadrukt dat bedrijven de oorspronkelijke patch (van 8 juli) niet moeten terugrollen: "De kwetsbaarheid is belangrijker dan een langzame server."

Hoogvolumeservers

Vixie geeft aan dat hij de problemen deels heeft zien aankomen: "Tijdens de ontwikkelingscyclus ontdekten we een potentieel prestatieprobleem op recursieve servers die meer dan 10000 queries per seconde verwerken. Gezien de beperkte tijd en de risico's die er speelden kozen we ervoor de patches zo snel mogelijk af te ronden. Daarnaast maken we extra haast met het ontwikkelen van nieuwe releases die de prestatiezorgen aanpakken die we hebben over hoogvolumeservers."

Na het verschijnen van de patch doken echter nieuwe problemen op. Vixie: "Toen de gepatchte versies [van BIND] eenmaal publiekelijk beschikbaar waren, kwamen nieuwe prestatieproblemen naar boven, die te maken hadden met poorttoewijzing."

Het is niet bekend of andere nameservers ook vertraagd zijn door de maatregelen die nodig zijn ter bescherming.

Het lek dat Kaminsky ontdekte

Domain Name System-servers vertalen domeinnamen naar ip-adressen. Er zijn twee soorten DNS-servers: authoritative en caching nameservers. Alleen het tweede type DNS-server (ook wel ‘resolving name servers' genoemd) is vatbaar voor de kwetsbaarheid die Kaminsky ontdekte. Caching nameservers zijn namelijk niet op de hoogte van alle domeinnamen op het hele internet, en sturen daarom vertaalverzoeken aan ‘autoritieve' DNS-servers. In zo'n vertaalverzoek vraagt een DNS-server naar het ip-adres dat hoort bij een bepaald website- of mailadres. Het huidige DNS-lek maakt het voor kwaadwillenden mogelijk zich uit te geven voor een autoritieve DNS-server. Zij kunnen daardoor de cache van DNS-servers vervuilen met verkeerde ip-adressen. Die foute adressen kunnen ervoor zorgen dat mails in verkeerde handen terecht komen en dat websitebezoekers worden omgeleid naar vervalste websites. Kwaadwillenden kunnen één website 'kapen' (van bijvoorbeeld een bank of een webmailaanbieder), maar in principe ook het hele .com-domein overnemen.

Snelle check

Wie snel wil controleren of de patch is doorgevoerd binnen zijn eigen bedrijf, kan op de website van Dan Kaminsky via één druk op de knop achterhalen of de gebruikte DNS-server kwetsbaar is of niet. Een meer gedetailleerde controle kan elders worden uitgevoerd. Als blijkt dat de DNS-server die je gebruikt kwetsbaar is, informeer dan je netwerkbeheerder. Is je provider het probleem, laat het ons dan weten.

	Aantal reacties met 3+ sterren		Gemiddelde waardering
1	PaVaKe	154	6.4
2	Reza Sarshar	120	6.7
3	Henri Koppen	109	6.4
4	edekkinga	79	6.6
5	Jaap-G	53	6.1
6	Guido Groeneweg	49	6.3
7	Ruud Mulder	47	6.5
8	mauwerd	43	6.1
9	Frank Brechts	43	6.0
10	Rob Koelmans	40	6.3

Nieuws / Security

DNS-patches vertragen internetverkeer

Hoogvolumeservers

10-02 Infor helpt Ferrari met bouwen F1-auto's

10-02 Tester Four Oaks in Israëlische handen

10-02 IS Online en Tres zijn klaar voor Elfstedentocht

10-02 SecureLink migreert Microsoft-diensten Atradius

10-02 Nieuwe software brengt Vitens in problemen

10-02 Ex-Misys-topman moet CSC uit penarie helpen

10-02 Veenman en 20/20 vision adviseren samen klant

10-02 Cisco maakt 2,2 miljard dollar kwartaalwinst

10-02 Misys en Temenos willen fuseren

10-02 Raet stelt Schrijnemaekers als nieuwe CFO aan

10-02 SecureLink migreert Microsoft-diensten Atradius

09-02 Vodafone: Wij spelen klantinformatie niet door

09-02 Lang leve de hackers!

09-02 'Ook met cookiewet is gebruiker niet anoniem'

09-02 'KPN koppelt ID aan internetverkeer'

08-02 'Nieuwe cookiewet is eenvoudig te omzeilen'

07-02 Eigen werknemer kan ook een vijand zijn

03-02 'Overheid vreest voor veiligheid in de cloud'

01-02 F5 beschermt openbare websites

31-01 Publieksvoorlichting is belangrijke taak voor NCSC

07-09-09 SURFnet ondersteunt veilig internetprotocol

04-06-09 Internet krijgt beveiligd DNS-protocol

25-02-09 .com-domein krijgt beveiligd DNS-protocol

06-01-09 Kaminsky vond DNS-lek dankzij fitnessongelukje

12-11-08 Windows 7 biedt betere DNS-beveiliging

11-11-08 Organisaties verwaarlozen DNS-infrastructuur

10-11-08 Nederland patcht slechter tegen Kaminsky-lek

05-09-08 Amsterdam neemt Getronics in bescherming

02-09-08 SIDN: vanaf 2009 overstap naar DNSsec

22-08-08 Aantal DNS-aanvallen neemt toe

19-08-08 Authoritative nameservers vatbaar voor Kaminsky lek

18-08-08 Internetbankieren onveilig ondanks 3x kloppen

18-08-08 Mailservers nog kwetsbaar voor DNS-lek

14-08-08 Is de IP-protocolsuite überhaupt wel veilig?

14-08-08 Getest: exploittool voor DNS-lek

13-08-08 DNS-lek ondermijnt vertrouwen in internet

11-08-08 Gepatchte DNS-servers binnen tien uur over te nemen

08-08-08 Nederlander vond als eerste details DNS-lek

08-08-08 DNS-lek maakt internetbankieren onveilig

05-08-08 DNSSEC enige oplossing tegen DNS-lek

Best Practices om laptop-data te beschermen