Download whitepapers, case studies
en onderzoeken over ICT-onderwerpen
Computable IT Knowledge Base
  Dagelijks het laatste
ICT-nieuws in je inbox?
Computable e-mail nieuwsbrief

security / Nieuws

06-08-2008 14:59 | Door Jolein de Rooij | Tags: DNS, Software, Patch, Internet, DNS-lek | Er zijn nog geen reacties op dit artikel | Permalink

DNS-patches vertragen internetverkeer

Het internetverkeer vertraagt door de installatie van een patch voor de populairste DNS-server. De patch maakt het moeilijker voor internetcriminelen om mails af te vangen en surfers om te leiden naar nepsites.

De patch om DNS-servers te beveiligen tegen een ernstig lek vertraagt BIND, de meest gebruikte DNS-server ter wereld. Een nieuwe versie (P2) van de software moet deze problemen oplossen.

P2 is inmiddels beschikbaar voor BIND 9.5.0, 9.4.2 en 9.3.5. Voor BIND 9.4.3 en BIND 9.5.1. is een betaversie beschikbaar.

Hoofdontwikkelaar Paul Vixie - tevens oprichter van het Internet Systems Consortium (ISC), dat BIND onder een open source licentie distribueert - benadrukt dat bedrijven de oorspronkelijke patch (van 8 juli) niet moeten terugrollen: "De kwetsbaarheid is belangrijker dan een langzame server."

Hoogvolumeservers

Vixie geeft aan dat hij de problemen deels heeft zien aankomen: "Tijdens de ontwikkelingscyclus ontdekten we een potentieel prestatieprobleem op recursieve servers die meer dan 10000 queries per seconde verwerken. Gezien de beperkte tijd en de risico's die er speelden kozen we ervoor de patches zo snel mogelijk af te ronden. Daarnaast maken we extra haast met het ontwikkelen van nieuwe releases die de prestatiezorgen aanpakken die we hebben over hoogvolumeservers."

Na het verschijnen van de patch doken echter nieuwe problemen op. Vixie: "Toen de gepatchte versies [van BIND] eenmaal publiekelijk beschikbaar waren, kwamen nieuwe prestatieproblemen naar boven, die te maken hadden met poorttoewijzing."

Het is niet bekend of andere nameservers ook vertraagd zijn door de maatregelen die nodig zijn ter bescherming.

Het lek dat Kaminsky ontdekte
Domain Name System-servers vertalen domeinnamen naar ip-adressen. Er zijn twee soorten DNS-servers: authoritative en caching nameservers. Alleen het tweede type DNS-server (ook wel ‘resolving name servers' genoemd) is vatbaar voor de kwetsbaarheid die Kaminsky ontdekte. Caching nameservers zijn namelijk niet op de hoogte van alle domeinnamen op het hele internet, en sturen daarom vertaalverzoeken aan ‘autoritieve' DNS-servers. In zo'n vertaalverzoek vraagt een DNS-server naar het ip-adres dat hoort bij een bepaald website- of mailadres. Het huidige DNS-lek maakt het voor kwaadwillenden mogelijk zich uit te geven voor een autoritieve DNS-server. Zij kunnen daardoor de cache van DNS-servers vervuilen met verkeerde ip-adressen. Die foute adressen kunnen ervoor zorgen dat mails in verkeerde handen terecht komen en dat websitebezoekers worden omgeleid naar vervalste websites. Kwaadwillenden kunnen één website 'kapen' (van bijvoorbeeld een bank of een webmailaanbieder), maar in principe ook het hele .com-domein overnemen.
Snelle check
Wie snel wil controleren of de patch is doorgevoerd binnen zijn eigen bedrijf, kan op de website van Dan Kaminsky via één druk op de knop achterhalen of de gebruikte DNS-server kwetsbaar is of niet. Een meer gedetailleerde controle kan elders worden uitgevoerd. Als blijkt dat de DNS-server die je gebruikt kwetsbaar is, informeer dan je netwerkbeheerder. Is je provider het probleem, laat het ons dan weten.
Reageer
rssMeer Security
Security Whitepapers

Tijd om de Firewall te repareren

In de laatste decenia, het toegenomen volume aan internet content, bedreigingen en applicaties op het bedrijfsnetwerk......

Security whitepapers

Computable Events - Security

event

Computable organiseert verschillende events met praktijkgerichte informatie over actuele onderwerpen in de ICT:

Webcast Security | 10-04-08
Security Producten

Dell levert server met Symantec software

16-03 11:43   Dell introduceert de PowerVault DL2100 Powered by Symantec Backup Exec 2010. Dit is een schijfgebaseerde back-up- en hersteloplossing voor het mkb met deduplicatietechnologie die...

Security producten
Security Praktijk

Transparante systeemtoegang voor 17.000 UWV-medewerkers

16-07 11:15   Het moet de nachtmerrie zijn van elke informatiebeveiliger: de toegang regelen van 17.000 medewerkers tot de systemen van een organisatie waarin ruim 22 miljard euro per jaar...

Security praktijk
Security Achtergrond

Op veilige manier kunnen anywhere-ken

15-02 17:44   Steeds meer bedrijven kijken naar het nieuwe werken. De opkomst ervan wordt dan ook veel vanuit leveranciers, maar ook vanuit overheden, gestimuleerd. Termen als 'efficiënter...

Security achtergrond
Security Opinie

SaaS verhoogt noodzaak host-based intrusion protection-systeem

11-03 11:09   Network-based intrusion prevention/detection-systemen op de perimeter van het netwerk zijn inmiddels voor vele organisaties gemeengoed geworden. Maar waar blijft de acceptatie van...

Security opinie