Managed hosting door True

Mailservers nog kwetsbaar voor DNS-lek

Dit artikel delen:

Via een gerichte aanval kunnen mailberichten in veel gevallen nog steeds worden afgevangen. Juist de extra beveiliging van mailservers gooit vaak roet in het eten. Firewalls maken namelijk het willekeurige poortgebruik van de DNS-patch ongedaan.

Veel mailservers in Nederland zijn nog niet gepatcht tegen het ernstige DNS-lek dat beveiligingsonderzoeker Dan Kaminsky begin juli wereldkundig maakte. Dat zegt SIDN, de organisatie die het .nl-domein beheert. Antoin Verschuren, technisch adviseur bij SIDN: "Hoewel de grote internetproviders hun DNS-servers nu vrijwel allemaal gepatcht hebben, zien we dat mailservers dat vaak nog niet zijn."

"We weten niet of het daarbij om mailservers van providers gaat of van bedrijven." SIDN kan niet zeggen om welk percentage van de Nederlandse mailservers het gaat. Verschuren: "We weten alleen dat we veel namen van mailservers tegenkomen in onze lijst van ongepatchte servers."

Mailservers over hoofd gezien

Volgens Verschuren zijn er verschillende redenen waarom juist mailservers minder vaak gepatcht zijn: "Beheerders hebben zich in eerste instantie gericht op het patchen van machines die als officiële dedicated nameserver bekend staan. Vaak zijn zij ‘vergeten' dat er op de mailservers ook nog nameserversoftware staat."

"Beheerders van kleinere bedrijfsnetwerken hebben vaker wat minder kennis van DNS. Of ze weten gewoon niet dat er op hun mailserver ook een nameserverproces draait. Bovendien zijn er binnen een netwerk meestal meer mailservers dan nameservers aanwezig. De nameservers doen de meeste queries, dus die worden als eerste gepatched, de mailservers pas later."

Firewall gooit roet in eten

Een ander probleem is dat mailservers vaak draaien achter een firewall of router met strikte poortcontrole, die het effect van de patch ongedaan maakt. De patch tegen het Kaminsky-lek zorgt er namelijk voor dat de afzenderpoort van een vertaalverzoek een willekeurig getal krijgt (64000 mogelijkheden). Wanneer de firewall die keuze voor een willekeurige (random) poort ongedaan maakt, is het  patchen voor niets geweest.

Verschuren: "Vaak zijn mailservers wat beter beveiligd omdat er vertrouwelijke informatie op staat, of de beheerders willen ze beter beschermen tegen misbruik door spammers. Het is daardoor complexer om te zorgen dat die beveiliging wordt aangepast naar aanleiding van het DNS-lek." Adviezen om met deze situatie om te gaan, zijn te vinden in dit document van overheidsorganisatie Govcert.

Kleinere bedrijfsnetwerken

Daarnaast zijn kleinere bedrijfsnetwerken en thuisnetwerken volgens Verschuren meestal nog ongepatcht. SIDN ziet veel DSL-aansluitingen in de lijst van ongepatchte servers. Verschuren: "Binnen kleine bedrijfsnetwerken wordt het DNS-verkeer meestal door heel goedkope routertjes verzorgd. Die kunnen vaak niet eens gepatcht worden."

"Die gebruikers moeten dus eigenlijk een nieuwe router aanschaffen. Meestal zijn zij zich echter van geen gevaar bewust. Ik denk overigens niet dat criminelen dergelijke kleine gebruikers als doelwit kiezen, omdat er relatief weinig te halen valt."

Meer veilige queries

Het aantal gepatchte DNS-servers is nauwelijks toegenomen: ongeveer eenderde van de DNS-servers in Nederland is niet gepatcht. Verschuren: "Toch is het aantal onveilige queries gedaald van achttien naar veertien procent. Dat komt doordat een aantal grote DNS-servers inmiddels gepatcht is."

Bovendien klinkt het percentage van veertien procent volgens Verschuren ernstiger dan het is: "We houden iets minder dan vijf procent over aan kwetsbare queries als we de adressen filteren. Dus het buiten beschouwing laten van nameservers waarvan we op basis van patronen vermoeden dat ze gebruikt worden voor onderzoek of monitoring van domeinnamen."

Het lek dat Kaminksy ontdekte

Domain Name System-servers vertalen domeinnamen naar ip-adressen. Er zijn twee soorten DNS-servers: authoritative en caching nameservers. Alleen het tweede type DNS-server (ook wel ‘resolving name servers' genoemd) is vatbaar voor de kwetsbaarheid die Kaminsky ontdekte. Caching nameservers zijn namelijk niet op de hoogte van alle domeinnamen op het hele internet, en sturen daarom vertaalverzoeken aan ‘autoritieve' DNS-servers. In zo'n vertaalverzoek vraagt een DNS-server naar het ip-adres dat hoort bij een bepaald website- of mailadres.

Het huidige DNS-lek maakt het voor kwaadwillenden mogelijk zich uit te geven voor een autoritieve DNS-server. Ze kunnen binnen 0,7 seconden na de start van een ‘brute force' aanval de macht grijpen over een (ongepatchte) name server en de cache daarvan vervuilen met foutieve ip-adressen. Vanaf dat moment is er veel meer mogelijk dan enkel mail afvangen en websitebezoekers omleiden naar nepsites.

Ook bijvoorbeeld het File Transfer Protocol (FTP) valt te onderscheppen via het lek, net als het authenticatie- en encryptieprotocol Secure Socket Layer (SSL). Internetbanken gebruiken SSL voor het beveiligen van geldtransacties die via http lopen (https). Ook automatische software updatediensten zijn na de overname van een name server te misbruiken. Bijvoorbeeld om malware binnen bedrijfsnetwerken te krijgen. Volgens Kaminksy vormt Windows Update hierop een uitzondering.

Snelle check

Wie snel wil controleren of de patch is doorgevoerd binnen zijn eigen bedrijf, kan op de website van Dan Kaminsky via één druk op de knop achterhalen of de gebruikte DNS-server kwetsbaar is of niet. Een meer gedetailleerde controle kan elders worden uitgevoerd. Als blijkt dat de DNS-server die je gebruikt kwetsbaar is, informeer dan je netwerkbeheerder.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

DNS-lek ondermijnt vertrouwen in internet

Gepatchte DNS-servers binnen tien uur over te nemen

Nederlander vond als eerste details DNS-lek

DNS-lek maakt internetbankieren onveilig

DNS-patches vertragen internetverkeer

DNSSEC enige oplossing tegen DNS-lek

Gepatchte DNS-servers binnen een dag te hacken

Apple-patch voor DNS-lek deugt niet

Geen nieuwe patches ondanks DNS-gevaar

Apple brengt patch uit voor DNS-lek

DNS-servers aangevallen

Niet alle providers gepatcht tegen DNS-lek

Beheerder patcht DNS-lek vaak ongemerkt

Apple heeft nog geen patch voor DNS-lek

Kaminsky geeft meer details over DNS-lek

Cisco: schakel DNS-server uit

Zeker helft DNS-servers nog niet gepatcht

Patchen DNS-lek is niet voldoende

Minderheid bedrijven heeft DNS-lek gedicht

Details DNS-lek uitgelekt

DNSsec wordt wereldwijd meest gebruikt bij .NL

SURFnet ondersteunt veilig internetprotocol

Internet krijgt beveiligd DNS-protocol

.com-domein krijgt beveiligd DNS-protocol

Kaminsky vond DNS-lek dankzij fitnessongelukje

Windows 7 biedt betere DNS-beveiliging

Organisaties verwaarlozen DNS-infrastructuur

Nederland patcht slechter tegen Kaminsky-lek

Amsterdam neemt Getronics in bescherming

SIDN: vanaf 2009 overstap naar DNSsec

VS verplicht DNSSEC voor overheid

Firefox beschermt tegen DNS-gat

Getronics: niets mis met Amsterdamse DNS

Aantal DNS-aanvallen neemt toe

'Getronics incompetent bij DNS-patch Amsterdam'

Authoritative nameservers vatbaar voor Kaminsky lek


Reacties

"goedkope routertjes" zoals de wrt54gL van linksys die ergens tussen de 46 en 60 euro kost.

Deze kan voorzien worden van nieuwe opensource firmware zoals dd-wrt en daar is al een poos de firmware van uitgebracht die de dns exploit oplost

http://www.dd-wrt.com/dd-wrtv3/community/developmentnews/1-common/24-dd-wrtv24sp1.html

Ben erg benieuwd welke andere commerciele firmware al zo snel was aangepast.

Als er een "chinese muur" bij de email servers tussen het "source informatie domein" en het "encrypted informatie domein" gezet wordt dan kan dit DNS-lek niet gebruikt worden om de security en/of privacy van de zender(s)/ontvanger(s) aan te tasten. Dit komt omdat bij een strikte scheiding van deze domeinen zowel de security als privacy in het "source informatie domein" vallen. Een gerichte attack is alleen op groepsniveau mogelijk omdat de mail servers in het "encrypted informatie domein" zitten en eventuele attackers dus geen informatie hebben over de identiteit van de zender(s)/ontvangers en de inhoud van de mail. Als deze groep erg groot is (bijvoorbeeld een multi-nationale telecom operator), dan is zo'n attack onmogelijk zonder extreem zware consequenties voor de attackers. Bovendien zal zo'n attack direct opgemerkt en opgelost worden, omdat dan een gehele groep tegelijk aangevallen wordt. De worst-case attack is dus dat het verkeer van de gehele groep een korte tijd geblokkerd zal worden. De security en privacy zal bij een worst-case attack niet aangetast worden.

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.