Riesgos y seguridad del DNS

El DNS es el Domain Name System. Es un protocolo del UDP y de TCP-based que escucha en el puerto 53. Las conexiones del TCP se utilizan comúnmente para las transferencias de la zona.

El DNS empareja direcciones del IP a los hostnames (y hostnames a las direcciones del IP). Un servidor del DNS es responsable, o autoritario, para una parte dada del Domain Name System (por ejemplo, mybitofthenet.com).

Los clientes hacen las peticiones de los servidores del DNS cuando desean comunicarse con los sistemas para los cuales tienen solamente el hostname completamente cualificado (por ejemplo, myserver.mybitofthenet.com).

El DNS es una parte crítica de la infraestructura de la red. Su falta—si con incompetencia o la negación del servicio administrativa—puede tener consecuencias importantes.

Riesgos del Dns

El protocolo del DNS tiene problemas de la seguridad. Una descripción detallada del DNS y sus debilidades del protocolo se pueden encontrar en http://www.geocities.com/compsec101/papers/dnssec/dnssec.html. El DNS se define en un número de RFCs—considera http://www.dns.net/dnsrd/rfc/ para los detalles completos.

Por lo que va la seguridad del anfitrión de UNIX, el software lo más extensamente posible usado del servidor del DNS es LAZO (demonio del nombre de Internet de Berkeley), desarrollado por el consorcio del software del Internet (ISC). Por defecto, el demonio del LAZO "nombró" funcionamientos con privilegios de la raíz y—esto es importante—él no los lanza permanentemente lejos después de atar para virar 53 hacia el lado de babor. Por lo tanto, las vulnerabilidades en LAZO pueden dar lugar a un compromiso completo del sistema.

Miremos el expediente de pista del LAZO.

El lanzamiento 8.2.3 fue lanzado en enero de 2001 para fijar cuatro vulnerabilidades de la seguridad descubiertas por los laboratorios COVERT (seguridad del PGP) y Claudio Musmarra. Dos desbordamientos del almacenador intermediario permiten que los atacantes alejados funcionen cualquier código de su elegir. Un error de la validación de la entrada permite a atacantes funcionar cualquier código, y una salida de la información permite que los datos en el apilado sean vistos por un atacante. Este último no pudo parecerse tan malo. Después de todo, no es un compromiso directo de la raíz en-que espera, sino que asiste realmente al desarrollo de hazañas contra un sitio particular. El apilado lleva a cabo variables locales, variables de entorno, y direcciones de proceso importantes. Accediendo a éstos, un desbordamiento del almacenador intermediario se puede escribir sin ensayo y error. Esto es significativo porque los desbordamientos del almacenador intermediario son a menudo un ataque paso a paso—si usted le consigue levemente incorrecto uniforme, usted son probables estrellar un servicio scribbling datos todo excesivos del apilado confiaron posteriormente sobre por el programa.

¡El LAZO ha tenido 12 advisories de la seguridad del CERT en apenas cuatro años—apenas un endoso de la seguridad del LAZO!

Un factor importante es la complejidad del código del LAZO. Los programadores experimentados de C comentan que el código del LAZO es increíblemente difícil de entender. Cuando los programadores realizados luchan para comprender qué se está encendiendo, usted puede ser seguro de problemas de la seguridad. El código complejo es duro revisar—el trabajo de diseños modulares lo más mejor posible, en el cual los programas pequeños, discretos (que es más fácil de revisar) realizan operaciones privilegiadas. Por supuesto, los reveladores del ISC no precisaron para escribir algo que incluso encontrarían difícilmente para mantener—la dificultad son un resultado de la característica hinchan. Quizás que es uno del ISC de la razón reescribió recientemente partes importantes de LAZO.

En enero de 2001, el ISC anunció el lanzamiento de una nueva versión importante de la versión—9.1.0 del LAZO. Esta versión incluye la ayuda para DNSSEC—una extensión del protocolo que supere algo de la debilidad del diseño de la seguridad en el protocolo del DNS de la acción (DNSSEC se define en RFC 2535.) Notablemente, el código no era modularized, tan ahora nosotros tiene nuevo código que sigue siendo duro de revisar. Muchos sitios son probables continuar funcionando el LAZO 8, por lo menos en corto plazo.

Resulta atacantes como romperse en los servidores del LAZO, tanto de modo que las tarifas de SANS unpatched los servidores del LAZO como el problema de la seguridad del número uno en el Internet. Las hazañas para el LAZO abundan. Los servidores del DNS son blancos sabrosas porque tanto del Internet sobre entonces confía. Con control de un servidor del LAZO, usted puede hacer cosas verdaderamente repugnantes, por ejemplo:

· Prive un sitio de tráfico cambiando los mappings de IP/name a una dirección no existente. Alambique peor, usted puede volver a dirigir tráfico a un sitio pornographic o del competidor. El rédito perdido y la mala prensa no ayudan al precio común de una compañía.

· Reproduzca un sitio del e-negocio, modifique el servidor del DNS del sitio para traz su sitio del imposter, y recoja los detalles de la tarjeta de crédito, la cuenta del usuario, y los detalles de la contraseña.

· Explote las relaciones de la confianza entre los sistemas traz un IP a partir de un lado de la relación de la confianza a su máquina.

· Comprometa uno de los nameservers de la raíz.

Aquél pasado se está preocupando particularmente. Los nameservers de la raíz son el punto de partida para tratar en el Internet. Hay solamente 13 nameservers de la raíz en total (debido a limitaciones del protocolo). Asuma el control los nameservers de la raíz, y usted puede tener el Internet en su mano. Como aparte, la opción de la plataforma y los sistemas operativos para estas máquinas sigue el principio de la seguridad con diversidad. Para cotizar de una declaración de Y2K sobre sitio de ICANN's (el Internet Corporation para los nombres y los números asignados):

Los servidores ellos mismos todos de la raíz utilizan una cierta variante del sistema operativo de UNIX, no obstante la base del hardware y las variantes del vendors'UNIX son relativamente diversas: de los 13 servidores de la raíz, hay 7 diversas plataformas de hardware que funcionan 8 diversas versiones del sistema operativo a partir de 5 diversos vendedores.

Esto es una idea sana—usada en naturaleza por Mother Nature misma. Por supuesto, analiza si usted no tiene administradores suficientemente diversos en la mano para manejar con seguridad ocho diversos sistemas operativos.

Aparte de defectos de seguridad, el misconfiguration es común. Al clasificar encima de su sitio, los atacantes solicitarán transferencias de la zona de su servidor del DNS. Ésta es básicamente una descarga de toda la información que pertenece a una zona particular del DNS. ¡Esto es tan bueno como un mapa de la red! Usted no desea esto.

Otra configuración es números de versión (otra vez). Para descubrir la versión del LAZO que usted está funcionando, un cliente puede preguntar su servidor del DNS, y su servidor les dirá. Esto no es tan bueno.

El otro riesgo principal que hace frente al protocolo del DNS y la puesta en práctica del LAZO son negación de los vice ataques del ser. Las vulnerabilidades numerosas del DOS se han encontrado en LAZO. Que inhabilita el DNS los servidores evita que las preguntas del DNS sean resueltas, de tal modo parando a clientes que confían en los servicios de la resolución del DNS (es decir, casi cada uno) en sus pistas.

Asegurar el Dns

Las contramedidas obvias son encontrar un alternativa al LAZO de funcionamiento. Aquí sus opciones son limitadas—nosotros viven en un monocultivo del LAZO. Usted podría cambiar a la puesta en práctica del DNS de Microsoft (que no es una recomendación), o busque un servidor del DNS donde estaba una meta la seguridad de la puesta en práctica fundamental.

El único alternativa viable que estoy enterado de es el paquete de los djbdns de Daniel Bernstein. Esto ha tenido suficiente uso de la producción a ser un competidor serio A ATAR. Fue diseñada y escrita con seguridad en mente por un programador experimentado en código seguro de la escritura. Usted puede descubrir más aquí: http://cr.yp.to/djbdns.html.

Si usted se pega con LAZO, hay algunas cosas que usted puede hacer. Un resumen útil de las ediciones y de las contramedidas está disponible de http://www.acmebw.com/papers/securing.pdf. Usted debe da por lo menos pensamiento serio al siguiente

· No funcione el LAZO como raíz. En lugar, cree a nuevo usuario y agrúpelo. Especifique éstos como comando-li'nea opciones cuando usted ejecuta LAZO.

· Utilice el comando del chroot de funcionar LAZO de modo que haya restringido el acceso al filesystem. El programa del chroot le permite especificar el directorio que un proceso tratará como su directorio de raíz (hecho cumplir por el núcleo). Para hacer esto sin embargo, usted necesita crear un mini duplicado de su sistema operativo porque el LAZO quiere pueda no más de largo considerar bibliotecas de sistema y archivos importantes de la configuración. Las instrucciones completas se pueden encontrar aquí: http://www.etherboy.com/dns/chrootdns.html.

· El número de versión es hard-coded en el código del LAZO, así que si usted tiene código de fuente, usted puede quitarlo simplemente o substituirlo por una versión falsa o un mensaje tonto (tenga diversión). ¡Si no, usted tuvo que remiendo binario la buena—suerte ejecutable! Las versiones recientes del LAZO se pueden configurar para permitir peticiones de la versión de direcciones específicas solamente.

· Configure el LAZO rechazan transferencia de la zona excepto a los servidores autorizados (tales como esclavos del DNS).

Negación: Nuestro Web site no es responsable de la información contenida por este artículo. Este artículo de ninguna manera refleja las vistas, las opiniones, los pensamientos o la creencia del personal del directorio de los artículos.

Aviso de la traducción: El artículo "riesgos y seguridad del DNS" fue traducido usando un servicio de traducción automatizado. Nos disculpamos sinceramente por cualquier error de la traducción que ocurriera. Gracias por entender.