[linux] trochu OT: Re: UPDATE DNS security problem - cache poisoning
Kocur
kocur na erbe-ba.sk
Pátek Srpen 1 20:02:20 CEST 2008
rypnem si...
zareagoval na tento problem aj M$ .. :D
kedze sa chystame preinstalovat jeden GW-NAT-FIREWALL-MAIL-PROXY server...
tak by som sa pri tejto prilezitosti rad opytal na nazor, ci mam pouzit
BIND alebo radcej DJBDNS
...............................
Matus UHLAR - fantomas wrote / napísal(a):
>> Matus UHLAR - fantomas, 15.7.2008 14:07:
>>
>>> 3. Problem spociva v tom, ze DNS dotazy sa vacsinou posielaju UDP paketmi so
>>> 16-bitovym ID cislom, co dava dost malo kombinacii. Problem je mozne
>>> zmiernit tym, ze dotazy budu chodit z co najvacsieho mnozstva roznych UDP
>>> portov, takze utocnik bude musiet hadat aj spravny port.
>>>
>>> ...
>>> Objavitel problemu Dan Kaminsky chce zverejnit podrobnejsie informacie na
>>> BlackHat konferencii 7-8 Augusta, skuste doupgradovat dovtedy.
>>> http://news.cnet.com/8301-10789_3-9985815-57.html?hhTest=1
>>>
>
> On 15.07.08 16:18, Tibor Pittich wrote:
>
>> Na tento problém upozorňoval ešte v minulom storočí Paul Vixie vo svojej
>> prezentácii na Usenix-e v roku 1995:
>> http://www.usenix.org/publications/library/proceedings/security95/full_papers/vixie.txt
>>
>> Okrem iného aj Daniel J. Bernstein na svojej stránke popisuje tento
>> problém: http://cr.yp.to/djbdns/forgery.html
>> pričom djbdns používa odzačiatku randomizáciu zdrojových portov.
>>
>> Dan Kaminsky problém neobjavil, len oživil starý problém tým, že zrejme
>> našiel efektívnejší spôsob ako vykonať "forgery".
>> Za doterajších okolností bola potrebná pomerne veľká hrubá sila,
>> zaujímavé hodnoty sú uvedené v štúdii
>> http://tools.ietf.org/html/draft-ietf-dnsext-forgery-resilience-05
>>
>
> Presne tak. Mimochodom vynorili sa este dva problemy:
>
> 1. odhad toho, co vlastne objavil Kaminsky, bol zverejneny, vzapati
> stiahnuty ale medzitym skopirovany inam. Odhad bol spravny.
> Dalsi objaveny problem spociva v tom, ze paket s odpovedou moze obsahovat
> additional section, t.j. nejake udaje navyse (casto napriklad IP
> nameserverov spomenutych v authrity section), ktorym ak server uveri, ma
> smolu. Nastastie novsie verzie DNS serverov si davaj upozor.
>
> 2. niektore NAT firewally, ktore sa nesnazia zachovat zdrojovy port, pouziju
> pri preklade adresy rovnaky alebo odhanutelny port. Takze ak ste za NATom,
> overte si ci NAT server nerusi vsetky vyhody patchnuteho resolvera.
>
> 3. Co som minule nenapisal - v pripade ze ma niekto DNS server poskytujuci
> rekurziu verejne, moze ho hocikto poziadat aby si zistil nejake meno a
> vzapati podrvhnut odpoved. Vypnite si rekurziu, budte sebci a poskytujte ju
> len sebe - inac ohrozujete sami seba.
>
>
------------- další část ---------------
HTML příloha byla odstraněna...
URL: http://lists.linux.sk/pipermail/linux/attachments/20080801/366f79cf/attachment.html
Další informace o konferenci linux