Tietoturva nyt!

29.7.2008

Päivittämättömän nimipalvelimen suojaaminen ja nimipalvelimien tarkastaminen

Vaikeasti päivitettävä nimipalvelin voidaan suojata.

Nimipalvelimien haavoittuvuudesta kertovassa tiedotteessa on maininta tiettyjen nimipalvelintoteutusten korjausten aiheuttamista suorituskykyongelmista. Jos nimipalvelinta syystä tai toisesta ei voida päivittää, on syytä selvittää voidaanko päivityksen tuoma satunnaisuus toteuttaa toisella tapaa.
Ainakin Linux-jakeluissa laajasti käytössä oleva iptables-ohjelmisto sekä OpenBSD:n pakettisuodatin (PF) mahdollistavat toiminnon, jossa lähtevien pakettien lähdeporttien arvot asetetaan satunnaisesti. Tämä lisäksi laitevalmistajilla voi olla laitekohtaisia ratkaisuja, jotka takaavat lähtevän liikenteen satunnaisuuden (esim. CheckPoint SmartDefence).

The DNS Operations, Analysis, and Research Center (DNS-OARC) on julkaissut työkalun, jonka avulla voi tarkistaa oman verkkoyhteyden käyttämät nimipalvelimet. Graafisesta testituloksesta käy ilmi, miten satunnaisia nimipalvelimien valitsemat verkkoparametrit ovat. Testin avulla päivittämätön nimipalvelin tai vaikkapa omassa verkossa oleva, satunnaisuuden kumoava aktiivilaite voi paljastua. Myös tietoturvatutkija Dan Kaminskyn blogin yhteydessä on nimipalvelimia tarkastava työkalu. Lisäksi nimipalvelimia voi testata dig-ohjelman avulla aikaisemman Tietoturva nyt! -artikkelin ohjeiden mukaan.

Lisätietoa

• Satunnaisuuden lisääminen iptables-ohjelmiston avulla: http://cipherdyne.org/blog/2008/07/mitigating-dns-cache-poisoning-attacks-with-iptables.html
• Satunnaisuuden lisääminen OpenBSD:n pakettisuodattimen avulla: http://blog.spoofed.org/2008/07/mitigating-dns-cache-poisoning-with-pf.html

Sivua päivitetty 29.07.2008

Tulostusversio