Tietoturva nyt!

11.8.2008

Suomalaisia suojaamattomia nimipalvelimia

CERT-FI lähestyy tulevina päivinä päivittämättömien tai puutteellisesti suojattujen nimipalvelinten ylläpitäjiä.

Selvitimme loppuviikon ja viikonlopun aikana, kuinka hyvin suomalaisten fi-päätteisten verkkotunnusten nimipalvelimet on suojattu.

Testasimme kaikkiaan 4260 nimipalvelinta ja etsimme merkkejä seuraavista:

• palvelin sallii rekursiiviset kyselyt koko internetisä CERT-FI Varoituksessa 03/2007 kuvatulla tavalla
  
• palvelimen DNS-kyselyihin käyttämien lähdeporttien satunnaisuus ei ole tyydyttävä CERT-FI Varoituksessa 01/2008 kuvatulla tavalla

Testauksen tuloksena löysimme 1391 avointa palvelinta, joista kaikkiaan 602 vaikutti päivittämättömältä. Lähestymme ensi vaiheessa näiden 602 palvelimen omistajia infokirjeellä. Kehotamme ylläpitäjiä paitsi asentamaan palvelimiinsa uusimmat tietoturvapäivitykset CERT-FI Haavoittuvuustiedotteissa 088/2008, 087/2008 ja 100/2008 mainituilla tavoilla, myös harkitsemaan, onko verkkotunnuksen autoritativiiseksi (ensisijaiseksi) nimipalvelimeksi määritellyn palvelimen ensinkään syytä sallia rekursiivisia kyselyjä. Ainakaan ulkopuolisista verkosta. Tätä ei yleensä pidetä hyvänä käytäntönä.

Lisähuomiona todettakoon, että näiden 602 palvelimen "suomalaisuus" on jossakin määrin suhteellista: nimipalvelimet ovat sijoittuneet kaikkiaan 207 eri verkkoon vähintään eri 25 maan alueelle Euroopassa, Pohjois-Amerikassa, Venäjällä ja Japanissa. Suomeen rekisteröidyissä verkoissa oli 334 palvelinta eli reilu puolet.

Yhteenvetotaulukko testin tuloksista:

============================================
          #    | % avoimista |  % kaikista
---------------+-------------+--------------
GREAT:   779   |    56 %     |    18 %
GOOD:     10   |    <1 %     |   <<1 %
POOR:    602   |    43 %     |    14 %
-------------------------------------------

Testin arvosanojen seloste:

===============================================
Rating  Standard Deviation      Bits of Entropy
-----------------------------------------------
GREAT   3980 -- 20,000+         13.75 -- 16.0
GOOD    296 -- 3980             10.0 --13.75
POOR    0 -- 296                0 -- 10.0
-----------------------------------------------

(Taulukon lähde: https://www.dns-oarc.net/oarc/services/porttest)

Lisätietoa

• CERT-FI Varoitus 03/2007: Suomalaisia nimipalvelimia käytetty palvelunestohyökkäyksen toteuttamiseen
• CERT-FI Varoitus 01/2008: Vakavan DNS-haavoittuvuuden yksityiskohdat paljastuneet
• CERT-FI Haavoittuvuus 088/2008: Kaikki nimipalvelimet, erit. ISC BIND
  
• CERT-FI Haavoittuvuus 087/2008: Microsoft Windows
• CERT-FI Haavoittuvuus 100/2008: Apple Mac OS X

Sivua päivitetty 11.08.2008

Tulostusversio