Tietoturva nyt!

6.2.2009

Nimipalvelinten ylläpitäjien on syytä tarkistaa palvelinten asetukset

FI-verkkotunnuksilla on vielä paljon nimipalvelimia, jotka sallivat rekursiiviset nimipalvelukyselyt ja mahdollistavat DNS cache poisoning -tyyppiset hyökkäykset. Osa palvelimista on muuten suojattu, mutta vastaa sellaisiin kyselyihin, jotka koskevat nimipalvelimen omasta välimuistista löytyviä tietoja, jolloin niitä voi käyttää palvelunestohyökkäyksen vahvistamiseen.

Noin viidennes FI-verkkotunnukseen liittyvistä nimipalvelimista on yhä asetuksiltaan turhan avoimia niin, että ne vastaavat kaikkiin niille tehtyihin rekursiivisiin kyselyihin. Määrä on jonkin verran laskenut viime kesästä, jolloin rekursiolle avoimia nimipalvelimia oli suoritetun testin perusteella noin joka neljäs.

Puolet rekursion hyväksikäytöltä suojatuista nimipalvelimista vastaa kuitenkin kysymyksiin välimuististaan löytyvillä tiedoilla (esimerkiksi kysyttäessä juurinimipalvelinten osoitteita).

Puolet suojaamattomista nimipalvelimista näyttää edelleen olevan ohjelmistoltaan sellaisia, että puutteellinen satunnaisuus helpottaa dns cache poisoning -tyyppisiä hyökkäyksiä.

Osa suojatuistakin nimipalvelimista ohjaa kyselyt toiselle, rekursion hyväksikäytöltä suojaamattomalle palvelimelle. Tällä tavoin toimii joka kymmenes kaikista nimipalvelimista.

Rekursiolta suojaamattomat nimipalvelimet ja arvio niiden vastausten satunnaisuudesta

Lisätietoa

• https://www.dns-oarc.net/oarc/articles/upward-referrals-considered-harmful

Sivua päivitetty 06.02.2009

Tulostusversio