DNS 'Cache Poisoning', is mijn server veilig?

Er is een eenvoudige manier om te controleren of uw nameserver(s) veilig zijn voor de laatst ontdekte DNS Cache Poisoning aanval, waarbij uw nameserver mogelijk een foutieve reply terug geeft als antwoord op een nameserver query.

Op een Linux server met Dig geïnstalleerd, kan u het volgende commando runnen:

dig +short @[uw nameserver] porttest.dns-oarc.net txt

In praktijk kan het commando er als volgt uit zien:

dig +short @ns1.nucleus.be porttest.dns-oarc.net txt 

 Met het volgende antwoord:

root@mattias:~# dig +short @ns1.nucleus.be porttest.dns-oarc.net txt 
porttest.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"195.207.48.18 is GREAT: 26 queries in 5.4 seconds from 26 ports with std dev 18893"

Indien uw nameserver kwetsbaar is voor het lek, krijgt u mogelijk een volgend antwoord:

root@mattias:~# dig +short @125.22.47.125 porttest.dns-oarc.net txt  
 porttest.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"125.22.47.136 is POOR: 28 queries in 10.2 seconds from 1 ports with std dev 0"

Update 11/8/2008. U kan dezelfde test ook uitvoeren op een standaard windows installatie, door gebruik te maken van nslookup. Hierbij kan u het volgende commando ingeven:

nslookup -querytype=TXT porttest.dns-oarc.net. ns1.nucleus.be

U kan hier "ns1.nucleus.be" vervangen door de naam of het IP van uw eigen nameserver. Het resultaat dat u krijgt zal gelijkaardig zijn als het linux-commando, waarbij u ook een "GREAT" of "POOR" antwoord krijgt.

Indien u geen antwoord krijgt bij het uitvoeren van dit commando, wil dit zeggen dat uw nameserver geen "proxy nameserver" is, en enkel queries zal beantwoorden voor domeinen die lokaal gekend zijn in het systeem. Op die manier bent u niet kwetsbaar voor the DNS lek, enkel van nameservers die het verzoek doorgeven aan andere nameservers kan er misbruik gemaakt worden.

Reageer | Geen reacties

Belangrijke DNS bug

Enkele weken geleden kwam security researcher Dan Kaminsky naar buiten met een gevaarlijke en wereldwijde DNS bug. Deze fout in het DNS systeem stelt kwaadwilligen in staat om een foutief antwoord terug te sturen.

Zo krijgt de DNS server het verzoek om "www.google.com" te vertalen naar het correcte IP adres, maar in plaats van het correcte IP adres terug te geven (64.233.183.147) zal het een ander IP adres terug geven, waardoor je terecht komt op hun website, en niet die van Google.

In het geval van Google is dit nog geen ramp, maar wat als u inlogt met uw persoonlijke gegevens van uw Home Banking? Of uw Ebay account? Het kan zware gevolgen hebben.

Toen deze lek voor het eerst werd ontdekt, waren zo'n 85% van alle nameservers kwetsbaar. Uit onderzoek is gebleken dat op enkele weken tijd nog maar 30% van alle DNS servers de nodige patches ontvangen hebben. Dit wil zeggen dat nog steeds meer dan 50% van alle nameservers kwetsbaar zijn voor zo'n aanval!

De conclusie? Update uw DNS servers. Nu.

Verdere uitleg over deze DNS bug kan je hier vinden.

Update: er duiken steeds meer berichten op die melding maken van deze DNS aanval, het is dus eens zo noodzakelijk de nodige updates uit te voeren.
Op volgende pagina kan u een DNS check uitvoeren, om te kijken of de nameserver die u momenteel gebruikt vatbaar is voor deze aanval: http://www.doxpara.com/ (Klik rechts op 'Check My DNS' ).

Reageer | Geen reacties