DNS 'Cache Poisoning', is mijn server veilig?

Er is een eenvoudige manier om te controleren of uw nameserver(s) veilig zijn voor de laatst ontdekte DNS Cache Poisoning aanval, waarbij uw nameserver mogelijk een foutieve reply terug geeft als antwoord op een nameserver query.

Op een Linux server met Dig geïnstalleerd, kan u het volgende commando runnen:

dig +short @[uw nameserver] porttest.dns-oarc.net txt

In praktijk kan het commando er als volgt uit zien:

dig +short @ns1.nucleus.be porttest.dns-oarc.net txt 

 Met het volgende antwoord:

root@mattias:~# dig +short @ns1.nucleus.be porttest.dns-oarc.net txt 
porttest.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"195.207.48.18 is GREAT: 26 queries in 5.4 seconds from 26 ports with std dev 18893"

Indien uw nameserver kwetsbaar is voor het lek, krijgt u mogelijk een volgend antwoord:

root@mattias:~# dig +short @125.22.47.125 porttest.dns-oarc.net txt  
 porttest.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"125.22.47.136 is POOR: 28 queries in 10.2 seconds from 1 ports with std dev 0"

Update 11/8/2008. U kan dezelfde test ook uitvoeren op een standaard windows installatie, door gebruik te maken van nslookup. Hierbij kan u het volgende commando ingeven:

nslookup -querytype=TXT porttest.dns-oarc.net. ns1.nucleus.be

U kan hier "ns1.nucleus.be" vervangen door de naam of het IP van uw eigen nameserver. Het resultaat dat u krijgt zal gelijkaardig zijn als het linux-commando, waarbij u ook een "GREAT" of "POOR" antwoord krijgt.

Indien u geen antwoord krijgt bij het uitvoeren van dit commando, wil dit zeggen dat uw nameserver geen "proxy nameserver" is, en enkel queries zal beantwoorden voor domeinen die lokaal gekend zijn in het systeem. Op die manier bent u niet kwetsbaar voor the DNS lek, enkel van nameservers die het verzoek doorgeven aan andere nameservers kan er misbruik gemaakt worden.

Belangrijke DNS bug

Enkele weken geleden kwam security researcher Dan Kaminsky naar buiten met een gevaarlijke en wereldwijde DNS bug. Deze fout in het DNS systeem stelt kwaadwilligen in staat om een foutief antwoord terug te sturen.

Zo krijgt de DNS server het verzoek om "www.google.com" te vertalen naar het correcte IP adres, maar in plaats van het correcte IP adres terug te geven (64.233.183.147) zal het een ander IP adres terug geven, waardoor je terecht komt op hun website, en niet die van Google.

In het geval van Google is dit nog geen ramp, maar wat als u inlogt met uw persoonlijke gegevens van uw Home Banking? Of uw Ebay account? Het kan zware gevolgen hebben.

Toen deze lek voor het eerst werd ontdekt, waren zo'n 85% van alle nameservers kwetsbaar. Uit onderzoek is gebleken dat op enkele weken tijd nog maar 30% van alle DNS servers de nodige patches ontvangen hebben. Dit wil zeggen dat nog steeds meer dan 50% van alle nameservers kwetsbaar zijn voor zo'n aanval!

De conclusie? Update uw DNS servers. Nu.

Verdere uitleg over deze DNS bug kan je hier vinden.

Update: er duiken steeds meer berichten op die melding maken van deze DNS aanval, het is dus eens zo noodzakelijk de nodige updates uit te voeren.
Op volgende pagina kan u een DNS check uitvoeren, om te kijken of de nameserver die u momenteel gebruikt vatbaar is voor deze aanval: http://www.doxpara.com/ (Klik rechts op 'Check My DNS' ).

Waarom een backup nemen?

Sinds enkele weken biedt Nucleus een online backup tool aan. We merken een grote vraag naar dit product.

We hadden zelf verwacht dat de vraag zou ontstaan vanuit de noodzaak om een tool te hebben die een einde maakt aan het zelf rondsleuren met tapes, externe harddisks, cd's, ... en het risico dat deze eigen backups beschadigd zouden geraken bijvoorbeeld bij brand.

We stellen echter vast dat veel bedrijven raar maar waar zelfs nog geen echte regelmatige backup nemen, vaak net omdat het zo'n "gedoe" is, volgens hen. De bedrijven die we kunnen overtuigen om gratis te testen, zijn meestal snel verkocht.

Toch zijn er veel bedrijven die backups blijkbaar nog niet zo belangrijk vinden. Raar eigenlijk, maar het is zo'n beetje de mentaliteit van "ach, dat overkomt ons nooit"...

Voor de mensen die denken dat onwaarschijnlijke dingen niet gebeuren, verscheen deze week de Data Loss Disasters top 10 van 2007. Deze lijst wordt door de firma Ontrack gecompileerd op het einde van het jaar door een rondvraag onder hun techniekers. Ontrack is immers gespecialiseerd in data recovery: het recuperen van data waarvan men beter een backup had gemaakt.

Om het u makkelijk te maken, de top 10 is:

1. Mieren op één: de winnaar van 2007 zijn een bende Thaise mieren die zich genesteld hadden in een harde schijf. De mieren hebben het niet overleefd, maar de data ook niet.
2. Parachute: ok, hier had Nucleus Online Backup ook niet geholpen. In een test van een nieuwe type parachute had de parachutefabrikant een harddisk camera laten neerkomen met de parachute om alles te filmen. Alleen was het ontwerp van de parachute dus nog niet OK e, crashte de camera, zonder zocht te hebben op wat er misgelopen was.
3. Piep piep piep: een zenuwachtige professor Gobelijn werd gek van het geluid van zijn harde schijf, dus wat deed onze bolleboos? Hij boorde door de harddiskcase en liet wat olie in de harddisk druppelen. Piepen gedaan, maar wetenschappelijk onderzoek ook verdwenen.
4. Vurig: het blijft een topper in dit lijstje. Een bedrijfsbrand vernielt alleen alle computers en servers, maar ook alle backups die in-house zijn blijven liggen
5. Zakelijke ruzie: soms zijn zaken hard, zo hard dat je ruzie maakt. Je USB-stick naar het hoofd van je tegenstander gooien, is niet alleen je tegenstander kwetsen, maar ook je eigen data te grabbel gooien
6. Zure oprispingen: harde schijven in labo's zijn soms het slachtoffer van onhandige labo-assistenten die zuur spul morsen.
7. Bijna-dode fotograaf: een bruid kan dodelijk zijn, zeker als die van haar fotograaf verneemt dat die de foto's op zijn harddisk heeft overschreven door de foto's van een ander huwelijk.
8. Lokaas: gaan vissen kan ontspannend zijn, maar als je je laptop meeneemt om het wachten op de vis aangenamer te maken, moet je voor zorgen dat die niet overboord gaat.
9. Fruitpapje: moderne papa's geven ook fruitpapjes, maar als USB-sticks met belangrijke info uit het hemdzakje in het potje vallen, tja...
10. Data weggewassen: een USB-stick in de broekzak laten zitten is nefast als die broek gewassen wordt.

De laatste nieuwe firewall

Ik ben op dit late uur bezig met een inventaris te maken van de nieuwe routering en van de rules die een deel van onze klanten draaien in Antwerpen, althans zij die shared firewalling hebben genomen.

Ik moet eerst voor mezelf een overzicht maken. Enige tijd geleden hebben we beslist om van merk te veranderen voor onze firewalls, omdat we nood hadden aan een product met veel meer ontwikkeling achter de schermen. Er verandert elke dag zoveel op het internet en hackers vinden alsmaar nieuwe manieren om proberen voorbij een firewall te geraken, dus was het een absoluut criterium in onze zoektocht om iets te hebben waar regelmatig updates voor uitkomen.

Tegelijk hebben we beslist om het aantal firewalls in onze netwerken te verdrievoudigen. Als nu deze laatste "oude" (nu ja, oud, twee jaar) firewall vervangen is, zal alles in een identieke structuur zitten, zowel in Brussel als in Antwerpen. Het hele concept is zo opgevat dat iedere firewall verschillende taken heeft, maar als een firewall down gaat, dan kan een andere onmiddellijk de taken overnemen. Alle bekabeling is daarvoor voorzien, dit gebeurt volledig transparant voor de klanten.


» » » lees het volledige verhaal... « « «