Lectures for 2008 - KTH

More documents

Recommendations

Info

KURSKOMPENDIUM NÄTVERKSSÄKERHETSKURS ___________________________________________________________________________ ;; Query time: 6 msec ;; SERVER: 130.237.72.250#53(ns.kth.se) ;; WHEN: Sun Oct 30 14:38:47 2005 ;; MSG SIZE rcvd: 51 I exemplet ovan ser vi att DNS-servern ns.kth.se kör version 9.2.2 patchnivå 1 av DNSprogramvaran bind. Modernare metoder att kontrollera programtyp och programversion inkluderar att använda program som fpdns 82 , vilket utifrån fråge-svarsdialogen via fingeravtrycksmetodik kan karaktärisera vilken DNS-serverprogramvara som svarar på frågan. Genom att hämta ut information ur whois-databasen kan det i vissa fall gå att stjäla personinformation, e-postadresser, med mera. Historiskt har det gått att hämta mycket information via olika domänadministratörers whois-databaser. Allt eftersom missbruk av informationen ökat samt lagstiftning om personinformation lagt begränsningar har den publikt tillgängliga informationen minskat. Zonöverföringar (eng. zone transfer), när någon hämtar ut all DNS-information om en viss domän, kan vara ett steg i informationsinsamlingen. Zonöverföring sker normalt från en primär DNS-server och de sekundära servrar som genom att spegla zonen därefter kan svara på domänfrågor. Den insamlade informationen kan användas i senare attacker. Ett annat sätt är att nyttja specialprogramvara som automatiskt traverserar en zon, exempelvis walker 83 . Huruvida hela zoninformationen är tillgänglig eller ej beror på policymässiga frågor - anser domäninnehavaren att informationen har kommersiellt intresse eller skall vara fritt tillgänglig, likväl som tekniska frågor - hur har domänad-ministratören konfigurerat (eller inte vetat om konfigurationenför ) zonen. Statistik från en större kontroll 2005 av mer än 1000,000 zoner i .com-domänen visar att mer än 40% av alla zoner tillät zonetransfer 84 . Att spärra den DNS-zonfilen som beskriver externt åtkomliga system från åtkomst för utomstående har som regel liten säkerhetshöjande effekt. Det gäller dock att tänka på vilken information som finns lagrad i DNS-datat, tex om DNS-administratören varit alltför nitisk och namngivit alla brandväggens interface för explicit och ingående. 7.6.2 Tillgänglighetsförlustattack mot DNS En typ av attack som skulle kunna ställa till mycket problem attacker för att skapa tillgänglighetsförlust (eng. DoS attack). Genom att slå ut en eller fler servers eller genom att överlasta tjänsten kan potentiellt DNS-information om en viss domän störas ut. Några olika typer av tillgänglighetsförlustattacker är: • överlasta en specifik DNS-tjänsten med alltför många frågor. • överlasta kommunikationslänkarna som ansluter en specifik DNS-serverdatorn så att inte DNS-servern kan nås eller skicka tillbaka svar 85 . Överlastningen kan ske via DNS-frågor eller via något annat protokoll, exempelvis upprepade ICMP echo request (dvs ping). 82 Roy Arends & Jakob Schlyter (2003) fpdns - Fingerprinting DNS servers. http://www.rfc.se/fpdns/ 83 Josefsson, Simon. DNSSEC Walker. http://www.josefsson.org/walker/ 84 The Measurement Factory (2005) DNS SURVEY: JUNE 2005 http://dns.measurement-factory.com/ surveys/200506.html 85 CERT-CC (2000). Denial of Service Attacks using Nameservers. http://www.cert.org/ incident_notes/IN-2000-04.html Copyright (c) 2003-2008 Robert Malmgren AB. All rights reserved Sid 116 (139)
KURSKOMPENDIUM NÄTVERKSSÄKERHETSKURS ___________________________________________________________________________ • Ställa namnfrågor till flera DNS-servers men använda en falsk avsändaradress som får mottaga svar från alla servrarna9. DNS-svar kan vara mycket större än själva frå-gan, vilket gör att DNS-servrarna används som en tredje part som ger utväxling på attacken. • en DNS-server kan luras att skicka frågor och svar till sig själv i en oändlig loop 86 • en DNS-server kan fås att krasha på grund av dålig indata 87 • en DNS-server kan fås att krasha på grund av för mycket indata 88 Ett sätt att förstärka effekten av en tillgänglighetsförlustattack är att skala upp attacken till en massiva distribuerade attacker (eng. DDoS attack). DDoS-attacker kan ske mot en eller flera DNS-servers hos den som skall attackeras. Konsekvenser att DNS-tjänsten slås ut eller överlastas blir att andra tjänster som e-post eller webb slutar att fungera. Att slå ut ett e- handelsbolag eller en internetbanks DNS-tjänst är ett effektivt sätt att indirekt stoppa åtkomst till en webbtjänst. Ett exempel på en storskalig DDoS-attack mot internetinfrastrukturen är attacken den 21:a oktober 2002 mot rootnamnservrarna 89 . Någon eller några koordinerade attacker alla tretton rootnamnservrar med olika typer av attackmetoder i ett försök att slå till mot hjärtat av Internet. Attackerna lyckades delvis i att överlasta länkar och servrar men var i realitetet inte något större hot. 7.6.3 Förfalskning av DNS-svar Förfalskade DNS-svar (eng. DNS-spoofing) kan medföra att en namnfråga resulterar i ett svar som leder ett program eller en person till ett system som angriparen förfogar över. Falska DNS-svar kan nyttjas i scanarios för att förfalska adressen till en källa likväl som förfalskning av adressen till en viss destination. Ett exempel på förfalskning av adressen till en avsändare är vid autentisering av avsändaren. Om DNS-frågan nyttjas av en nätverkstjänst som nyttjar domännamnet för autentisering, exempelvis rlogin-tjänsten, så går det att lura autentiseringsfunktionen. Destinationsförfalskning av adressen kan vara att DNS-frågan ställs av en webbläsare till en viss adress exempelvis http://www.storabanken.se. I fallet med webbåtlkomst går det att via förfalskade DNS-svar omdirigera trafiken till en falsk webbserver som kan erbjuda förvanskad information eller nyttjas för exempelvis stöld av användarnamn och lösenord. Paul Vixie, en av huvudmännen bakom DNS-programvaran bind gjorde i mitten av 1990-talet flera förändringar 90 i bind för att motstå flera av de kända attackerna mot för- falskade DNSsvar, korruption av DNS-cache. Ungefär samtidigt påbörjades en större översyn av vilka säkerhetshöjande funktioner som DNS-systemet kunde behöva, något som så småningom ledde till DNSSec, se kapitel 7.6.9 ”Skydd i DNS” sid 120. 86 UNIRAS (2004). Vulnerability Issues in Implementations of the DNS Protocol. http:// www.niscc.gov.uk/niscc/docs/al-20041130-00862.html?lang=en 87 US CERT (2005). BIND 9.3.0 vulnerable to denial of service in validator code. http:// www.kb.cert.org/vuls/id/938617 88 US CERT (2005). BIND 8.4.4 and 8.4.5 vulnerable to buffer overflow in q_usedns http:// www.kb.cert.org/vuls/id/327633 89 Vixie, Paul mfl (2002). Events of 21-Oct-2002. http://d.root-servers.org/october21.txt 90 Vixie, Paul (1995). DNS and BIND Security Issues. http://www.usenix.org/publications/library/pro- ceedings/security95/full_papers/vixie.txt Copyright (c) 2003-2008 Robert Malmgren AB. All rights reserved Sid 117 (139)
Page 1 and 2:
KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
Page 3 and 4:
Page 5 and 6:
Page 7 and 8:
Page 9 and 10:
Page 11 and 12:
Page 13 and 14:
Page 15 and 16:
Page 17 and 18:
Page 19 and 20:
Page 21 and 22:
Page 23 and 24:
Page 25 and 26:
Page 27 and 28:
Page 29 and 30:
Page 31 and 32:
Page 33 and 34:
Page 35 and 36:
Page 37 and 38:
Page 39 and 40:
Page 41 and 42:
Page 43 and 44:
Page 45 and 46:
Page 47 and 48:
Page 49 and 50:
Page 51 and 52:
Page 53 and 54:
Page 55 and 56:
Page 57 and 58:
Page 59 and 60:
Page 61 and 62:
Page 63 and 64:
Page 65 and 66: KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
Page 115: KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
Page 139: KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
show all

Lectures for 2008 - KTH

Create successful ePaper yourself

Delete template?

Save as template?