České DNS servery nejsou řádně zabezpečené

Pracovníci bezpečnostního týmu CSIRT.CZ, který provozuje sdružení CZ.NIC, odhalili při analýze dat provozu DNS v České republice přibližně 1 500 DNS serverů s velmi nízkou úrovní zabezpečení. Příčinou tohoto slabého zabezpečení je absence základního bezpečnostního opatření – náhodných portů pro odchozí dotazy. Martin Peterka, který v CZ.NIC vede bezpečnostní tým CSIRT.CZ, k tomu dodává: „V těchto dnech odesíláme dopisy s upozorněním první skupině konkrétních držitelů domén, u nichž byla v rámci kampaně za větší bezpečnost domén .CZ zjištěna nízká úroveň zabezpečení jimi využívaných DNS serverů. Součástí tohoto upozornění je i nabídka speciálních vzdělávacích kurzů týkající se DNS a DNSSEC, které pořádáme v naší Akademii.“ Více v tiskové zprávě.

Příčinou tohoto slabého zabezpečení je absence základního bezpečnostního opatření – náhodných portů pro odchozí dotazy.

Tak ja sa priznám. Nemám tušenie o čom hovorí. To je reč o source port pre UDP pakety? Ako túto vlastnosť nastavím pre Bind?^* A čo treba urobiť v C zdrojáku ak mám aplikáciu komunikujúcu cez UDP a chcem, aby bola bezpečná? A týka sa to aj TCP?

*) ak dobre googlim, tak Bindu nemá mať "query-source port 53;" v named.conf. Správne?

30.8.2011 21:29 optim | skóre: 7
Rozbalit Rozbalit vše Re: České DNS servery nejsou řádně zabezpečené

Řeč je o trávení DNS cache podle pana Kaminského. Ten náhodný port je jen taková obezlička, problém řeší až DNSSEC. Obecně jde o to zajistit, aby útočník nebyl schopen (jednoduše) ukrást uživatelovu relaci.

To a případně query-source-v6 port 53;

31.8.2011 09:26 j
Rozbalit Rozbalit vše Re: České DNS servery nejsou řádně zabezpečené

Otazka zni, zda to provozovateli DNSka vadi. Odpoved bude v 90% ze nikoli.

České DNS servery nejsou řádně zabezpečené

Komentáře