DNS και αφάλεια: ας είμαστε προσεκτικοί

December 11, 2008 Chris Spanougakis

Σαν διαχειριστές συνήθως αχολούμαστε με το να ασφαλίσουμε κατάλληλα τους servers του εταιρικού μας δικτύου, παραμελώντας τα client μηχανήματα. Δεν θα πρέπει να ξεχνάμε ότι και αυτά κινδυνεύουν, αν λάβουμε υπόψη μας ότι αυτά χρησιμοποιούνται από χρήστες, όχι τόσο υποψιασμένους σε θέματα ασφάλειας.

Πρόσφατα επισκέφθηκα την σελίδα του DNS Measurement Factory, http://dns.measurement-factory.com/, βρίσκοντας αρκετά ενδιαφέροντα άρθρα που σχετίζονται με το DNS. Αξίζει τον κόπο να την επισκεφθείτε, παρέχει μια σειρά εργαλείων για την ανάλυση του DNS αλλά κατά καιρούς πραγματοποιεί και surveys.

Διάβασα λοιπόν εκεί ένα ενδιαφέρον survey του Οκτωβρίου του 2007, όπου αναφέρεται ότι μετά από έρευνα, βρέθηκαν περίπου 16.000.000 ανοιχτοί recursors. Οι recursors είναι DNS Servers που δέχονται recursive queries από οποιονδήποτε άλλον υπολογιστή.

Πολλές φορές οι hackers χρησιμοποιούν αυτούς τους recursors για να πετύχουν DoS επιθέσεις (Denial of Service), αλλά και για το λεγόμενο cache-poisoning. Δυστυχώς υπάρχει όμως πολύ σοβαρότερο πρόβλημα με αυτούς τους servers.

Μια ομάδα ερευνητών έστειλε queries σε αυτούς τους dns servers και εξέτασε τις απαντήσεις τους. Αν εξαιρέσουμε το γεγονός ότι κάποιες απαντήσεις ήταν λανθασμένες ίσως εξαιτίας κάποιου λάθος configuration, περίπου 68.000 από αυτούς έστελνε πάντοτε την ίδια απάντηση στο query, ανεξάρτητα από το ερώτημα που είχει γίνει. Αυτές οι πάντα ίδιες IP διευθύνσεις φαινόταν να ανήκουν σε ανοιχτούς proxy servers και μάλιστα σε “επικίνδυνες” γεωγραφικές τοποθεσίες, όπως Ρωσία και Κίνα, αλλά και σε δίκτυα γνωστά για την παραγωγή spam emails.

Όπως αντιλαμβάνεστε, κανένας σώφρων διαχειριστής δεν θα δήλωνε στους υπολογιστές του δικτύου του να χρησιμοποιούνται αυτοί οι προβληματικοί dns servers, άρα η αιτία μάλλον πρέπει να αναζητηθεί αλλού. Το malware που κάποια στιγμή κατέβηκε από το internet, άλλαξε το σωστό configuration με το “πειραγμένο”, στέλνοντας όλη την web κίνηση ενός εταιρικού δικτύου σε συγκεκριμένους proxy servers στη Ρωσία ή την Κίνα. Φανταστείτε λοιπόν να κάνετε μια online αγορά με πιστωτική κάρτα και ο αριθμός της να καταλήγει σε “ύποπτα” μάτια.

Τι κάνουμε λοιπόν? Εκτός από το να εκπαιδεύσουμε τους χρήστες του δικτύου μας σχετικά με το τι δεν πρέπει να κατεβάζουν από το Internet, το firewall που έχουμε στο δίκτυό μας μπορεί να βοηθήσει.

Δεν θα επιτρέψουμε λοιπόν στα client μηχανήματα του δικτύου μας να στέλνουν απευθείας dns ερωτήματα εκτός του δικτύου μας, προσθέτοντας ένα απλό rule που θα επιτρέπει μόνο στους εσωτερικούς dns servers μας να βγαίνουν με την θύρα 53 προς τα έξω. Χρησιμοποιήστε τον Windows Server που έχετε στο δίκτυό σας σαν dns και ορίστε ότι μόνο αυτός στέλνει queries, τις απαντήσεις των οποίων θα προωθεί μετά στους εσωτερικούς clients.