De fleste DNS-servere er åpne for angrep

En fersk undersøkelse viser at minst 75 prosent av DNS-serverne er konfigurert slik at de risikerer utnyttelse av ondsinnede.

DNS-servere (Domain Name System) er helt nødvendige for dagens bruk av Internett. Disse serverne har som oppgave å oversette servernavn, for eksempel www.vg.no, til IP-adresser, for eksempel 80.90.100.110. Uten en slik oversettelse ville brukerne måtte skrive inn IP-adressene direkte, adresser som er langt vanskeligere å huske. En rekke begrensninger i bruken kommer i tillegg.

Hvis denne oversettelsen feiler, enten fordi DNS-serveren blir utilgjengelig eller fordi dataene serveren leverer er feil, vil nettsteder, e-postservere og mye annet kunne bli utilgjengelige for svært mange.

Det skilles mellom autoritative DNS-servere hvor de faktiske oversettelsestabellene (sonefiler) er lagret, og DNS-servere som bare henter og videresender resultatene (rekursivt) fra autoritative servere. Men det er heller ikke uvanlig at DNS-servere høre hjemme i begge kategorier.

Selskapet The Measurement Factory har på oppdrag fra Infoblox utført en undersøkelse ved å sende forskjellige typer forespørsler til mer enn 1,3 millioner autoritative DNS-servere verden over.

Undersøkelsen viste at mellom 75 og 84 prosent av navneserverne som ble undersøkt, tilbyr rekursive navnetjenester til enhver Internett-bruker. Dette til tross for at det burde være kjent at slike tjenester fra en gitt DNS-server, bare bør gjøres tilgjengelig for en begrenset liste med kjente maskiner man stoler på.

Ifølge The Measurement Factory kan rekursjon til tilfeldige IP-adresser på Internett utsette navneserveren for både tjenestenektangrep (DoS) og cache-forgiftning. Det sistnevnte er mulig fordi resultatet av rekursive DNS-oppslag mellomlagres en stund i en DNS-server for å begrense belastningen på blant annet den autoritative serveren. Hvis en angriper kan få DNS-serveren til å akseptere feilaktig informasjon, noe som både kan gjøre den egentlige tjenesten utilgjengelig for brukeren av den "forgiftede" DNS-serveren, men også, i verste fall, lede brukeren over til en forfalsket tjeneste, hvor brukeren kan bli bedt om å oppgi følsom informasjon.

En variant av dette, hvor en angriper har fått tilgang til den autoritative DNS-serveren for et domene, kalles pharming. Også her vil ofrene bli sendt til en forfalsket tjeneste og kan bli fralurt informasjon, for eksempel kredittkortnummer.

Videre viste undersøkelsen av mer enn 40 prosent av navneserverne som ble undersøkt, tilbyr soneoverføring (zone transfer) til alle og enhver. Soneoverføring innebærer at en kopi av hele segmentet til en organisasjons DNS-data overføres fra en DNS-server til en annen. Dette er nyttig ved automatisk oppdatering av sekundære navneservere, men avslører samtidig alle navnene som er knyttet til et gitt domene. Dette gir gjerne en potensiell angriper enkel tilgang til å se hvilke maskiner som utfører forskjellige typer oppgaver for en organisasjon, informasjon bare kjente maskiner og mennesker som man kan stole på, bør ha tilgang til.

I tillegg viste undersøkelsen at omtrent en tredjedel av navneserverne som skal gi redundans for autoritative data, er satt opp i det samme nettverkssegmentet som den primære serveren. Dette øker faren for at nettverksfeil eller tjenestenektangrep kan gjøre den autoritative DNS-tjenesten for ett eller flere domener utilgjengelig, med det resultat at tjenester som benytter domenenavnet også blir utilgjengelige.

Cricket Liu, visepresident for arkitektur ved Infoblox og forfatter av flere bøker om DNS-konfigurering, kommer i en pressemelding med flere råd om hvordan organisasjoner kan unngå slike problemer:

  • Hvis mulig, splitt eksterne navneservere inn i autoritative navnservere og videresender. Rekursjonen må deaktiveres på eksterne, autoritative navneservere, men tilgangen til videresenderne må begrenses til organisasjonens interne adresserom.
  • Hvis du ikke kan splitte dine autoritative navneservere og videresenderne, begrense rekursjonen så mye som mulig, med å bare tillate rekursive forespørsler fra ditt interne adresserom.
  • Benytt forsterket, sikker og skreddersydde enheter for systemer basert på generelle servere og operativsystem-applikasjoner.
  • Sørg for at du kjører den nyeste versjonen av DNS-programvaren.
  • Filtrer trafikken til og fram dine eksterne navneservere. Bruk enten brannmur- eller ruterbaserte filtre og sikre at kun autorisert trafikk tillates mellom dine navnservere og Internett.

En del informasjon og råd om DNS-oppsett, primært om BIND, er tilgjengelig på denne siden.

Det må understrekes at Infoblox tilbyr nettopp den typen skreddersydde DNS-servere som Liu anbefaler.

BIND er ifølge undersøkelsen til The Measurement Factory den klart mest brukte DNS-programvaren, med en andel på 77 prosent. Men fortsatt benytter 20 prosent den eldre 8.x-utgaven av produktet.

Flere detaljer om undersøkelsen er tilgjengelige på denne siden.

Til toppen