Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel bietet eine Lösung für ein Problem, bei dem die DNS-Server-Sicherheitsanfälligkeit gegenüber DNS-Servercache-Snooping-Angriffen besteht.
Ursprüngliche KB-Nummer: 2678371
Symptome
Was ist "DNS-Cache-Snooping" und wie kann ich dies verhindern? beschreibt das Snooping des DNS-Caches wie folgt:
Dns-Cache-Snooping ist, wenn jemand einen DNS-Server abfragt, um herauszufinden (snoop), ob der DNS-Server einen bestimmten DNS-Eintrag zwischengespeichert hat, und dadurch ableiten, ob der Besitzer des DNS-Servers (oder seine Benutzer) kürzlich eine bestimmte Website besucht hat.
Dies kann Informationen über den Besitzer des DNS-Servers anzeigen, z. B. welcher Anbieter, Bank, Dienstanbieter usw. sie verwenden. Insbesondere, wenn dies mehrmals über einen Zeitraum bestätigt (abgesunken) wird.
Diese Methode könnte sogar verwendet werden, um statistische Informationen zu sammeln - z. B. zu welchem Zeitpunkt greift der Besitzer des DNS-Servers in der Regel auf seine Nettobank usw. zu. Der verbleibende TTL-Wert des zwischengespeicherten DNS-Eintrags kann hierfür sehr genaue Daten bereitstellen.Das Snooping des DNS-Caches ist möglich, auch wenn der DNS-Server nicht so konfiguriert ist, dass er rekursiv für Drittanbieter aufgelöst wird, solange er Datensätze aus dem Cache auch für Dritte bereitstellt.
Sicherheitsüberwachungen können melden, dass verschiedene DNS-Serverimplementierungen anfällig für Cache-Snooping-Angriffe sind, mit denen ein Remote-Angreifer erkennen kann, welche Domänen und Hosts [kürzlich] von einem Bestimmten Namensserver aufgelöst wurden.
Sobald ein solcher Cache-Snooping-Sicherheitsrisikobericht gelesen hat:
DNS-Servercache– Remoteinformationsveröffentlichung
Übersicht:
Der Remote-DNS-Server ist anfällig für Cache-Snooping-Angriffe.
Beschreibung:
Der Remote-DNS-Server antwortet auf Abfragen für Drittanbieterdomänen, die nicht über den Bitsatz für rekursion verfügen.The remote DNS server responds to queries for third-party domains that do not have the recursion bit set. Auf diese Weise kann ein Remote-Angreifer ermitteln, welche Domänen kürzlich über diesen Namensserver aufgelöst wurden und welche Hosts kürzlich besucht wurden. Wenn beispielsweise ein Angreifer daran interessiert war, ob Ihr Unternehmen die Onlinedienste eines bestimmten Finanzinstituts nutzt, könnte er diesen Angriff verwenden, um ein statistisches Modell für die Unternehmensnutzung dieses Finanzinstituts zu erstellen. Natürlich kann der Angriff auch verwendet werden, um B2B-Partner, Web-Surfmuster, externe Mail-Server und vieles mehr zu finden. Hinweis: Wenn es sich um einen internen DNS-Server handelt, der nicht auf externe Netzwerke zugreifen kann, sind Angriffe auf das interne Netzwerk beschränkt. Dies kann Mitarbeiter, Berater und potenziell Benutzer in einem Gastnetzwerk oder wlan-Verbindung umfassen, falls unterstützt.
Risikofaktor:
Medium
CVSS-Basisbewertung:5,0
CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
Weitere Informationen:
http://www.rootsecure.net/content/downloads/pdf/dns_cache_snooping.pdf
Lösung:
Wenden Sie sich an den Anbieter der DNS-Software, um einen Fix zu finden.
Ursache
Dieser Fehler wird in der Regel für DNS-Server gemeldet, die Rekursion durchführen.
Lösung
Es gibt keine Codekorrektur, da dies eine Konfiguration ist.
Es gibt drei Optionen:
Aktivieren der Rekursion, wenn der DNS-Server in einem Unternehmensnetzwerk verbleibt, das von nicht vertrauenswürdigen Clients nicht erreicht werden kann
Den öffentlichen Zugriff auf DNS-Server, die rekursion durchführen, nicht zulassen
Rekursion deaktivieren
Weitere Informationen
Standardmäßig sind Microsoft DNS-Server so konfiguriert, dass rekursion zulässig ist.
Die Namensrezkursion kann global auf einem Microsoft DNS-Server deaktiviert werden, kann aber nicht pro Client oder pro Schnittstelle deaktiviert werden.
Der Großteil der Microsoft DNS-Server wird mit der Domänencontroller-Serverrolle koinstalliert. Solche Server hosten in der Regel Zonen und auflösen DNS-Namen für Geräte | Appliances, Mitgliedsclients, Mitgliedsserver und Domänencontroller in einer Active Directory-Gesamtstruktur, können aber auch Namen für größere Teile eines Unternehmensnetzwerks auflösen. Da Microsoft DNS-Server in der Regel hinter Firewalls in Unternehmensnetzwerken bereitgestellt werden, sind sie für nicht vertrauenswürdige Clients nicht zugänglich. Administratoren von Servern in dieser Einstellung sollten überlegen, ob das Deaktivieren oder Einschränken der DNS-Rekursion erforderlich ist.
Das globale Deaktivieren der Rekursion ist keine Konfigurationsänderung, die leicht genommen werden sollte, da der DNS-Server keine DNS-Namen in Zonen auflösen kann, die nicht lokal gehalten werden. Dies erfordert eine sorgfältige DNS-Planung. Clients können z. B. in der Regel nicht direkt auf solche Server verwiesen werden.
Die Entscheidung, rekursion zu deaktivieren (oder nicht), muss basierend auf der Rolle, die der DNS-Server innerhalb der Bereitstellung ausführen soll, getroffen werden. Wenn der Server Namen für seine Clients rekursieren soll, kann rekursion nicht deaktiviert werden. Wenn der Server Daten nur aus lokalen Zonen zurückgeben soll und niemals für Clients rekursieren oder weiterleiten soll, kann die Rekursion deaktiviert werden.