Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo fornisce una soluzione a un problema a causa del quale la vulnerabilità del server DNS per gli attacchi di snooping della cache del server DNS.
Numero KB originale: 2678371
Sintomi
Che cos'è "snooping della cache DNS" e come si evita? descrive lo snooping della cache DNS come:
Lo snooping della cache DNS è quando un utente esegue una query su un server DNS per scoprire (snoop) se il server DNS ha un record DNS specifico memorizzato nella cache e quindi dedurre se il proprietario del server DNS (o i relativi utenti) ha visitato di recente un sito specifico.
Ciò può rivelare informazioni sul proprietario del server DNS, ad esempio quale fornitore, banca, provider di servizi e così via. Soprattutto se questo è confermato (snooped) più volte in un periodo.
Questo metodo può anche essere usato per raccogliere informazioni statistiche, ad esempio in quale momento il proprietario del server DNS accede in genere alla sua banca netta e così via. Il valore TTL rimanente del record DNS memorizzato nella cache può fornire dati molto accurati.Lo snooping della cache DNS è possibile anche se il server DNS non è configurato per risolvere in modo ricorsivo per terze parti, purché fornisca record dalla cache anche a terze parti.
I controlli di sicurezza possono segnalare che varie implementazioni del server DNS sono vulnerabili agli attacchi di snooping della cache che consentono a un utente malintenzionato remoto di identificare quali domini e host sono stati risolti di recente da un determinato server dei nomi.
Dopo aver letto il report di vulnerabilità di snooping della cache:
Divulgazione di informazioni remote nella cache del server DNS
Riepilogo:
Il server DNS remoto è vulnerabile agli attacchi di snooping della cache.
Descrizione:
Il server DNS remoto risponde alle query per i domini di terze parti che non hanno il bit di ricorsione impostato. Ciò può consentire a un utente malintenzionato remoto di determinare quali domini sono stati risolti di recente tramite questo server dei nomi e quindi quali host sono stati visitati di recente. Ad esempio, se un utente malintenzionato era interessato a stabilire se l'azienda utilizza il Servizi online di un determinato istituto finanziario, sarà in grado di usare questo attacco per creare un modello statistico relativo all'utilizzo aziendale di tale istituto finanziario. Naturalmente, l'attacco può anche essere usato per trovare partner B2B, modelli di navigazione Web, server di posta esterna e altro ancora. Nota: se si tratta di un server DNS interno non accessibile alle reti esterne, gli attacchi sarebbero limitati alla rete interna. Ciò può includere dipendenti, consulenti e potenzialmente utenti in una rete guest o una connessione Wi-Fi, se supportato.
Fattore di rischio:
Medio
Punteggio di base CVSS:5.0
CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
Vedere anche:
http://www.rootsecure.net/content/downloads/pdf/dns_cache_snooping.pdf
Soluzione:
Per una correzione, contattare il fornitore del software DNS.
Causa
Questo errore viene in genere segnalato su Sever DNS che eseguono ricorsione.
Risoluzione
Non esiste alcuna correzione del codice perché si tratta di una scelta di configurazione.
Sono disponibili tre opzioni:
Lasciare abilitata la ricorsione se il server DNS rimane in una rete aziendale che non può essere raggiunta da client non attendibili
Non consentire l'accesso pubblico ai server DNS che eseguono ricorsione
Disabilitare la ricorsione
Ulteriori informazioni
Per impostazione predefinita, i server DNS Microsoft sono configurati per consentire la ricorsione.
La ricorsione dei nomi può essere disabilitata a livello globale in un server DNS Microsoft, ma non può essere disabilitata per ogni client o per ogni interfaccia.
La maggior parte dei server DNS Microsoft viene installata con il ruolo server controller di dominio. Tali server in genere ospitano zone e risolvono i nomi DNS per i dispositivi | appliance, client membri, server membri e controller di dominio in una foresta Active Directory, ma possono anche risolvere i nomi per parti più grandi di una rete aziendale. Poiché i server DNS Microsoft vengono in genere distribuiti dietro firewall nelle reti aziendali, non sono accessibili ai client non attendibili. Gli amministratori di server in questa impostazione devono valutare se è necessaria la disabilitazione o la limitazione della ricorsione DNS.
La disabilitazione della ricorsione a livello globale non è una modifica di configurazione che deve essere presa leggermente, perché significa che il server DNS non può risolvere i nomi DNS nelle zone che non vengono mantenute localmente. Ciò richiede un'attenta pianificazione DNS. Ad esempio, i client non possono in genere puntare direttamente a tali server.
La decisione di disabilitare la ricorsione (o meno) deve essere presa in base al ruolo che il server DNS deve eseguire all'interno della distribuzione. Se il server deve ripetere i nomi per i client, la ricorsione non può essere disabilitata. Se il server deve restituire i dati solo dalle zone locali e non è mai destinato a ripetersi o inoltrare per i client, la ricorsione potrebbe essere disabilitata.