Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera rozwiązanie problemu polegającego na tym, że luka w zabezpieczeniach serwera DNS do ataków polegających na szpiegowaniu pamięci podręcznej serwera DNS.
Oryginalny numer KB: 2678371
Symptomy
Co to jest "snooping pamięci podręcznej DNS" i jak mogę temu zapobiec? Opisuje snooping pamięci podręcznej DNS jako:
Snooping pamięci podręcznej DNS jest, gdy ktoś wysyła zapytanie do serwera DNS, aby dowiedzieć się (snoop), jeśli serwer DNS ma określony rekord DNS buforowany, a tym samym deduj, jeśli właściciel serwera DNS (lub jego użytkownicy) niedawno odwiedził określoną witrynę.
Może to ujawnić informacje o właścicielu serwera DNS, takie jak dostawca, bank, dostawca usług itp. Zwłaszcza jeśli jest to potwierdzane (snooped) wiele razy w danym okresie.
Ta metoda może nawet służyć do zbierania informacji statystycznych — na przykład w jakim czasie właściciel serwera DNS zwykle uzyskuje dostęp do jego banku netto itp. Pozostała wartość czasu wygaśnięcia buforowanego rekordu DNS może zapewnić bardzo dokładne dane.Snooping pamięci podręcznej DNS jest możliwe, nawet jeśli serwer DNS nie jest skonfigurowany do rozpoznawania cyklicznego dla innych firm, o ile zapewnia rekordy z pamięci podręcznej również do innych firm.
Inspekcje zabezpieczeń mogą zgłaszać, że różne implementacje serwera DNS są narażone na ataki szpiegujące w pamięci podręcznej, które umożliwiają zdalnemu atakującemu zidentyfikowanie, które domeny i hosty zostały ostatnio rozwiązane przez dany serwer nazw.
Po przeczytaniu takiego raportu luk w zabezpieczeniach do snoopingu w pamięci podręcznej:
Zdalne ujawnianie informacji w pamięci podręcznej serwera DNS
Streszczenie:
Zdalny serwer DNS jest podatny na ataki szpiegujące w pamięci podręcznej.
Opis rozwiązania:
Zdalny serwer DNS odpowiada na zapytania dotyczące domen innych firm, które nie mają zestawu bitów rekursji. Dzięki temu osoba atakująca zdalna może określić, które domeny zostały ostatnio rozwiązane za pośrednictwem tego serwera nazw i w związku z tym, które hosty zostały ostatnio odwiedzone. Na przykład jeśli osoba atakująca była zainteresowana tym, czy firma korzysta z Usługi online określonej instytucji finansowej, będzie w stanie wykorzystać ten atak do utworzenia modelu statystycznego dotyczącego użycia tej instytucji finansowej przez firmę. Oczywiście atak może być również używany do znajdowania partnerów B2B, wzorców surfingu internetowego, zewnętrznych serwerów poczty i innych. Uwaga: jeśli jest to wewnętrzny serwer DNS, który nie może uzyskać dostępu do sieci zewnętrznych, ataki byłyby ograniczone do sieci wewnętrznej. Może to obejmować pracowników, konsultantów i potencjalnie użytkowników w sieci gościa lub połączenie Wi-Fi, jeśli jest obsługiwane.
Czynnik ryzyka:
Śred.
Wynik podstawowy CVSS:5.0
CVSS2#AV:N/AC:L/Au:N/C:P/I:N:N:N
Zobacz też:
http://www.rootsecure.net/content/downloads/pdf/dns_cache_snooping.pdf
Rozwiązanie 2.
Skontaktuj się z dostawcą oprogramowania DNS, aby uzyskać poprawkę.
Przyczyna
Ten błąd jest zwykle zgłaszany na serwerach DNS, które wykonują rekursję.
Rozwiązanie
Nie ma poprawki kodu, ponieważ jest to wybór konfiguracji.
Dostępne są trzy opcje:
Pozostaw włączoną rekursję, jeśli serwer DNS pozostaje w sieci firmowej, do której nie można uzyskać dostępu przez niezaufanych klientów
Nie zezwalaj na publiczny dostęp do serwerów DNS podczas rekursji
Wyłączanie rekursji
Więcej informacji
Domyślnie serwery DNS firmy Microsoft są skonfigurowane tak, aby zezwalały na rekursję.
Rekursja nazw może być wyłączona globalnie na serwerze DNS firmy Microsoft, ale nie może być wyłączona dla poszczególnych klientów lub dla interfejsu.
Większość serwerów DNS firmy Microsoft jest instalowana z rolą serwera kontrolera domeny. Takie serwery zazwyczaj hostować strefy i rozpoznawać nazwy DNS dla urządzeń | urządzenia, klienci składowi, serwery członkowskie i kontrolery domeny w lesie usługi Active Directory, ale mogą również rozpoznawać nazwy większych części sieci firmowej. Ponieważ serwery DNS firmy Microsoft są zwykle wdrażane za zaporami w sieciach firmowych, nie są one dostępne dla niezaufanych klientów. Administratorzy serwerów w tym ustawieniu powinni rozważyć, czy konieczne jest wyłączenie lub ograniczenie rekursji DNS.
Wyłączenie rekursji globalnie nie jest zmianą konfiguracji, która powinna być podjęta lekko, ponieważ oznacza to, że serwer DNS nie może rozpoznać żadnych nazw DNS w strefach, które nie są przechowywane lokalnie. Wymaga to starannego planowania DNS. Na przykład klienci zazwyczaj nie mogą być wskazywani bezpośrednio na takich serwerach.
Decyzja o wyłączeniu rekursji (lub nie) musi być podjęta na podstawie roli, jaką serwer DNS ma wykonać we wdrożeniu. Jeśli serwer ma rekursować nazwy dla swoich klientów, rekursja nie może być wyłączona. Jeśli serwer ma zwracać dane tylko ze stref lokalnych i nigdy nie jest przeznaczony do powtarzania lub przesyłania dalej dla klientów, rekursja może być wyłączona.