Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makale, DNS Sunucusu Önbelleği'ne yönelik DNS Sunucusu güvenlik açığının gözetleme saldırılarına neden olan bir soruna yönelik bir çözüm sağlar.
Özgün KB numarası: 2678371
Belirtiler
"DNS önbelleğini karıştırma" nedir ve bunu nasıl önleyebilirim? DNS önbelleğini gözetlemeyi şu şekilde açıklar:
DNS önbelleğini gözetleme, birinin DNS sunucusunun önbelleğe alınmış belirli bir DNS kaydı olup olmadığını (gözetleme) bulmak için bir DNS sunucusunu sorgulaması ve böylece DNS sunucusunun sahibinin (veya kullanıcılarının) yakın zamanda belirli bir siteyi ziyaret edip etmediğini tespit etmesidir.
Bu, HANGI satıcı, banka, hizmet sağlayıcısı vb. gibi DNS sunucusunun sahibiyle ilgili bilgileri ortaya çıkabilir. Özellikle bu bir süre içinde birden çok kez onaylanırsa (gözetleniyorsa).
Bu yöntem, istatistiksel bilgileri toplamak için bile kullanılabilir. Örneğin, DNS sunucusunun sahibi genellikle net bankasına hangi saatlerde erişebiliyor vb. Önbelleğe alınan DNS kaydının kalan TTL değeri bunun için çok doğru veriler sağlayabilir.DNS sunucusu, önbellekten üçüncü taraflara da kayıt sağladığı sürece, DNS sunucusu 3. taraflar için özyinelemeli olarak çözümlenmek üzere yapılandırılmamış olsa bile DNS önbelleğini gözetlemek mümkündür.
Güvenlik denetimleri çeşitli DNS Sunucusu uygulamalarının, uzak bir saldırganın belirli bir ad sunucusu tarafından hangi etki alanlarının ve konakların [yakın zamanda] çözümlendiğini belirlemesine olanak tanıyan önbellek gözetleme saldırılarına karşı savunmasız olduğunu bildirebilir.
Bu tür önbellek gözetleme güvenlik açığı raporu okunduktan sonra:
DNS Sunucusu Önbelleği Uzaktan Bilgi Açığa Çıkması
Özet:
Uzak DNS sunucusu önbellek gözetleme saldırılarına karşı savunmasızdır.
Açıklama:
Uzak DNS sunucusu, özyineleme biti ayarlı olmayan üçüncü taraf etki alanları için sorgulara yanıt verir. Bu, uzak saldırganın bu ad sunucusu aracılığıyla yakın zamanda hangi etki alanlarının çözümlendiğini ve bu nedenle hangi konakların yakın zamanda ziyaret edildiğini belirlemesine olanak tanıyabilir. Örneğin, bir saldırgan şirketinizin belirli bir finans kuruluşunun çevrimiçi hizmetler kullanıp kullanmadığıyla ilgileniyorsa, bu saldırıyı kullanarak söz konusu finans kuruluşunun şirket kullanımıyla ilgili istatistiksel bir model oluşturabilir. Elbette, saldırı B2B iş ortaklarını, web'de gezinme düzenlerini, dış posta sunucularını ve daha fazlasını bulmak için de kullanılabilir. Not: Bu dış ağlara erişilemeyen bir iç DNS sunucusuysa, saldırılar iç ağ ile sınırlı olacaktır. Bu, destekleniyorsa konuk ağı veya WiFi bağlantısındaki çalışanları, danışmanları ve potansiyel kullanıcıları içerebilir.
Risk faktörü:
Orta
CVSS Taban Puanı:5.0
CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
Ayrıca bkz:
http://www.rootsecure.net/content/downloads/pdf/dns_cache_snooping.pdf
Çözüm:
Bir düzeltme için DNS yazılımının satıcısına başvurun.
Neden
Bu hata genellikle özyineleme kullanan DNS Sever'lerde bildirilir.
Çözüm
Bu bir yapılandırma seçimi olduğundan kod düzeltmesi yoktur.
Üç seçenek vardır:
DNS Sunucusu güvenilmeyen istemciler tarafından erişilemeyen bir şirket ağında kalırsa özyineleme özelliğini etkin bırakın
Özyineleme yaparak DNS Sunucularına genel erişime izin verme
Özyinelemesi devre dışı bırakma
Daha Fazla Bilgi
Varsayılan olarak, Microsoft DNS Sunucuları özyinelemeye izin verecek şekilde yapılandırılır.
Ad özyinelemesi bir Microsoft DNS Sunucusu'nda genel olarak devre dışı bırakılabilir, ancak istemci başına veya arabirim temelinde devre dışı bırakılamaz.
Microsoft DNS Sunucularının çoğu Etki Alanı Denetleyicisi sunucu rolüyle birlikte kullanılır. Bu tür sunucular genellikle bölgeleri barındırıp cihazlar için DNS adlarını çözümler | active Directory ormanındaki gereçler, üye istemciler, üye sunucular ve etki alanı denetleyicileri, ancak şirket ağının daha büyük bölümleri için adları da çözümleyebilmektedir. Microsoft DNS Sunucuları genellikle kurumsal ağlardaki güvenlik duvarlarının arkasında dağıtıldığından, güvenilmeyen istemciler tarafından erişilemez. Bu ayardaki sunucuların yöneticileri DNS özyinelemesini devre dışı bırakmanın veya sınırlamanın gerekli olup olmadığını göz önünde bulundurmalıdır.
Özyinelemenin genel olarak devre dışı bırakılması, DNS sunucusunun yerel olarak tutulmamış bölgelerdeki DNS adlarını çözümleyememe anlamına geldiğinden hafife alınması gereken bir yapılandırma değişikliği değildir. Bunun için dikkatli bir DNS planlaması gerekir. Örneğin, istemciler genellikle bu tür sunuculara doğrudan işaret edilemez.
Özyinelemesi devre dışı bırakma (veya devre dışı bırakma) kararı, DNS sunucusunun dağıtımda hangi rolü gerçekleştirmesi gerektiğine bağlı olarak verilmelidir. Sunucunun istemcileri için adları yinelemesi amaçlanıyorsa, özyineleme devre dışı bırakılamaz. Sunucunun verileri yalnızca yerel bölgelerden döndürmesi ve hiçbir zaman istemciler için yineleme veya iletme amacı yoksa, özyineleme devre dışı bırakılabilir.