Kwart DNS-servers nog steeds extreem kwetsbaar
De netwerkbeheerders faciliteren daarmee hackers en phishers die uit zijn op het misleiden van websurfers. Dit blijkt uit een aselecte steekproef onder 80 miljoen IP-adressen, zo'n 5 procent van de IPv4-adresruimte. In Nederland is zelfs 59 procent van de DNS-servers niet gepatched.
Cricket Liu, autoriteit op het gebied van DNS en sinds enige tijd vice-president Architecture bij Infoblox, licht het onderzoek toe. "In Nederland is een relatief laag aantal DNS-servers toegankelijk voor buitenstaanders, namelijk 28 procent ten opzichte van 44 procent wereldwijd. Van de Nederlandse servers die wel toegankelijk zijn, de 'open recursive' servers, is een relatief hoog aantal niet gepatched, namelijk 59 procent tegen 25 wereldwijd."
De problemen doen zich vooral voor bij bedrijven die zogeheten 'recursive' DNS-servers gebruiken om het internetverkeer van en naar het eigen lokale netwerk te versnellen. DNS zorgt voor de vertaling van een domeinnaam naar het IP-adres van de server waar het desbetreffende domein op wordt gehost. Die verwijsindex is getrapt opgebouwd, van landelijk naar wereldwijd. De recursive servers houden een tijdelijke kopie aan van de veelgebruikte routes zodat niet steeds de originele DNS-servers (de authoritative DNS-servers) bevraagd hoeven worden. De kwetsbaarheid die Kaminsky aantoonde, was een snelle manier om valse bestanden in de cache van dergelijke recursive servers in te bouwen (cache-poisoning).
"Veel systeembeheerders zijn bekend met het bestaan van deze kwetsbaarheden, maar weten niet dat het over hun systemen gaat. DNS wordt door de complexe configuratie door velen gezien als iets waar je maar beter vanaf kan blijven", zegt Liu. Hij raadt beheerders aan hun kwetsbaarheid te testen met het gratis gereedschap, te vinden op http://f3a9d5b3c6364714356ab10f.et.dns-oarc.net/
Uit het onderzoek bleek verder dat het gebruik van Microsofts DNS-server voor extern verkeer afnam van 2,7 procent in het onderzoek vorig jaar naar 0,17 procent dit jaar.
Het patchen van de DNS-servers maakt cache-poisoning minder makkelijk maar niet onmogelijk. DNSsec, de beveiligde vorm van DNS, wordt algemeen gezien als afdoende oplossing voor de kwetsbaarheden. Uit het onderzoek bleek dat het aantal DNS servers dat DNSsec ondersteunt rond de 0,002 procent ligt.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee