Beheer DNS-servers blijkt achilleshiel van internet

Het bieden van de mogelijkheid om verzoeken om te laten leiden naar een andere DNS-server verhoogt het risico op denial of service-aanvallen. Het biedt bovendien ook een mechanisme voor 'pharming', het vervalsen van de cache van DNS-servers waardoor internetters die legitieme webadressen intikken, toch naar malafide websites worden gerouteerd. Recursieve naamdiensten zouden om die reden alleen geboden mogen worden aan een beperkte verzameling van bekende, vertrouwde aanvragers, stellen The Measurement Factory en Infoblox. Ook maakt nog één op de vijf DNS-servers gebruik van versies 8.x of zelfs 4.x van BIND. Die versies zijn feitelijk verouderd. Het Internet Systems Consortium, dat BIND in beheer en ontwikkeling heeft, raadt gebruik van deze versies af als DNS-servers ingezet worden bij recursieve verzoeken om naamsinformatie. Verder wees het onderzoek uit dat meer dan 40 procent van de onderzochte naamservers 'zone transfers' biedt aan verzoeken van willekeurige IP-adressen. Dat kopiëren van een volledig segment van de gegevens op een DNS-server naar een andere DNS-server is een ideaal middel om een denail of service-aanval op te starten, en zou om die reden alleen toegestaan moeten worden aan vertrouwde, bekende IP-adressen, aldus The Measurement Factory en Infoblox. Ten slotte blijkt uit het onderzoek ook dat bijna eenderde van de DNS-servers die opgezet zijn om te zorgen voor redundantie van bedrijfskritische data, geconfigureerd zijn op hetzelfde IP-netwerksegment als de server waarvoor ze moeten kunnen invallen. Daardoor blijft het naambepalingssysteem kwetsbaar voor een DoS-aanval op het netwerkonderdeel waarop een DNS-server en zijn backup zijn aangesloten en wordt het voordeel van de installatie van meerdere, dubbel uitgevoerde DNS-servers teniet gedaan. (Jelle Wijkstra)