Die Dinge beim Namen nennen...

Ähnliche Dokumente
Anbindung des eibport an das Internet

DNS und Sicherheit. Domain Name System. Vortrag von Ingo Blechschmidt

DNS Grundlagen. ORR - November jenslink@quux.de. DNS Grundlagen 1

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

DynDNS für Strato Domains im Eigenbau

Einführung in. Bittorrent

Transition vom heutigen Internet zu IPv6

Anleitung für Webcasts

Step by Step VPN unter Windows Server von Christian Bartl

The Cable Guy März 2004

CNAME-Record Verknüpfung einer Subdomain mit einer anderen Subdomain. Ein Alias für einen Domainnamen.

Benutzerhandbuch. DNS Server Administrationstool. Für den Server: dns.firestorm.ch V

Deswegen bekomme ich folgende Fehlermeldung: Ich will aber nicht aufgeben, deswegen mache ich es erneut, aber mit einen anderen Seite - networkpro.

Technische Grundlagen von Internetzugängen

Security-Webinar. Februar Dr. Christopher Kunz, filoo GmbH

When your browser turns against you Stealing local files

Ein Hinweis vorab: Mailkonfiguration am Beispiel von Thunderbird

ICMP Internet Control Message Protocol. Michael Ziegler

DNSSEC für Internet Service Provider. Ralf Weber

IPV6. Eine Einführung

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1

RUB-Netzbetreuertreffen RIPE IPv6 PIP OpenVPN WLAN Robin Schröder RUB-NOC

Netzwerk Linux-Kurs der Unix-AG

Hilfestellung. ALL500VDSL2 Rev.B & ALL02400N. Zugriff aus dem Internet / Portweiterleitung / Fernwartung. Router. Endgeräte. lokales.

TCP SYN Flood - Attack. Beschreibung Auswirkungen Zuordnung zu Gefährdungskategorie und Attacken-Art Gegenmaßnahmen Quellen

DOMAIN NAME SYSTEM (DNS) JULIA KRISCHIK, INTERNETPROTOKOLLE WS 2012/13

Anleitung zur Nutzung des SharePort Utility

:: Anleitung Hosting Server 1cloud.ch ::

Guide DynDNS und Portforwarding

COMPUTER MULTIMEDIA SERVICE

Linux 08. Linux WS 04/05 by DNS - named: in /etc/named.conf. DNS Top-Level-DNS

Anleitung Grundsetup C3 Mail & SMS Gateway V

How-to: Webserver NAT. Securepoint Security System Version 2007nx

MSXFORUM - Exchange Server 2003 > Konfiguration Sender ID (Absendererkennu...

Kurs Notizen Rene Dreher -DNS (Domain Name System)

Firewall Implementierung unter Mac OS X

WLAN Konfiguration. Michael Bukreus Seite 1

Inhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER

Fachbereich Medienproduktion

Technical Note ewon über DSL & VPN mit einander verbinden

Konfiguration von Exchange 2000 zum versenden und empfangen von Mails & Lösung des SEND after POP Problems

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Handbuch. timecard Connector Version: REINER SCT Kartengeräte GmbH & Co. KG Goethestr Furtwangen

Verteilte Systeme - 2. Übung

ANYWHERE Zugriff von externen Arbeitsplätzen

Drahtlosnetzwerke automatisch konfigurieren mit WCN (Windows Connect Now) unter Windows Vista

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

FL1 Hosting Technische Informationen

Step by Step Webserver unter Windows Server von Christian Bartl

Einrichten eines E- Mail Kontos mit Mail (Mac OSX)

MSXFORUM - Exchange Server 2003 > Konfiguration NNTP unter Exchange 2003

Hinweise zur Verwendung von myfactory unter Windows XP mit Service Pack 2

Virtual Private Network

IPv6 in der Realwelt

OutLook 2003 Konfiguration

Netzwerk Linux-Kurs der Unix-AG

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

FTP Server unter Windows XP einrichten

Collax Web Application

Wo finde ich die Software? - Jedem ProLiant Server liegt eine Management CD bei. - Über die Internetseite

Seminar: Konzepte von Betriebssytem- Komponenten

Senden von strukturierten Berichten über das SFTP Häufig gestellte Fragen

Firmware-Update, CAPI Update

Konfiguration Firewall (Zyxel Zywall 10) (von Gruppe Schraubenmeier)

Dokumentation für Windows

FTP-Leitfaden RZ. Benutzerleitfaden

ISA Server Exchange RPC over HTTPS mit NTLM-Authentifizierung

Installationsanleitung SSL Zertifikat

Binäre Bäume. 1. Allgemeines. 2. Funktionsweise. 2.1 Eintragen

Electronic Systems GmbH & Co. KG

Windows 2008R2 Server im Datennetz der LUH

ICS-Addin. Benutzerhandbuch. Version: 1.0

Abruf und Versand von Mails mit Verschlüsselung

Los geht s. aber Anhand meines Beispiels!

DNS Das Domain Name System

EKF Software Server. Handbuch. Version 2.1. Hersteller: 2008 mesics gmbh Berliner Platz Münster info@mesics.de

-Verschlüsselung

Kurzanleitung zum Einrichten des fmail Outlook Addin

Konfiguration des Fernzugriffes auf Eyseo-IP-Netzwerkkameras mittels dynamischer IP-Adresse

Verwendung des IDS Backup Systems unter Windows 2000

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

ERSTELLEN VON INCENTIVES IM ZANOX NETZWERK

Einrichten von Outlook Express

Collax VPN. Howto. Vorraussetzungen Collax Security Gateway Collax Business Server Collax Platform Server inkl. Collax Modul Gatekeeper

Multiplayer Anweisungen

Man liest sich: POP3/IMAP

Collax PPTP-VPN. Howto

Digitale Magazine ohne eigenen Speicher

Einrichtung von VPN für Mac Clients bei Nortel VPN Router

DNS Server - Fedorawiki.de

mit ssh auf Router connecten

ACHTUNG: Es können gpx-dateien und mit dem GP7 aufgezeichnete trc-dateien umgewandelt werden.

Step by Step Remotedesktopfreigabe unter Windows Server von Christian Bartl

KMS-Aktivierung von MS Software

Backup-Server einrichten

Marcel Oberli Head of Confidence CASSARiUS AG

Adressumleitung beim Surfen. Allgemeines

Dynamic Host Configuration Protocol


Transkript:

Die Dinge beim Namen nennen... D N S G r u n d l a g e n, M ö g l i c h k e i t e n u n d A t t a c k e n 13.08.08 / Seite 1

Über mich Aus Neuss Tätig für SpeedPartner GmbH (Consulting, Entwicklung, Administration) Hosting, Housing, Managed Services XDSL, IP-Upstream, IPv6 Domains / Domain-Services 13.08.08 / Seite 2

Agenda Grundlagen Einsatzszenarien und mögliche Absicherungen Zonetransfers Offene Recursor Injection Offene Diskussion 13.08.08 / Seite 3

Grundlagen = Domain Name System Telefonbuch für Netzwerke Verbindung Domain-Namen mit Informationen menschen-lesbare Hostnamen Verknüpfung mit verschiedenen Informationen/Diensten - Client Anfrage www.guug.de? Antwort: 212.227.83.207 - Server 13.08.08 / Seite 4

Grundlagen Hierarchisch strukturiert (Baum) Pro Knoten/Blatt: 0 bis n Resourcen mit Informationen Aufgeteilt in Zonen Enthalten Sammlung zusammenhänger Knoten Mehrere Zonen pro Nameserver möglich Bereitgestellt durch authoritative Nameserver 13.08.08 / Seite 5

Grundlagen <root> de eu at guug www www Speed partner service... A AAAA mail 13.08.08 / Seite 6

Grundlagen -Client: Resolver Nicht-rekursive Anfrage: Schritt für Schritt entlang Baum z.b. lokalen caching-nameserver installieren Rekursive Anfrage: Recursor übernimmt Auflösung Einfachere Realisierung Spart Resourcen Erlaubt Caching z.b. über -Server des Internet-Zugangsanbieters 13.08.08 / Seite 7

Anfragen per Grundlagen UDP: einfache Anfragen, für Antworten bis 512 Bytes Mit Erweiterung auch größere Antworten möglich (E, siehe RFC2671) TCP: für komplexe Anfragen, Zonetransfers,... 13.08.08 / Seite 8

Einsatzszenarien: Beispiel-Anfragen Hostname zu IP: www.guug.de A 212.227.83.207 www.linuxtag.org AAAA 2a01:198:12::13 IP zu Hostname (Reverse): 207.83.227.212.in-addr.arpa. PTR p15193709.pureserver.info. (an der shell: dig -x 212.227.83.207) Abfrage von Diensten (Beispiel: Jabber-Server): _xmpp-server._tcp.speedpartner.de SRV 10 0 5269 collab.speedpartner.de (Angabe über Verfügbarkeit von Dienst, ggf. mehrere Server mit Priorität/Gewichtung, Port und Server für Verbindung) 13.08.08 / Seite 9

Einsatzszenarien: Beispiel-Anfragen Abfrage von Zusatzinfos: qupps.biz TXT zone transfers for this zone have been [...] _domainkey.example.com TXT o=~\; r=hostmaster@example.com mail._domainkey.example.com TXT k=rsa\; t=y\; p=mhwwdqyj[...] Blacklist-Abfragen (dnsbl, z.b. für Spam-Vermeidung): 14.33.110.85.ix.dnsbl.manitu.net A 127.0.0.2 14.33.110.85.ix.dnsbl.manitu.net TXT A message sent to the mailhost [...] was detected as spam by NiX Spam at Tue, 12 Aug 2008 15:54:54 +0200 Tunneln von beliebigem Traffic über... falls man gerade mal nur zur freien Verfügung hat :-) 13.08.08 / Seite 10

Zonetransfers Massentransfer aller Inhalte einer Zone verrät auch versteckte Einträge www.example.com. 86400 IN A 10.0.0.1 ftp.example.com. 86400 IN A 10.0.0.2 [...] vpn.example.com. 86400 IN A 10.210.9.8 db.example.com. 86400 IN A 10.212.37.11 backup.example.com. 86400 IN A 10.244.51.45 secret-project.example.com. 86400 IN A 10.251.73.91 13.08.08 / Seite 11

Zonetransfers Abhilfe: Unnötige Zonetransfers verbieten Bind: /etc/named.conf acl slave-dns { 192.168.7.33; 192.168.99.8; }; options { allow-transfer { slave-dns; }; [...] 13.08.08 / Seite 12

Offene Recursor Anfrage per UDP: Fälschung Absender möglich Beliebige Abfrage, da offener Recursor: Abfrage mit großer Antwort stellen Auslöser Anfrage (klein) big.example.com? Recursor Opfer Antwort (groß) 13.08.08 / Seite 13

Offene Recursor Effekt: Denial of Service (DoS) im Eigenbau Kleine Abfragen = geringe Bandbreite notwendig Große Antworten = große Wirkung Fälschung Absender = Antworten an beliebiges Opfer, Auslöser unerkannt Nutzung Recursor als Angreifer = ggf. hohe Bandbreite, Auslöser unerkannt 13.08.08 / Seite 14

Offene Recursor Abhilfe: Nur Antworten für eigene Domains, Recursor nur für notwendige Clients Bind: /etc/named.conf Bind: /var/named/named.primary acl our-clients { 192.168.7.0/24; }; options { allow-recursion { our-clients; }; allow-query { our-clients; }; [...] zone "example.com" IN { type master; file "zone.example.com"; allow-query { any; }; }; [...] 13.08.08 / Seite 15

Injection Unterschieben einer gefälschten Antwort - Client Anfrage example.com? Recursor sucht... gibt (ungefragt) Antwort Angreifer 13.08.08 / Seite 16

Injection Thema aktuell (erneut) heiss diskutiert Dan Kaminsky plante Vortrag zur Black-Hat-Konferenz Details vorab veröffentlicht (z.b. Full-Disclosure-Mailingliste) Einige Newsmeldungen zum Thema Heise 22.7.: Hinweis auf Sicherheitsproblem Heise 28.7.: Nameserver DTAG und Kabeldeutschland bisher ungepatched; betrifft auch andere (z.b. Teilweise 1&1) Heise 31.7.: Patches Bind 9.5.0-P1 bremsen Server aus... 13.08.08 / Seite 17

Injection Denkbare Gründe: Stören von Zugriffen Man-in-the-middle-Attacken Effektivität: Erfolgreiche Störungen werden gecached Injection auf Recursor mit Auswirkung auf viele Clients Auch Angriffe auf vernachlässigte Clients möglich 13.08.08 / Seite 18

Injection Warum/wann/wie: Bei ausgehender Anfrage speziell hierfür Injection? Zeitpunkt muss abgepasst werden Anfragen werden gecached Bei beliebiger Anfrage ungefragt Antwort senden? Denkbar, wird aber über Prüfung meist abgefangen (Bailwick-Checking, out-of-bailwick-attacke) 13.08.08 / Seite 19

Injection Warum/wann/wie: Antwort passend zur Anfrage in-bailwick, also bailwick-prüfung erfolgreich Provozieren von Anfragen für z.b. aaa.example.com, bbb.example.com,... und Lieferung passender Additional Resource Records (z.b. für www.example.com) 13.08.08 / Seite 20

Injection -Antwort muss zu Anfrage passen: Quelle der Antwort (-Server) Quell-Port -Client (<16 Bit) Transaktions-ID (16 Bit) Problem: Quell-Port -Client ggf. vorhersagbar, da häufig wiederverwendet oder geringe Anzahl Variationen Transaktions-ID erratbar oder gar vorhersagbar (BIND v4 und v8 verwendeten sequentiellen IDs) 13.08.08 / Seite 21

Injection Aussicht auf Erfolg Oft keine Filterung nach Source-IP von Traffic (siehe BCP38) Viele ISPs noch nicht Oft keine Filterung im LAN zum Recursor ob gespoofte Adressen externer, authoritativer Server genutzt Anzahl Versuche überschaubar : worst-case <16 Bit, best-case <32 Bit 13.08.08 / Seite 22

Injection Angriff per man-in-the-middle falls Injection erfolgreich? Falls keine Verschlüsselung verwendet Falls keine andere Form der Authentifizierung (SSL mit Prüfung) verwendet wird oder Falls Authentifizierung falsch verwendet wird (Klick auf "Zertifikat trotzdem akzeptieren") 13.08.08 / Seite 23

Injection Probleme bei Filterung Gefälschte Antworten kommen mit IP der echten, authoritativen Server (können also nicht einfach "geblockt" werden) rate-limits o.ä. ggf. problematisch für legitime Nutzer (keine Auflösungen mehr möglich) Auch Clients verwundbar, nicht nur Recursor Angreifer direkt im LAN? Infizierte Hosts?... 13.08.08 / Seite 24

Injection Lösung über Monitoring? Monitoring Recursor auf massenhafte Anfragen Monitoring Recursor auf massenhaft falsche Query-IDs in Antworten (Counter bei Bind z.b. ab 9.5 verfügbar) Monitoring LAN auf lokale Attacken (sflow,...) Jedoch nur Indizien, keine Problemlösung 13.08.08 / Seite 25

Injection Lösung über TCP-Fallback? (bereits 2006 erwähnt) wenn gefälschte IDs erkannt, weitere Anfragen per TCP statt UDP Performance/Skalierung?... Lösung über SEC? Alle -Zonen ab Root müssten signiert sein Client (oder mind. vertrauenswürdiger Resolver) müssten Prüfung der Kette vornehmen Performance? 13.08.08 / Seite 26

Injection Abhilfe Patches einspielen Filtern wo möglich Monitoring SEC? 13.08.08 / Seite 27

Injection Stolperfallen NAT für kann ggf. zufällige Source-Ports o.ä. verwässern Auch Clients oder z.b. kleine Router anfällig Tests mit Vorsicht zu genießen 13.08.08 / Seite 28

Injection Testmöglichkeiten Automatisches -Testbild http://porttest.honeyd.org/-s-_dns.png Per -Abfrage auf TXT-Record # dig +short porttest.dns-oarc.net TXT z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. "217.237.150.202 is POOR: 27 queries in 4.8 seconds from 26 ports with std dev 160.37" # dig +short @my.nameserver.net porttest.dns-oarc.net TXT porttest.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. "80.69.100.142 is GREAT: 26 queries in 4.2 seconds from 26 ports with std dev 16735" 13.08.08 / Seite 29

Injection-Attacken Weitere Links http://seclists.org/fulldisclosure/2008/jul/0375.html http://www.heise.de/security/details-zum--sicherheitsproblem-veroeffentlicht--/news/meldung/113133 http://www.net-security.org/dl/articles/attacking_the Protocol.pdf http://www.nytimes.com/2008/08/09/technology/09flaw.html http://tservice.net.ru/~s0mbre/blog/devel/networking/dns/2008_08_08.html http://de.wikipedia.org/wiki/sec 13.08.08 / Seite 30

Danke fürs Zuhören! Folien verfügbar unter: http://talks.speedpartner.de/ Fragen? neufeind (at) speedpartner.de 13.08.08 / Seite 31

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback