Logo Swiss IT Reseller
MEDIADATEN
ABONNIEREN
NEWSLETTER

DNS-Sicherheit bröckelt


Artikel erschienen in Swiss IT Magazine 2008/14

     

An der Sicherheitskonferenz Blackhat erläuterte Sicherheitsspezialist Dan Kaminsky erstmals das von ihm entdeckte Sicherheitsproblem des Domain Name System (DNS). Bekannt ist das Problem seit Juli, als CERTs und die Hersteller von DNS-Software wie ISC (Bind), Microsoft oder Cisco in einer koordinierten Aktion Advisories und Patches für ihre Produkte veröffentlichten. Wie sich nun zeigt, ist es Kaminsky gelungen, bekannte «Konstruktionsfehler» des DNS in einer neuen Weise auszunutzen.


Normalerweise wird mit 16-bittigen, zufälligen Transaktions-IDs verhindert, dass Angreifer einem DNS-Resolver mittels Spoofing falsche Antworten unterjubeln können. In Kombination mit Caching der gültigen Antworten führt dies dazu, dass eine erfolgreiche Cache-Poison­ing-Attacke Jahre dauert. Nun
hat Kaminsky aber herausgefunden, dass sich mit Anfragen für nicht existerende Domains wie aaaa.example.com, aaab.example.com und so weiter das Caching aushebeln und innerhalb von Sekunden eine Transaktions-ID erraten lässt. Mittels Additional Ressource Records können dem Resolver dann falsche IP-Adressen für einzelne Domains oder gleich andere Nameserver für komplette Zonen wie example.com untergeschoben werden. Die Folgen sind fatal: Es lassen sich nicht nur die Nutzer eines Resolvers unbemerkt auf andere Webseiten umleiten. Auch könnten E-Mails abgefangen oder Auto-Update-Mechanismen zum Verteilen von Schadcode missbraucht werden.



Da das Angriffsszenario auf den Prinzipien des DNS aufbaut, ist es schwierig, Gegenmittel zu ent­wickeln. Momentan beschränken sich die Hersteller auf Source Port Randomization. Dabei wird jede Anfrage von einem anderen Port aus gestartet und erwartet, dass die Antwort auf demselben Port eintrifft. Dies bringt aber maximal weitere 16 Bits an Zufall, sodass eine ID in Stunden oder Tagen erraten werden kann.


Eine definitive Lösung ist nicht abzusehen, da Massnahmen wie DNSSEC technisch wie politisch umstritten und nicht über Nacht einzuführen sind. Bis dahin bleibt einem nur, Patches einzuspielen und die Resolver zu überwachen. Dies gilt auch für private Netze hinter Firewalls, die laut Kaminsky nicht immun sind. Wie ein Resolver auf Patch-Bedarf überprüft werden kann, erklärt www.dns-oarc.net/oarc/services/porttest.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Was für Schuhe trug der gestiefelte Kater?
Universal Archiving - zukunftssicher archivieren
Managed IT Services: Man muss nicht alles können - mit dem richtigen Partner an der Hand
Services aus der Microsoft Cloud - sinnvoll um jeden Preis?
Digital Experience Monitoring: Das optimale Kundenerlebnis sichern
Innovation & Effizienz: Ihr IT-Partner der Zukunft
plus-IT AG feiert 20 Jahre Innovation und Wachstum - Stabsübergabe per 1.1.2025
Advertorial

plus-IT AG feiert 20 Jahre Innovation und Wachstum - Stabsübergabe per 1.1.2025

Winterthur, 26.02.2024 – Die plus-IT AG, ein führendes Schweizer Unternehmen im Bereich Business Intelligence, begeht ihr 20-jähriges Jubiläum. Dieser Meilenstein markiert zwei Jahrzehnte kontinuierlicher Innovation und Wachstum. Gegründet von Beat Honegger, hat sich plus-IT durch erstklassige BI-Lösungen und starke Kundenbeziehungen, mit namhaften Partnern wie SBB AG und Accelleron Industries AG, etabliert.
GOLD SPONSOREN
SPONSOREN & PARTNER