Vlákno názorů k článku
Dan Kaminsky a jeho útok na DNS servery

Nejlepsi je mit na brane/routeru svuj vlastni DNS server, nepouzivat forwardy na servery ISP a zakazat cizim pristup nebo v pripade verejneho DNS serveru urcite vypnout rekurzi pro cizi.

Nevidim duvod k "podekovani." Tech par schopnych lidi, kteri si to takto nastavi se na celkovem baliku provozu vubec neprojevi.

A k čemu to těm pár schopným lidem bude? Je zapotřebí ochránit ty masy uživatelů, kteří internet jenom používají a tvoří většinu zákazníků ISP.

Vase logika je zarazejici. Tem par schopnym lidem je to k tomu, ze minimalizuji nebezpeci pro uzivatele, kteri je za to plati. Masy at chrani ti, komu za to masy plati.

Co je zarážejícího na tom, že je potřeba mít řešení, které ochrání všechny a nikoli jen pár "vyvolených"?

No to snad ne. To je vase odpoved na otazku: "A k čemu to těm pár schopným lidem bude?" Budto neumite cist nebo logicky myslet. Libovolna varianta vas diskvalifikuje z dalsi diskuse.

Urážky jsou většinou znakem toho, že diskutující straně došly argumenty.

Nehledě na to, že vaše reakce nějak úplně nedává smysl.

Já celou dobu mluvím o tom, že pokud má přijít nějaké řešení, tak to má být řešení, které ochrání všechny. A reagoval jsem na větu, kdy pisatel píše o tom, že to root a tld servery nezatíží, protože si to nastaví jenom pár lidí.

Jo tak! Vy potrebujete mit pravdu at to stoji, co to stoji. Tak to jo.
At uz tak ci jinak, zkuste se nekdy v prestavkach mezi ukojovanimi vasich vasni pro pravdu podivat na vyznam slov: logika, urazka, argument, smysl apod.

hod se do klidu

To, co napsal puvodni tazatel Zdenek, je soucast oficialnich doporuceni - viz bod "Run a local DNS cache". Mr. Sury, kdyz uz necte nebo nechape oficialni doporuceni, by mel omezit sva vystoupeni, aby nematl ostatni. Jeho agresivni vnucovani sveho uhlu pohledu v tomto pripade jednoznacne a bez jakychkoli pochybnosti skodi. Takze se hod do klidu a popremejslej.

A máte váš názor podložený i nějakými technickými znalostmi nebo jenom opakujete, co jste našel v doporučení CERTu, ale jinak podstatě problému vůbec nerozumíte? Ale oceňuji, že jste konečně zvládl naformulovat, o co vám jde.

Lokální DNS cache vás může ochránit před dvěmi věcmi:

a) útokem na stub resolver, který nemá implementovanou randomizaci DNS portů (viz. ona advisory od CERTu, kterou se oháníte)
b) útokem na vašeho lenivého ISP, který neaktualizoval svoje rDNS (v ČR momentálně nevím o žádných velkých, ale pár malých jsem v querylogu viděl)

Lokální DNS cache je v zásadě jenom řešením, které vám umožní kontrolovat, zda-li máte DNS, který používá náhodné zdrojové porty.

Ale i kdybychom se podívali na to, jestli by se za pomoci lokální DNS cache dala zvýšit ochrana proti Kaminsky-style útokům, tak závěr je, že použití lokální DNS cache není systémovým řešení a problém pouze odsouvá. Aby se útočníkovi nevyplatilo napadnout rDNS, tak by dopad takového útoku musel být velmi malý - jinými slovy museli by na model - co počítač, to rDNS, přejít všichni. Předem upozorňuji, že segmentace na rDNS per organizace nestačí - i útok na nějakou firmu může být dostatečně zajímavý (průmyslová špionáž, atp.). V tu chvíli se ale dostáváme zpátky k první reakci - to by pravděpodobně znamenalo výrazně zvýšenou zátěž na všechny autoritativní DNS servery a speciálně root servery a servery TLD.

Naštěstí se i tady na rootu v diskuzi dají najít lidé, kteří podstatě problému porozuměli, a navrhují věci, které mají hlavu a patu.

Evidentně tomu rozumí víc než vy, tak se nečilte.

Omlouvám se, že se tak blbě ptám ;), ale komu byla tahle poznámka určena?

Útok na rDNS snad ale musí být veden ze sítě, pro kterou má rDNS server vyřizovat, ne? Tzn. útok na firemní rDNS by musel být veden z firemní sítě, např. zaměstnancem. Navíc lokální rDNS server se nemusí spoléhat na rDNS ISP, ale může sám kompletně vyřizovat dotazy (dotazem na kořenové DNS atd.), čímž se docílí toho, že bezpečnost DNS má daná firma zcela ve svých rukou. Není to řešení obecně použitelné (kdyby každá firmička o pěti lidech měla vlastní rDNS, který vše bude vyřizovat od kořenových DNS serverů, asi by to kořenové servery neustály), ale pro firmy na DNS závislé (třeba CA) je to možná cesta.

např. zaměstnancem

To už ne. Není až tak velký problém vyprovokovat DNS dotaz z vnitřní sítě. Např. pokud spamfilter ověřuje existenci domény z smtp helo.

Máte pravdu. Ale v tom případě dobře mu (správci) tak ;-) Ale ono stačí někomu poslat e-mail s nějakým odkazem, do nějaké stránky přidat stažení neviditelného obrázku ze správné adresy atd. Jenom už by se v tomhle případě asi hůř koordinoval ten útok, aby útočník ty falešné odpovědi začal posílat ve správném okamžiku.

Ale v tom případě dobře mu (správci) tak

Tak na takovýhle prohlášení jsem alergický. Ono nejde říct "když to nezapadá do mé představy, tak dobře mu tak/kdo by to chtěl.." Jednak to prostě lidi dělaj, za druhý na tom není nic špatného.

Ale ono stačí někomu poslat e-mail s nějakým odkazem, do nějaké stránky přidat stažení neviditelného obrázku ze správné adresy atd. Jenom už by se v tomhle případě asi hůř koordinoval ten útok, aby útočník ty falešné odpovědi začal posílat ve správném okamžiku

Ono je těch možností nepočítaně, když se do toho zamíchá ještě Javascript, tak už je to skoro, jako by měl útočník v intranetu té firmy zombie. Jinak to koordinování není až takový problém - stačí současně s tím obrázkem z domény kterou budeme chtít otrávit, dát obrázek z útočníkovy domény. Extra body útočník dostane, když tam bude jen jeden obrázek (z domény kontrolované útočníkem), který redirectem přesměruje na kýženou doménu. A jestli chceme tomuto zamezit, tak už se bavíme o bezpečnosti webových aplikací, fór atd.

Obecně, zakládat obranu proti čemukoli na (nedokonalém) zamezení útoků na tu věc, považuji za pošetilé.

:)))
Vazeny pane, vubec tomu nerozumite. Vasi nadrizeni by meli zvazit, zda jste clovek na svem miste vzhledem k vasi urovni pochopeni problematiky. Na tomto foru jste lidem vymlouval doporuceni CERTu a nasledne misto abyste uznal chybu, schovavate se za smes trivialnich a zbytecnych tvrzeni ve snaze odvest pozornost od vaseho katastrofalniho selhani. Zamyslete se nad sebou.

Já jsem vám předložil argumenty, vy se opět vyjadřujete nikoli k předloženým argumentům, ale k mé osobě a lacině mě pod rouškou anonymity napadáte. Pokud máte pocit, že jsem tak katastroficky selhal, máte možnost předložit své argumenty buď zde, nebo mi poslat email, nebo mi zatelefonovat a vysvětlit mi v čem se mýlím. Do té doby s vámi diskuzi končím.

Jsi chudak?

Nerozumím úplně přesně, jak vám zrovna tohle pomůže. Budete jen menší cíl.

Smyslem je minimalizovat riziko. Ostatne ani DNSSEC neni samospasitelne.

Já tomu až tak nerozumím, ale jednak je mi divné, že si DNS cache jen tak něco přepisuje v paměti údaji o které nežádala a jednak, že DNS poskytovatele je napadnutelné z venku jeho sítě, která, jak známo je nebezpečná.

Proč při tomto druhu odpovědi DNS cache prostě jen nevyužije IP adresu a proč musí provést přepis v cache? Jaký to má význam? Snižuje to nějak výrazně množství dotazů tím, že si DNS cache zapíše jméno serveru, které prý ví o nějaké exotické adrese? Význam snad má jen ta vlastní adresa, na tu se někdo ptal, na adresu serveru, který o ní ví se přece nikdo neptal.

Když tomu nerozumíte, tak si přečtěte tu Kaminského prezentaci. :-(

Na otázku jedna je odpověd: Protože se neví, co všechno by to rozbilo, kdyby se to nedělalo, a předpoklad je, že by toho přestala fungovat spousta. Rozdíly mezi glue, které vrací nadřazený server, a které vrací autoritativní server, nejsou zase tak neobvyklé (například jedno legitimní využití, které mě napadá je, když přesunujete IP adresu autoritativního DNS serveru).

Co se týče napadení zvenku:
a) pořídím si hosting
b) pořídím si zombie
c) dá se to udělat i jinak (viz. prezentace od Kaminského) - např. tak, že se připojím na mailserver a on ten lookup udělá za mne