Hlavní navigace

Názor k článku Dan Kaminsky a jeho útok na DNS servery od Ondřej Surý - A máte váš názor podložený i nějakými technickými...

Článek je starý, nové názory již nelze přidávat.

  • 13. 8. 2008 14:03

    Ondřej Surý
    A máte váš názor podložený i nějakými technickými znalostmi nebo jenom opakujete, co jste našel v doporučení CERTu, ale jinak podstatě problému vůbec nerozumíte? Ale oceňuji, že jste konečně zvládl naformulovat, o co vám jde.

    Lokální DNS cache vás může ochránit před dvěmi věcmi:

    a) útokem na stub resolver, který nemá implementovanou randomizaci DNS portů (viz. ona advisory od CERTu, kterou se oháníte)
    b) útokem na vašeho lenivého ISP, který neaktualizoval svoje rDNS (v ČR momentálně nevím o žádných velkých, ale pár malých jsem v querylogu viděl)

    Lokální DNS cache je v zásadě jenom řešením, které vám umožní kontrolovat, zda-li máte DNS, který používá náhodné zdrojové porty.

    Ale i kdybychom se podívali na to, jestli by se za pomoci lokální DNS cache dala zvýšit ochrana proti Kaminsky-style útokům, tak závěr je, že použití lokální DNS cache není systémovým řešení a problém pouze odsouvá. Aby se útočníkovi nevyplatilo napadnout rDNS, tak by dopad takového útoku musel být velmi malý - jinými slovy museli by na model - co počítač, to rDNS, přejít všichni. Předem upozorňuji, že segmentace na rDNS per organizace nestačí - i útok na nějakou firmu může být dostatečně zajímavý (průmyslová špionáž, atp.). V tu chvíli se ale dostáváme zpátky k první reakci - to by pravděpodobně znamenalo výrazně zvýšenou zátěž na všechny autoritativní DNS servery a speciálně root servery a servery TLD.

    Naštěstí se i tady na rootu v diskuzi dají najít lidé, kteří podstatě problému porozuměli, a navrhují věci, které mají hlavu a patu.