Channel Security

Laut Websense finden erste Cache-Poisoning-Angriffe auf Nameserver statt. Außerdem wurde ein Tool veröffentlicht, mit dem sich über Cache-Poisoning Anfragen an bekannte Update-Server auf Server der Angreifer umleiten lassen: Evilgrade. Es wird also allerhöchste Zeit, verfügbare Patches zu installieren oder andere Schutzmaßnahmen zu ergreifen.

Online-Tests

Um zu testen, ob der eigene Nameserver geschützt ist oder nicht, können webbasierte Tests von Dan Kaminsky (nur Test der Source-Ports, manchmal unzuverlässig) oder dem 'DNS Operations, Analysis, and Research Center' DNS-OARC (Test von Source-Ports und Transaction-IDs) verwendet werden. Vom DNS-OARC gibt es außerdem einen Test für die Kommandozeile.

Schutz durch IDS

Für das Intrusion Detection System Snort wurden erste Regeln zur Erkennung von Cache-Poisoning-Angriffen veröffentlicht: Zum einen bei Emerging Threats, zum anderen bei SecuraBit.

Für das im Standpunkt Sicherheit vom 28.7. erwähnte Tool CacheAudit (.tgz) zur laufenden Überwachung des Nameserver-Caches gibt es vom Entwickler, Jose Avila, eine Anleitung auf der Mailingliste Dailydave sowie eine Präsentation (PDF) vom DNS-OARC.

Schutz durch die Firewall

Michael Rash hat beschrieben, wie über Linux IPTables unabhängig vom verwendeten Nameserver zufällige Sourceports erzeugt werden können. Jon Hart hat das gleiche für OpenBSDs Firewall pf beschrieben. Damit können auch Server geschützt werden, für die keine Patches zur Verfügung stehen.

Alternative: Sichere Server nutzen

Kann ein Nameserver nicht gepatcht werden, z.B. weil wie für Apples Mac OS X kein Patch zur Verfügung steht, kann stattdessen ein anderer, gepatchter Server verwendet werden. Wie das dafür notwendigen Forwarding konfiguriert wird, beschreiben Anleitungen für BIND und Windows (Rekursion abschalten nicht vergessen!).

Wo muss gepatcht werden?

• Alle rekursiv arbeitenden cachenden Nameserver sind gefährdet, autorative Nameserver sind nicht verwundbar.
• DNS-Clients sind prinzipiell angreifbar, bisher sind aber weder darauf zielende Exploits noch Angriffe bekannt.
• Firewalls oder NAT-Router können die zufällige Verteilung der Source-Ports aushebeln, wenn sie eigene Ports vergeben.

Zusammenfassung

Die Gefahr ist akut, schnelles Handeln erforderlich. Den besten Schutz bietet die Umstellung auf DNSSEC, den schnellsten Schutz die Installation verfügbarer Patches. Gibt es keine Patches oder können sie, aus welchen Gründen auch immer, nicht installiert werden, können IDS und/oder die Firewall Schutz bieten. Alternativ kann auch ein anderer, sicherer Nameserver statt des eigenen verwendet werden, bis der eigene gepatcht werden kann. Auch Clients sind gefährdet, sodass auch dort verfügbare Patches schnellstmöglich installiert werden müssen. Nach der Installation von Patches muss geprüft werden, ob vorhandene Geräte mit NAT eventuell die Zufälligkeit der Source-Ports aufheben und dadurch den durch den Patch erreichten Schutz aushebeln.

Carsten Eilers