Veilig DNS blijft een brug te ver

14 november 2008
Van de ‘open’ servers is bovendien een kwart nog altijd niet gepatcht voor een zeer gevaarlijk lek waar beveiligingsonderzoeker Dan Kaminsky bijna een jaar geleden op wees.

In Nederland ligt het aandeel benaderbare DNS-servers met 28 procent relatief laag. Van deze ‘open’ servers is echter 59 procent nog steeds kwetsbaar voor het Kaminsky-lek. De cijfers komen van The Measurement Factory, dat voor het vierde jaar onderzoek deed naar domain name-servers op internet in opdracht van DNS/DHCP-specialist Infoblox. SIDN doet als beheerder van het .nl-domein vergelijkbaar onderzoek en komt op 30 tot 40 procent niet-gepatchte Nederlandse servers uit. SIDN kan echter door zijn speciale status de patchstatus van zowel open als ‘afgeschermde’ DNS-servers analyseren, waardoor het gemeten percentage ongepatchte servers lager uitvalt. Beheerders die hun DNS-server afschermen, zijn zich blijkbaar iets beter bewust van de noodzaak om te patchen.

Bedrijven gebruiken ‘recursive’ DNS-servers om het internetverkeer van en naar het eigen lokale netwerk te regelen. “Veel systeembeheerders zijn bekend met het bestaan van de kwetsbaarheden, maar weten niet dat het over hun systemen gaat. DNS wordt door de complexe configuratie door velen gezien als iets waar je maar beter vanaf kan blijven”, zegt Cricket Liu, autoriteit op het gebied van DNS en vicepresident Architecture bij Infoblox. Hij raadt beheerders aan hun kwetsbaarheid te testen met gratis gereedschap dat te vinden is op internet, onder meer bij Infoblox.

De mogelijkheid tot het injecteren van valse verwijzingen in de cache van een recursive server (cache-poisoning) bestaat al jaren maar was in de praktijk een tijdrovende klus. Kaminsky vond een methode waarmee dit in luttele seconden kan.

Er is een patch die de Kaminsky-methode blokkeert door de server te dwingen wisselende poorten te gebruiken voor het verzenden van queries en de ontvangst van het antwoord (port randomization). Dat maakt misbruik minder makkelijk, maar is geen panacee voor cache-poisoning.

Een definitieve oplossing van het probleem is DNSsec, dat garandeert dat de opgevraagde informatie van de bevraagde server komt en niet is veranderd onderweg. Ofschoon DNSsec al jaren beschikbaar is, wordt het nog nauwelijk toegepast, blijkt uit het onderzoek. Slechts 0,002 procent van de geteste DNS-servers ondersteunt DNSsec. “Er is maar weinig softwaregereedschap en veel beheerders vinden DNS al te complex”, zegt Olaf Kolkman, directeur van NLnetlabs, dat zich bezighoudt met onderzoek en ontwikkeling van DNS-servers. “Bovendien hebben de investeringen niet gelijk effect. Het voordeel wordt pas zichtbaar naarmate meer mensen meedoen.” Positief punt is, volgens Kolkman, dat in het open-sourcedomein steeds meer gereedschap verschijnt dat het beheer van DNSsec vereenvoudigt.

Liu schetst dat het inrichten en onderhouden van DNSsec extra handelingen met zich meebrengt, en bovendien het organiseren van een infrastructuur voor het uitwisselen en beheer van certificaten vereist. Topleveldomeinbeheerders en de beheerders van de ‘rootservers’ die de kern van de verwijsindex vormen, maken daarom maar langzaam vorderingen met de beveiliging van DNS. Liu: “Over vragen als ‘Wie genereert de sleutels?’, ‘Wie zorgt voor de distributie?’, ‘Hoelang zijn sleutels geldig?’, moeten besluiten genomen worden. Wanneer dat binnen een organisatie plaatsvindt, kan dat snel gaan, maar hier zijn veel verschillende partijen bij betrokken.”

Bedrijven behoren DNS af te schermen
DNS zorgt voor de vertaling van een domeinnaam naar het IP-adres van de server waar het desbetreffende domein op wordt gehost. Die verwijsindex is getrapt opgebouwd, van landelijk naar wereldwijd. De recursive servers houden een tijdelijke kopie aan van veelgestelde DNS-vragen zodat niet steeds een verzoek uit hoeft naar de originele DNS-servers. De kwetsbaarheid die Kaminsky aantoonde, bood een snelle manier om valse antwoorden in de cache van dergelijke recursive servers in te bouwen (cache-poisoning). Daarmee kunnen zij websurfers naar een malafide site leiden zonder dat die daar erg in hebben. Een belangrijke barrière tegen cache-poisoning is het gedeeltelijk afsluiten van de recursive DNS-server. De DNS-server van een bedrijf bijvoorbeeld beantwoordt bij voorkeur alleen vragen vanuit het lokale netwerk. De DNS-servers van een internetaanbieder zouden alleen vragen van eigen klanten moeten beantwoorden.


 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!