Gänzlich untauglich ist der Patch gegen die Kaminsky-Attacke für viele Firmennetzwerke, die ihren Intranet-DNS-Server in einem privaten Netzwerk hinter einem NAT-Router betreiben. Da sich viele Benutzer über das NAT-Routing eine öffentliche IP-Adresse teilen, kann der NAT-Router logischerweise nicht einem einzelnen Rechner, nämlich dem DNS-Server, alle 65.536 Ports zur Verfügung stellen, die pro öffentlicher IP-Adresse möglich sind.
Intelligente Enterprise-Level-NAT-Router begrenzen daher die Anzahl der Ports pro interner IP-Adresse von vornherein, um zu verhindern, dass ein Rechner sich alle Ports "abgreift" und alle anderen Mitbenutzer der öffentlichen IP-Adresse so lange keinen Internet-Zugang haben, bis der betreffende Rechner seine Ports freiwillig freigibt.
Die meisten Tests, ob ein stets mit Updates versorgter DNS-Server wirklich sicher ist, taugen für DNS-Server im Intranet nicht viel. Rühmliche Ausnahme ist der Test von dns-oarc.net. Er testet nicht nur, ob für verschiedene Anfragen auch verschiedene Source-Ports verwendet werden, sondern auch die statistische Standardabweichung der Ports. Ist sie gering, so kann man davon ausgehen, dass von den 65.536 möglichen Ports nur ein Bruchteil über die öffentliche IP-Adresse genutzt wird.
Ein Kaminsky-Angriff ist dann meist nicht innerhalb von Sekunden, jedoch innerhalb von wenigen Minuten möglich. Ein Nutzer, der sich eine Malware eingefangen hat, kann so für das ganze Unternehmen versehentlich zum "Phishing-Provider" werden.
Den Test kann man einfach von der Windows-Kommandozeile oder einer Unix-Shell durchführen. Dazu gibt man "nslookup -type=txt -timeout=30 porttest.dns-oarc.net 1.2.3.4" ein, wobei 1.2.3.4 der zu testende DNS-Server ist. Steht nslookup nicht zur Verfügung, so lautet die Syntax für dig "dig +short porttest.dns-oarc.net TXT @1.2.3.4".
Bekommt man eine Antwort wie in Bild 7, so handelt es sich um einen ungepatchten Server. Man sieht, dass alle Anfragen vom selben Port ausgehen. Relativ sicher ist der Server aus Bild 8, der eine aktuelle Bind-Version verwendet. Mit einem Consumer-DSL-Router ergibt sich auch eine sichere Situation, wie Bild 9 zeigt. Zu beachten ist, dass der Intranet-DNS Server 192.168.0.1 abgefragt wurde. dns-oarc.net meldet das Ergebnis für die öffentliche IP-Adresse dieses Servers.
Ein anderes Ergebnis sieht man in Bild 10. Hier wird ein Enterprise-Level-Gateway von Cisco eingesetzt. dns-oarc.net kommt zu dem richtigen Ergebnis, dass der Server aus dem Intranet leicht kompromittiert werden kann.
Zwar werden alle 26 Queries von verschiedenen Ports gestellt, jedoch liegt die Standardabweichung der Ports nur bei 18, so dass man davon ausgehen kann, dass das Gateway die öffentlichen UDP-Ports im NAT-Prozess auf einen engen Bereich begrenzt. Die Kaminsky-Attacke kann zwar nicht innerhalb von Sekunden, jedoch in einigen Minuten erfolgreich ausgeführt werden.
Bildergalerie
- DNS-Cache-Angriffe: Patches in Firmennetzen meist wirkungslos
- DNS-Caching: weniger Traffic und weniger Sicherheit
- Angriff über die Additional Section: kein Problem für jeden Hacker
- Die Kaminsky-Attacke: etwas komplizierter, aber machbar
- Aktuelle Patches: für Firmennetze völlig untauglich
- Abwehrstrategien richtig planen und implementieren
- Fazit
Neueste Kommentare
Noch keine Kommentare zu DNS-Cache-Angriffe: Patches in Firmennetzen meist wirkungslos
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.