Enterprise-NAT-Lösungen heben Wirkung der Software-Updates wieder auf
Die Kaminsky-Attacke erlaubt einem Angreifer, einen DNS-Server innerhalb weniger Sekunden mit gefälschten Cache-Einträgen zu verseuchen. Viele Hersteller arbeiten seit Sommer 2008 an einem Software-Update, das diese Gefahr endgültig abwehrt.
Besonders gefährlich an einer Cache-Attacke ist, dass ein verseuchter DNS-Server "gutgläubig" andere Server der weltweit verteilten Datenbank mit falschen Einträgen versorgt. Besonders lohnenswert sind solche Angriffe für Phisher: Auch wenn ein ahnungsloser Nutzer die korrekte URL seiner Bank von Hand eintippt, landet er so auf der Website des Phishers. Firmen, die DNS-Server im Intranet betreiben und über NAT an das Internet angebunden sind, bieten auch Patches keinerlei Schutz. Schuld daran sind Enterprise-Level-Internet-Gateways, die den Effekt des Patches wieder aufheben.
Diese High-End-Komponenten limitieren die Ports, mit denen ein Rechner im Internet sichtbar wird, damit es einem einzigen Nutzer nicht möglich ist, alle 65.536 verfügbaren Internetverbindungen einer öffentlichen IP-Adresse für sich allein zu beanspruchen. Betroffen von diesem gefährlichen Sicherheitsloch für DNS-Server im Intranet ist auch Marktführer Cisco.
Kleine Unternehmen, die Consumer-Level-Router, etwa eine Fritzbox, einsetzen, müssen sich keine Gedanken machen. Die NAT-Logik dieser Geräte ist nicht "schlau" genug, um ein solches Sicherheitsleck zu schaffen.
Auch Anwender von High-End-Komponenten können ihre DNS-Server sicher betreiben, allein das Patchen auf die aktuelle Version reicht jedoch nicht aus. ZDNet hat einen ausführlichen Bericht[2] zusammengestellt, der detaillierte technische Hintergründe und Handlungsempfehlungen liefert.
Der von ZDNet durchgeführte Test zeigt, dass ein Cisco-Gateway die Wirkung des DNS-Patches größtenteils wieder aufhebt.
URLs in diesem Artikel:
[1] = http:/
[2] = http:/