13.08.08 / Seite 1 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Die Dinge „beim Namen“ nennen... DNS Grundlagen, Möglichkeiten.

Slides:



Advertisements
Ähnliche Präsentationen
Perlen der Informatik III Anwendungen
Advertisements

Die Firewall Was versteht man unter dem Begriff „Firewall“?
DNS – Domain Name System
Paketorientierte Datenübertragung
Sicherheit in Rechnernetzen- Denial of Service- Attacken
6. Domain Name System (DNS)
1. Einführung Lernziele: Auffrischen des Wissens aus Rechnernetze
Martin MauveUniversität Mannheim1 3.6 User Datagram Protocol (UDP) RFC 768. J. Postel. User Datagram Protocol unzuverlässiges Transportprotokoll.
Fli4l Der Ein-Disketten-Router von Sebastian Röhl von Sebastian Röhl.
Einführung in die Technik des Internets
Smartphones im Kanzleinetz Vergleich der technischen Umsetzung COLLEGA - TAG Freitag, 27. November 2009.
CCNA2 – Module 11 Access Control Lists
Workshop: Active Directory
Präsentation Trojaner
DNS Domain Name System oder Domain Name Service
VoIP – Voice over IP Das SIP-Protokoll und seine Sicherheit
Firewall.
BarricadeTM g 2.4GHz 54Mbit/s Wireless Breitband Router
Julia Grabsch Florian Hillnhütter Fabian Riebschläger
Grundlagen der Netzwerktechnik
Netzwerke.
Snarfing Nico Nößler. Der Begriff Snarfing Kunstwort aus snor und scarf Kunstwort aus snor und scarf bedeutet soviel wie stibitzen oder stehlen bedeutet.
Domain Name Service Grundlagen, Implementierung im Active Directory und Integration von Win2k-Domains in bestehende Umgebungen Kay Sander.
Hacking InfoPoint Jörg Wüthrich Infopoint - Hacking - Jörg Wüthrich 2/26 Inhalte Rund um das Thema Hacking Angriffs-Techniken Session.
Ferngesteuerte Spam-Armeen
DNS DNS Das Domain Name System ist der Dienst im Internet, der DNS Namen in entsprechenden IP Adressen umsetzt und umgekehrt auch IPAdressen Namen zuordnen.
WLAN für öffentliche, soziale & karitative Einrichtungen
Willkommen zum Brückensemester
Was wäre wenn….. SNMP (Simple Network Managment Protocol)
FTP File Transfer Protocol. Geschichte Das File Transfer Protocol (engl. für „Dateiübertragungsverfahren“, kurz FTP) ist ein im RFC 959 von 1985 spezifiziertes.
Registrar-Tag Andreas Papst.at nameservice Wer fragt Wen Was Wann? Datum:
Internet-Grundtechnologien. Client / Server Client („Kunde“): fordert Information / Datei an im Internet: fordert Internetseite an, z.B.
 Sind Adresskomponenten (an der IP- Adresse angehängt, von ihr durch Doppelpunkt getrennt)  Werden in Netzwerkprotokollen eingesetzt um Datenpakete.
Schutzvermerk nach DIN 34 beachten TCP / IP. Schutzvermerk nach DIN 34 beachten TCP / IP und das OSI-Referenzmodell Process / Application Host-to-Host.
Webserver Apache & Xampp Referenten: Elena, Luziano und Sükran
Sniffing & Spoofing Workshop
IPv6 in der Praxis Vortragsreihe von Michael Dirska
Universität Zürich Informatikdienste GoKoordinatorenmeeting 27. April SpamAssassin.
1 Konica Minolta IT Solutions Prinzip Partnerschaft MANAGED MONITORING ÜBERWACHJUNG DER SERVERINFRASTRUKTUR UND ANWENDUNGEN DIREKT AUS DER CLOUD.
Aufbau eines Netzwerkes
Netzwerke. IPv4 Rechner/Server werden im Internet eindeutig durch IP Adressen identifiziert Adressen sind 32-Bit-Zahlen, die in viermal acht Bit aufgeteilt.
DNS Grundlagen Wer soll sich das merken !!! Wer soll sich das merken !!!
Rechen- und Kommunikationszentrum (RZ) DNS-Server Aufbau und Konfiguration Elena Kleineick Seminarvortrag / / RZ-Neubau, Seminarraum 001 Stand:
Faiumoni e. V. IPv6 für Server Hendrik Brummermann.
/ Seite 1 Online-Collaboration mit Zimbra Stefan Neufeind IHK-Forum IT “mobile business” 2006, Mönchengladbach IHK-Forum IT „mobile business“
IP version 6 The next Generation Konrad Rosenbaum, 2009.
Einrichtung eines Schulnetzwerkes unter Linux Besondere Lernleistung von Henrik Friedrichsen.
Hubert Feyrer 1 1 home.meinedomain.de DynDNS für Strato-Domains im Eigenbau Hubert Feyrer.
LINUX II Unit 9 Network File Server NFS. NFS Überblick ● Zugriff von lokalen Rechner über Netzwerk auf Dateien oder Ordnern auf entfernten Servern ● Entwickelt.
Einführung in Bittorrent ComputerClub 2, Seite: 1 / © SpeedPartner GmbH Einführung in Bittorrent.
ICMP Internet Control Message Protocol Michael Ziegler Universität Freiburg Michael Ziegler.
1 DNS – Domain Name System Das Domain Name System, eine Einführung Thomas Deutsch 20. Oktober 2005 Restaurant Beaulieu, Bern.
Othmar GsengerErwin Nindl Christian Pointner. Inhalt Was ist Anycast? Secure Anycast Tunneling Protocol (SATP) Was ist Anytun Verschlüsselung Live Demo.
1. Einführung Lernziele: Auffrischen des Wissens aus Rechnernetze
Lars Tremmel ETH Informatikdienste Managed Services September 2013
Häufig gestellte Fragen
Crashkurs Computernetzwerke
Aufgabe 1: Begriffswelt
Othmar Gsenger Erwin Nindl Christian Pointner
• Projektdialog paralleler Plagiatschutz- projekte
Firewall.
Vortrag von Philip Reetz
Ich brauche eine Web-Seite vom Server im Internet
Security Labor MitM-Demonstration
Datenbanken online sowie offline verfügbar machen
Routing … … die Suche nach dem Weg..
Newsletter-marketing
Überblick zur Protokoll-/ Verbindungswahl zwischen Backend-Server und Gateway ITC-MEETING Tobias Hänel.
 Präsentation transkript:

/ Seite 1 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Die Dinge „beim Namen“ nennen... DNS Grundlagen, Möglichkeiten und Attacken

/ Seite 2 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Über mich Stefan Neufeind Aus Neuss Tätig für SpeedPartner GmbH (Consulting, Entwicklung, Administration) Hosting, Housing, Managed Services XDSL, IP-Upstream, IPv6 Domains / Domain-Services

/ Seite 3 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Agenda Grundlagen Einsatzszenarien Attacken (Auswahl) und mögliche Absicherungen Zonetransfers Offene Recursor Injection Offene Diskussion

/ Seite 4 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Grundlagen DNS = Domain Name System „Telefonbuch“ für Netzwerke Verbindung Domain-Namen mit Informationen „menschen-lesbare“ Hostnamen Verknüpfung mit verschiedenen Informationen/Diensten DNS- Server Anfrage ? Antwort: DNS- Client

/ Seite 5 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Grundlagen Hierarchisch strukturiert (Baum) Pro Knoten/Blatt: 0 bis n Resourcen mit Informationen Aufgeteilt in Zonen Enthalten Sammlung zusammenhänger Knoten Mehrere Zonen pro Nameserver möglich Bereitgestellt durch authoritative Nameserver

/ Seite 6 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Grundlagen deeuat guug Speed partner www mail servic e AAAA A...

/ Seite 7 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Grundlagen DNS-Client: Resolver Nicht-rekursive Anfrage: Schritt für Schritt entlang Baum z.B. lokalen caching-nameserver installieren Rekursive Anfrage: Recursor übernimmt Auflösung Einfachere Realisierung Spart Resourcen Erlaubt Caching z.B. über DNS-Server des Internet-Zugangsanbieters

/ Seite 8 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Grundlagen Anfragen per UDP: einfache Anfragen, für Antworten bis 512 Bytes Mit Erweiterung auch größere Antworten möglich (EDNS, siehe RFC2671) TCP: für komplexe Anfragen, Zonetransfers,...

/ Seite 9 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Einsatzszenarien: Beispiel-Anfragen Hostname zu IP: A → AAAA → 2a01:198:12::13 IP zu Hostname (Reverse): in-addr.arpa. PTR → p pureserver.info. (an der shell: dig -x ) Abfrage von Diensten (Beispiel: Jabber-Server): _xmpp-server._tcp.speedpartner.de SRV → collab.speedpartner.de (Angabe über Verfügbarkeit von Dienst, ggf. mehrere Server mit Priorität/Gewichtung, Port und Server für Verbindung)

/ Seite 10 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Einsatzszenarien: Beispiel-Anfragen Abfrage von Zusatzinfos: qupps.biz TXT → zone transfers for this zone have been [...] _domainkey.example.com TXT → o=~\; mail._domainkey.example.com TXT → k=rsa\; t=y\; p=MHwwDQYJ[...] Blacklist-Abfragen (dnsbl, z.B. für Spam-Vermeidung): ix.dnsbl.manitu.net A → ix.dnsbl.manitu.net TXT → A message sent to the mailhost [...] was detected as spam by NiX Spam at Tue, 12 Aug :54: Tunneln von beliebigem Traffic über DNS... falls man gerade mal nur DNS zur freien Verfügung hat :-)

/ Seite 11 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Zonetransfers Massentransfer aller Inhalte einer Zone „verrät“ auch versteckte Einträge ftp.example.com.86400INA [...] vpn.example.com.86400INA db.example.com.86400INA backup.example.com.86400INA secret-project.example.com.86400INA

/ Seite 12 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Zonetransfers Abhilfe: Unnötige Zonetransfers verbieten Bind: /etc/named.conf acl slave-dns { ; ; }; options { allow-transfer { slave-dns; }; [...]

/ Seite 13 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Offene Recursor Anfrage per UDP: Fälschung Absender möglich Beliebige Abfrage, da offener Recursor: Abfrage mit großer Antwort stellen Recursor Anfrage (klein) big.example.com ? Auslöser Opfer Antwort (groß)

/ Seite 14 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Offene Recursor Effekt: Denial of Service (DoS) im Eigenbau Kleine Abfragen = geringe Bandbreite notwendig Große Antworten = große Wirkung Fälschung Absender = Antworten an beliebiges „Opfer“, Auslöser unerkannt Nutzung Recursor als „Angreifer“ = ggf. hohe Bandbreite, Auslöser unerkannt

/ Seite 15 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Offene Recursor Abhilfe: Nur Antworten für eigene Domains, Recursor nur für notwendige Clients Bind: /etc/named.conf acl our-clients { /24; }; options { allow-recursion { our-clients; }; allow-query { our-clients; }; [...] Bind: /var/named/named.primary zone "example.com" IN { type master; file "zone.example.com"; allow-query { any; }; }; [...]

/ Seite 16 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Injection Unterschieben einer gefälschten Antwort Recursor Anfrage example.com ? DNS- Client Angreifer gibt (ungefragt) Antwort „sucht“...

/ Seite 17 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Injection Thema aktuell (erneut) heiss diskutiert Dan Kaminsky plante Vortrag zur Black-Hat-Konferenz Details vorab veröffentlicht (z.B. Full-Disclosur ingliste) Einige Newsmeldungen zum Thema Heise 22.7.: Hinweis auf Sicherheitsproblem Heise 28.7.: Nameserver DTAG und Kabeldeutschland bisher ungepatched; betrifft auch andere (z.B. Teilweise 1&1) Heise 31.7.: Patches Bind P1 bremsen Server aus...

/ Seite 18 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Injection Denkbare Gründe: Stören von Zugriffen Man-in-the-middle-Attacken Effektivität: Erfolgreiche Störungen werden gecached Injection auf Recursor mit Auswirkung auf viele Clients Auch Angriffe auf „vernachlässigte“ Clients möglich

/ Seite 19 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Injection Warum/wann/wie: Bei ausgehender Anfrage speziell hierfür Injection? Zeitpunkt muss abgepasst werden Anfragen werden gecached Bei beliebiger Anfrage ungefragt Antwort senden? Denkbar, wird aber über Prüfung meist abgefangen (Bailwick-Checking, out-of-bailwick-Attacke)

/ Seite 20 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Injection Warum/wann/wie: Antwort „passend“ zur Anfrage „in-bailwick“, also bailwick-Prüfung erfolgreich Provozieren von Anfragen für z.B. aaa.example.com, bbb.example.com,... und Lieferung passender „Additional Resource Records“ (z.B. für

/ Seite 21 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Injection DNS-Antwort muss zu Anfrage passen: Quelle der Antwort (DNS-Server) Quell-Port DNS-Client (<16 Bit) Transaktions-ID (16 Bit) Problem: Quell-Port DNS-Client ggf. vorhersagbar, da häufig wiederverwendet oder geringe Anzahl Variationen Transaktions-ID erratbar oder gar vorhersagbar (BIND v4 und v8 verwendeten sequentiellen IDs)

/ Seite 22 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Injection Aussicht auf Erfolg Oft keine Filterung nach Source-IP von Traffic (siehe BCP38)BCP38 Viele ISPs noch nicht Oft keine Filterung im LAN zum Recursor ob gespoofte Adressen externer, authoritativer Server genutzt Anzahl Versuche „überschaubar“: worst-case <16 Bit, best-case <32 Bit

/ Seite 23 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Injection Angriff per „man-in-the-middle“ falls Injection erfolgreich? Falls keine Verschlüsselung verwendet Falls keine andere Form der Authentifizierung (SSL mit Prüfung) verwendet wird oder Falls Authentifizierung falsch verwendet wird (Klick auf "Zertifikat trotzdem akzeptieren")

/ Seite 24 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Injection Probleme bei Filterung Gefälschte Antworten kommen mit IP der echten, authoritativen Server (können also nicht einfach "geblockt" werden) rate-limits o.ä. ggf. problematisch für legitime Nutzer (keine Auflösungen mehr möglich) Auch Clients „verwundbar“, nicht nur Recursor Angreifer direkt im LAN? Infizierte Hosts?...

/ Seite 25 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Injection „Lösung“ über Monitoring? Monitoring Recursor auf massenhafte Anfragen Monitoring Recursor auf massenhaft falsche Query-IDs in Antworten (Counter bei Bind z.B. ab 9.5 verfügbar) Monitoring LAN auf lokale Attacken (sflow,...) Jedoch nur Indizien, keine Problemlösung

/ Seite 26 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Injection „Lösung“ über TCP-Fallback? (bereits 2006 erwähnt) wenn gefälschte IDs erkannt, weitere Anfragen per TCP statt UDP Performance/Skalierung?... „Lösung“ über DNSSEC? Alle DNS-Zonen ab Root müssten signiert sein Client (oder mind. vertrauenswürdiger Resolver) müssten Prüfung der Kette vornehmen Performance?

/ Seite 27 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Injection „Abhilfe“ Patches einspielen Filtern wo möglich Monitoring DNSSEC?

/ Seite 28 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Injection Stolperfallen NAT für DNS kann ggf. zufällige Source-Ports o.ä. verwässern Auch Clients oder z.B. kleine Router anfällig Tests „mit Vorsicht“ zu genießen

/ Seite 29 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Injection Testmöglichkeiten Automatisches DNS-Testbild Per DNS-Abfrage auf TXT-Record # dig +short porttest.dns-oarc.net TXT z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. " is POOR: 27 queries in 4.8 seconds from 26 ports with std dev " # dig porttest.dns-oarc.net TXT porttest.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. " is GREAT: 26 queries in 4.2 seconds from 26 ports with std dev 16735"

/ Seite 30 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Weitere Links Injection-Attacken

/ Seite 31 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Danke fürs Zuhören! Folien verfügbar unter: Fragen? neufeind (at) speedpartner.de

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2024 SlidePlayer.org Inc. All rights reserved.