Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

13.08.08 / Seite 1 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Die Dinge „beim Namen“ nennen... DNS Grundlagen, Möglichkeiten.

Veröffentlicht von:Matilde Schräder Geändert vor über 7 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "13.08.08 / Seite 1 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Die Dinge „beim Namen“ nennen... DNS Grundlagen, Möglichkeiten."—  Präsentation transkript:

1 13.08.08 / Seite 1 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Die Dinge „beim Namen“ nennen... DNS Grundlagen, Möglichkeiten und Attacken

2 13.08.08 / Seite 2 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Über mich Stefan Neufeind Aus Neuss Tätig für SpeedPartner GmbH (Consulting, Entwicklung, Administration) Hosting, Housing, Managed Services XDSL, IP-Upstream, IPv6 Domains / Domain-Services

3 13.08.08 / Seite 3 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Agenda Grundlagen Einsatzszenarien Attacken (Auswahl) und mögliche Absicherungen Zonetransfers Offene Recursor Injection Offene Diskussion

4 13.08.08 / Seite 4 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Grundlagen DNS = Domain Name System „Telefonbuch“ für Netzwerke Verbindung Domain-Namen mit Informationen „menschen-lesbare“ Hostnamen Verknüpfung mit verschiedenen Informationen/Diensten DNS- Server Anfrage www.guug.de ? Antwort: 212.227.83.207 DNS- Client

5 13.08.08 / Seite 5 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Grundlagen Hierarchisch strukturiert (Baum) Pro Knoten/Blatt: 0 bis n Resourcen mit Informationen Aufgeteilt in Zonen Enthalten Sammlung zusammenhänger Knoten Mehrere Zonen pro Nameserver möglich Bereitgestellt durch authoritative Nameserver

6 13.08.08 / Seite 6 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Grundlagen deeuat guug Speed partner www mail servic e AAAA A...

7 13.08.08 / Seite 7 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Grundlagen DNS-Client: Resolver Nicht-rekursive Anfrage: Schritt für Schritt entlang Baum z.B. lokalen caching-nameserver installieren Rekursive Anfrage: Recursor übernimmt Auflösung Einfachere Realisierung Spart Resourcen Erlaubt Caching z.B. über DNS-Server des Internet-Zugangsanbieters

8 13.08.08 / Seite 8 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Grundlagen Anfragen per UDP: einfache Anfragen, für Antworten bis 512 Bytes Mit Erweiterung auch größere Antworten möglich (EDNS, siehe RFC2671) TCP: für komplexe Anfragen, Zonetransfers,...

9 13.08.08 / Seite 9 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Einsatzszenarien: Beispiel-Anfragen Hostname zu IP: www.guug.de A → 212.227.83.207 www.linuxtag.org AAAA → 2a01:198:12::13 IP zu Hostname (Reverse): 207.83.227.212.in-addr.arpa. PTR → p15193709.pureserver.info. (an der shell: dig -x 212.227.83.207) Abfrage von Diensten (Beispiel: Jabber-Server): _xmpp-server._tcp.speedpartner.de SRV → 10 0 5269 collab.speedpartner.de (Angabe über Verfügbarkeit von Dienst, ggf. mehrere Server mit Priorität/Gewichtung, Port und Server für Verbindung)

10 13.08.08 / Seite 10 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Einsatzszenarien: Beispiel-Anfragen Abfrage von Zusatzinfos: qupps.biz TXT → zone transfers for this zone have been [...] _domainkey.example.com TXT → o=~\; r=hostmaster@example.com mail._domainkey.example.com TXT → k=rsa\; t=y\; p=MHwwDQYJ[...] Blacklist-Abfragen (dnsbl, z.B. für Spam-Vermeidung): 14.33.110.85.ix.dnsbl.manitu.net A → 127.0.0.2 14.33.110.85.ix.dnsbl.manitu.net TXT → A message sent to the mailhost [...] was detected as spam by NiX Spam at Tue, 12 Aug 2008 15:54:54 +0200 Tunneln von beliebigem Traffic über DNS... falls man gerade mal nur DNS zur freien Verfügung hat :-)

11 13.08.08 / Seite 11 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Zonetransfers Massentransfer aller Inhalte einer Zone „verrät“ auch versteckte Einträge www.example.com.86400INA10.0.0.1 ftp.example.com.86400INA10.0.0.2 [...] vpn.example.com.86400INA10.210.9.8 db.example.com.86400INA10.212.37.11 backup.example.com.86400INA 10.244.51.45 secret-project.example.com.86400INA10.251.73.91

12 13.08.08 / Seite 12 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Zonetransfers Abhilfe: Unnötige Zonetransfers verbieten Bind: /etc/named.conf acl slave-dns { 192.168.7.33; 192.168.99.8; }; options { allow-transfer { slave-dns; }; [...]

13 13.08.08 / Seite 13 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Offene Recursor Anfrage per UDP: Fälschung Absender möglich Beliebige Abfrage, da offener Recursor: Abfrage mit großer Antwort stellen Recursor Anfrage (klein) big.example.com ? Auslöser Opfer Antwort (groß)

14 13.08.08 / Seite 14 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Offene Recursor Effekt: Denial of Service (DoS) im Eigenbau Kleine Abfragen = geringe Bandbreite notwendig Große Antworten = große Wirkung Fälschung Absender = Antworten an beliebiges „Opfer“, Auslöser unerkannt Nutzung Recursor als „Angreifer“ = ggf. hohe Bandbreite, Auslöser unerkannt

15 13.08.08 / Seite 15 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Offene Recursor Abhilfe: Nur Antworten für eigene Domains, Recursor nur für notwendige Clients Bind: /etc/named.conf acl our-clients { 192.168.7.0/24; }; options { allow-recursion { our-clients; }; allow-query { our-clients; }; [...] Bind: /var/named/named.primary zone "example.com" IN { type master; file "zone.example.com"; allow-query { any; }; }; [...]

16 13.08.08 / Seite 16 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Injection Unterschieben einer gefälschten Antwort Recursor Anfrage example.com ? DNS- Client Angreifer gibt (ungefragt) Antwort „sucht“...

17 13.08.08 / Seite 17 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Injection Thema aktuell (erneut) heiss diskutiert Dan Kaminsky plante Vortrag zur Black-Hat-Konferenz Details vorab veröffentlicht (z.B. Full-Disclosure-Mailingliste) Einige Newsmeldungen zum Thema Heise 22.7.: Hinweis auf Sicherheitsproblem Heise 28.7.: Nameserver DTAG und Kabeldeutschland bisher ungepatched; betrifft auch andere (z.B. Teilweise 1&1) Heise 31.7.: Patches Bind 9.5.0-P1 bremsen Server aus...

18 13.08.08 / Seite 18 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Injection Denkbare Gründe: Stören von Zugriffen Man-in-the-middle-Attacken Effektivität: Erfolgreiche Störungen werden gecached Injection auf Recursor mit Auswirkung auf viele Clients Auch Angriffe auf „vernachlässigte“ Clients möglich

19 13.08.08 / Seite 19 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Injection Warum/wann/wie: Bei ausgehender Anfrage speziell hierfür Injection? Zeitpunkt muss abgepasst werden Anfragen werden gecached Bei beliebiger Anfrage ungefragt Antwort senden? Denkbar, wird aber über Prüfung meist abgefangen (Bailwick-Checking, out-of-bailwick-Attacke)

20 13.08.08 / Seite 20 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Injection Warum/wann/wie: Antwort „passend“ zur Anfrage „in-bailwick“, also bailwick-Prüfung erfolgreich Provozieren von Anfragen für z.B. aaa.example.com, bbb.example.com,... und Lieferung passender „Additional Resource Records“ (z.B. für www.example.com)

21 13.08.08 / Seite 21 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Injection DNS-Antwort muss zu Anfrage passen: Quelle der Antwort (DNS-Server) Quell-Port DNS-Client (<16 Bit) Transaktions-ID (16 Bit) Problem: Quell-Port DNS-Client ggf. vorhersagbar, da häufig wiederverwendet oder geringe Anzahl Variationen Transaktions-ID erratbar oder gar vorhersagbar (BIND v4 und v8 verwendeten sequentiellen IDs)

22 13.08.08 / Seite 22 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Injection Aussicht auf Erfolg Oft keine Filterung nach Source-IP von Traffic (siehe BCP38)BCP38 Viele ISPs noch nicht Oft keine Filterung im LAN zum Recursor ob gespoofte Adressen externer, authoritativer Server genutzt Anzahl Versuche „überschaubar“: worst-case <16 Bit, best-case <32 Bit

23 13.08.08 / Seite 23 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Injection Angriff per „man-in-the-middle“ falls Injection erfolgreich? Falls keine Verschlüsselung verwendet Falls keine andere Form der Authentifizierung (SSL mit Prüfung) verwendet wird oder Falls Authentifizierung falsch verwendet wird (Klick auf "Zertifikat trotzdem akzeptieren")

24 13.08.08 / Seite 24 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Injection Probleme bei Filterung Gefälschte Antworten kommen mit IP der echten, authoritativen Server (können also nicht einfach "geblockt" werden) rate-limits o.ä. ggf. problematisch für legitime Nutzer (keine Auflösungen mehr möglich) Auch Clients „verwundbar“, nicht nur Recursor Angreifer direkt im LAN? Infizierte Hosts?...

25 13.08.08 / Seite 25 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Injection „Lösung“ über Monitoring? Monitoring Recursor auf massenhafte Anfragen Monitoring Recursor auf massenhaft falsche Query-IDs in Antworten (Counter bei Bind z.B. ab 9.5 verfügbar) Monitoring LAN auf lokale Attacken (sflow,...) Jedoch nur Indizien, keine Problemlösung

26 13.08.08 / Seite 26 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Injection „Lösung“ über TCP-Fallback? (bereits 2006 erwähnt) wenn gefälschte IDs erkannt, weitere Anfragen per TCP statt UDP Performance/Skalierung?... „Lösung“ über DNSSEC? Alle DNS-Zonen ab Root müssten signiert sein Client (oder mind. vertrauenswürdiger Resolver) müssten Prüfung der Kette vornehmen Performance?

27 13.08.08 / Seite 27 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Injection „Abhilfe“ Patches einspielen Filtern wo möglich Monitoring DNSSEC?

28 13.08.08 / Seite 28 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Injection Stolperfallen NAT für DNS kann ggf. zufällige Source-Ports o.ä. verwässern Auch Clients oder z.B. kleine Router anfällig Tests „mit Vorsicht“ zu genießen

29 13.08.08 / Seite 29 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Attacken (Auswahl) Injection Testmöglichkeiten Automatisches DNS-Testbild http://porttest.honeyd.org/-s-_dns.png http://porttest.honeyd.org/-s-_dns.png Per DNS-Abfrage auf TXT-Record # dig +short porttest.dns-oarc.net TXT z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. "217.237.150.202 is POOR: 27 queries in 4.8 seconds from 26 ports with std dev 160.37" # dig +short @my.nameserver.net porttest.dns-oarc.net TXT porttest.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. "80.69.100.142 is GREAT: 26 queries in 4.2 seconds from 26 ports with std dev 16735"

30 13.08.08 / Seite 30 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Weitere Links Injection-Attacken http://seclists.org/fulldisclosure/2008/Jul/0375.html http://www.heise.de/security/Details-zum-DNS-Sicherheitsproblem-veroeffentlicht--/news/meldung/113133 http://www.net-security.org/dl/articles/Attacking_the_DNS_Protocol.pdf http://www.nytimes.com/2008/08/09/technology/09flaw.html http://tservice.net.ru/~s0mbre/blog/devel/networking/dns/2008_08_08.html http://de.wikipedia.org/wiki/DNSSEC

31 13.08.08 / Seite 31 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Danke fürs Zuhören! Folien verfügbar unter: http://talks.speedpartner.de/ Fragen? neufeind (at) speedpartner.de

Herunterladen ppt "13.08.08 / Seite 1 DNS Stefan Neufeind GUUG-Regionaltreffen West hubertz-it-consulting GmbH, Köln Die Dinge „beim Namen“ nennen... DNS Grundlagen, Möglichkeiten."

Ähnliche Präsentationen

Perlen der Informatik III Anwendungen

Perlen der Informatik III Anwendungen
Die Firewall Was versteht man unter dem Begriff „Firewall“?

Die Firewall Was versteht man unter dem Begriff „Firewall“?
DNS – Domain Name System

DNS – Domain Name System
Paketorientierte Datenübertragung

Paketorientierte Datenübertragung
Sicherheit in Rechnernetzen- Denial of Service- Attacken

Sicherheit in Rechnernetzen- Denial of Service- Attacken
6. Domain Name System (DNS)

6. Domain Name System (DNS)
1. Einführung Lernziele: Auffrischen des Wissens aus Rechnernetze

1. Einführung Lernziele: Auffrischen des Wissens aus Rechnernetze
Martin MauveUniversität Mannheim1 3.6 User Datagram Protocol (UDP) RFC 768. J. Postel. User Datagram Protocol. 1980. unzuverlässiges Transportprotokoll.

Martin MauveUniversität Mannheim1 3.6 User Datagram Protocol (UDP) RFC 768. J. Postel. User Datagram Protocol unzuverlässiges Transportprotokoll.
Fli4l Der Ein-Disketten-Router von Sebastian Röhl von Sebastian Röhl.

Fli4l Der Ein-Disketten-Router von Sebastian Röhl von Sebastian Röhl.
Einführung in die Technik des Internets

Einführung in die Technik des Internets
Smartphones im Kanzleinetz Vergleich der technischen Umsetzung COLLEGA - TAG Freitag, 27. November 2009.

Smartphones im Kanzleinetz Vergleich der technischen Umsetzung COLLEGA - TAG Freitag, 27. November 2009.
CCNA2 – Module 11 Access Control Lists

CCNA2 – Module 11 Access Control Lists
Workshop: Active Directory

Workshop: Active Directory
Präsentation Trojaner

Präsentation Trojaner
DNS Domain Name System oder Domain Name Service

DNS Domain Name System oder Domain Name Service
VoIP – Voice over IP Das SIP-Protokoll und seine Sicherheit

VoIP – Voice over IP Das SIP-Protokoll und seine Sicherheit
Firewall.

Firewall.
BarricadeTM g 2.4GHz 54Mbit/s Wireless Breitband Router

BarricadeTM g 2.4GHz 54Mbit/s Wireless Breitband Router
Julia Grabsch Florian Hillnhütter Fabian Riebschläger

Julia Grabsch Florian Hillnhütter Fabian Riebschläger
Grundlagen der Netzwerktechnik

Grundlagen der Netzwerktechnik

Ähnliche Präsentationen

Google-Anzeigen