of 29 /29
 Grupo de Resposta a Incidentes de Segurança Segurança DNS Guilherme Iria

GRIS - DNS - Apresentação sobre segurança DNS

Embed Size (px)

DESCRIPTION

Apresentaçoes do GRIS - Grupo de Resposta a Incidentes de Segurança - atuante no DCC/UFRJ

Text of GRIS - DNS - Apresentação sobre segurança DNS

  • Grupo de Respostaa Incidentes de Segurana

    Segurana DNS

    Guilherme Iria

  • Sumrio

    IntroduoOque?Qualautilidade?Comofunciona?

    AmeaasAmplificationCachePoisoning

    Derivaes

    MedidasdeproteoPrevenoProtocolose

    extensesOutrasalternativas

  • Introduo O que ?

    OqueDNS?

    DNS(DomainNameSystem)Protocolocomfunesquevisamassociarinformaesadomniosdenomes

  • Introduo Qual sua utilidade ?

    Quandovocdigitanonavegador,porexemplo:

    www.gris.dcc.ufrj.br

    OnometraduzidoparaoIP146.164.3.48

    EstesimoendereodoservidorwebdoGRIS.

  • Introduo Como funciona ?

    Dadosdistribudos

    Deformahierarquizada

  • Introduo Como funciona ?

    Raiz

    TLD

  • Introduo Como funciona ?

    Consultas

  • Introduo Como funciona ?

  • Introduo Como funciona ?

    NameServers

    RespondemconsultascomautoridadeDelegaodazonasServidorprimrioesecundrioRR's(RegistrosdeRecursos)

    SOA:Especificaoservidordelegadoparaazona.A:TraduzumnomedemquinaparaumIPv4.NS:Especificao(s)endereo(s)IPdo(s)servidor(es)denome.CNAME:Criaapelidos(alias)paraonomedeumamquina.PTR:TraduzumendereoIPparaumnomedemquina,possibilitandoumareverselookup.MX:Roteamentodeemail.Traduzparaoendereodoservidordeemail

    responsveldodomnio.Entreoutros.

  • Introduo Como funciona ?

    Cache

    Agilizaconsultasfuturasedeoutrosusuriosttl(timetolive)defineotempodepermanncianocacheRR'spossuemseusprpriosttl's

  • Introduo Como funciona ?

    Dependnciacircular

    Qualarespostadoservidorresponsvelpelotld.brconsultaporwww.ufrj.br?

    necessriomaisdeumRRparaevitarumadependnciacircular.

    Nocasosopassadosregistrosadicionais,quepodemserRR'sdiferentes.

  • Ameaas Introduo

    Consideraessobreoprotocolo:

    Protocolodetransporte:UDPouTCP

    Portadoservio:53/udp53/tcp

    Portadeorigemdarequisio

    QID(queryidentification)

    Verificaodefronteira:Registrosadicionaisfazemrefernciaaumazonaautorizada?

  • Ameaas DNS Amplification

  • Ameaas DNS Amplification

    Oqueacontece?

    RedeatacantefazrequisiesparaservidoresDNSabertos

    IPdeorigemdasrequisiesforjado(ipspoofing)paraoipdavtima

    Arequisiofeitadeformaagerarumarespostamaiordoservidorrequisitado

  • Ameaas DNS Amplification

    Ea?

    AtaquesdeDDoSapartirdeservidoresmalconfigurados

    Difcilidentificaodo(s)atacante(s)reais

    Umarequisiode60bytespodegerarumarespostadeat4000bytes

  • Ameaas Cache Poisoning

    OcorrequandoasentradasarmazenadasemcachenoNSnosoasquecorrespondemrealidade.

    Comisso,clientescontactaroservidoresdefinidosarbitrariamenteporumatacante.

    Trfegoweb,emailedadosderedeimportantesestarocomprometidos

    Podeafetartodososclientesdoservidor.

  • Ameaas Cache Poisoning

    Quandoumaconsultafeita,oclienteaguardaumarespostaquedevecoincidircomalgunsatributos:

    DevevoltaraomesmoIPqueenviouaconsulta

    Aperguntadeveseramesma

    Devevoltarmesmaportadeorigem

    OQIDdeveseromesmo

  • Ameaas Cache Poisoning

    Asprincipaismedidascorretivasparaevitarataquesdessetiposeconcentraramnos2ltimositensdoslideanterior.

    Emjulhode2008opesquisadorDanKaminskyidentificouformasmaisefetivasdeenviarsucessivasrequisiesaumservidor(flood),econseguirquerespostasforjadassejamaceitas.

    Oquecontribuiuparaissofoiofatodequeos2itenscitadosnosogeradosdeformaaleatriasatisfatoriamente.

  • Ameaas Cache Poisoning

  • Ameaas Cache Poisoning

    Nesteataqueoservidordevefazerumaconsultaaumhostinexistentedeumdomniovlido.

    NesseinstanteoatacantecomeaastentativasdeacertaraQIDeaportadeorigem.Emtermoscomputacionais,oQIDde16bitseaaspossibilidadesdasportasdeorigem,afaixadepossibilidadesNOsatisfatoriamenteampla.(Birthdayattack).

    Searespostaforaceita,armazenadaemcachecomumTTLdefinidopeloatacante(geralmentegrande)epodeafetarvriosRR's.

    Acomisso,umadasgrandespreocupaeseraadequeoataquepoderiaafetartambmasentradasparaumservidorTLD.

  • Ameaas Outras

    TransfernciadezonaAatualizaodeinformaesparaumazonasecundria

    feitaatravsdatransfernciadezona.Sealgumnoautorizadorealizartaloperao,teracessoinformaessensveis.

    PharmingDrivebyPharmingodirecionamentoparaumsistemafraudulentoao

    tentaracessarumsistemalegtimo.IssopodeocorreralterandooarquivoHOSTSlocalmente,comcachepoisoning,oupelamudanadoservidorqueserconsultado(resolver)paraumfraudulentodriveby.

  • Medidas de Proteo

    Algumasmedidaspreventivasquedevemsertomadasparaprotegersistemasdepossveisataques:

    Manteratualizadoseusoftware,aplicarcorreesdofabricante.Restringirosclientes,sepossvelasomenteclienteslocaisdesuarede.Desabilitararecursoparaconsultasfeitasporservidoresnoconfiveis.Restringirtransfernciadezonasomenteparaoipdosservidoresenvolvidos

  • Medidas de Proteo

    Protocoloseextenses

    Algumasmedidasforamtomadaspelacomunidade,demodoatrazerseguranaaoprotocolo.

    UmadessasmedidasfoiacriaodasuteDNSSEC(DNSSecurityExtensions).Seupropsitoodetornaroprotocolomaisseguroevitandoataquesdecachepoisoning,porexemplo,comointuitodeprover:

    i)AutenticidadedaorigemdedadosDNSii)Integridadededadosiii)Noexistnciadeumnomeoutipo

  • Medidas de Proteo

    Protocoloseextenses

    Pormnoprov:i)Confidencialidadededadosii)ProteocontraDDoS

    Geraumproblemacomaenumeraodezona,forneceinformaessensveisquenosofornecidascomaimplementaopadrodoprotocolo.

    Almdenoserlargamentedifundidodevidosuacomplexidadedeimplementao.

  • Medidas de proteo

    Outrasalternativas:

    Servidoresrecursivosabertos:OpenDNSDNSAdvantage

    Servidoresrootalternativos(aosdoICANN):

    OpenNIC

  • Dvidas?

  • Refernciasrfc1034DOMAINNAMESCONCEPTSANDFACILITIESrfc1035DOMAINNAMESIMPLEMENTATIONANDSPECIFICATIONrfc2671ExtensionMechanismsforDNS(EDNS0)

    AnIllustratedGuidetotheKaminskyDNSVulnerabilityhttp://unixwiz.net/techtips/iguidekaminskydnsvuln.htmlUnderstandingKaminsky'sDNSBughttp://www.linuxjournal.com/content/understandingkaminskysdnsbugDNSfromRocketScientistshttp://www.zytrax.com/books/dns/

  • RefernciasUnderstandinghowDNSworkshttp://articles.techrepublic.com.com/510010878_111053442.html?tag=rbxccnbtr1DNSAmplificationAttackshttp://www.isotf.org/news/DNSAmplificationAttacks.pdfDNSAmplificationVariationUsedinRecentDDoSAttackshttp://www.secureworks.com/research/threats/dnsamplification/TutorialDNSSECftp://ftp.registro.br/pub/doc/tutorialdnssec.pdf

  • Obrigado!

    Slide 1S1Slide 3Slide 4Slide 5Slide 6Slide 7Slide 8Slide 9Slide 10Slide 11Slide 12Slide 13Slide 14Slide 15Slide 16Slide 17Slide 18Slide 19Slide 20Slide 21Slide 22Slide 23Slide 24Slide 25Slide 26Slide 27Slide 28Slide 29