Grupo de Respostaa Incidentes de Segurana
Segurana DNS
Guilherme Iria
Sumrio
IntroduoOque?Qualautilidade?Comofunciona?
AmeaasAmplificationCachePoisoning
Derivaes
MedidasdeproteoPrevenoProtocolose
extensesOutrasalternativas
Introduo O que ?
OqueDNS?
DNS(DomainNameSystem)Protocolocomfunesquevisamassociarinformaesadomniosdenomes
Introduo Qual sua utilidade ?
Quandovocdigitanonavegador,porexemplo:
www.gris.dcc.ufrj.br
OnometraduzidoparaoIP146.164.3.48
EstesimoendereodoservidorwebdoGRIS.
Introduo Como funciona ?
Dadosdistribudos
Deformahierarquizada
Introduo Como funciona ?
Raiz
TLD
Introduo Como funciona ?
Consultas
Introduo Como funciona ?
Introduo Como funciona ?
NameServers
RespondemconsultascomautoridadeDelegaodazonasServidorprimrioesecundrioRR's(RegistrosdeRecursos)
SOA:Especificaoservidordelegadoparaazona.A:TraduzumnomedemquinaparaumIPv4.NS:Especificao(s)endereo(s)IPdo(s)servidor(es)denome.CNAME:Criaapelidos(alias)paraonomedeumamquina.PTR:TraduzumendereoIPparaumnomedemquina,possibilitandoumareverselookup.MX:Roteamentodeemail.Traduzparaoendereodoservidordeemail
responsveldodomnio.Entreoutros.
Introduo Como funciona ?
Cache
Agilizaconsultasfuturasedeoutrosusuriosttl(timetolive)defineotempodepermanncianocacheRR'spossuemseusprpriosttl's
Introduo Como funciona ?
Dependnciacircular
Qualarespostadoservidorresponsvelpelotld.brconsultaporwww.ufrj.br?
necessriomaisdeumRRparaevitarumadependnciacircular.
Nocasosopassadosregistrosadicionais,quepodemserRR'sdiferentes.
Ameaas Introduo
Consideraessobreoprotocolo:
Protocolodetransporte:UDPouTCP
Portadoservio:53/udp53/tcp
Portadeorigemdarequisio
QID(queryidentification)
Verificaodefronteira:Registrosadicionaisfazemrefernciaaumazonaautorizada?
Ameaas DNS Amplification
Ameaas DNS Amplification
Oqueacontece?
RedeatacantefazrequisiesparaservidoresDNSabertos
IPdeorigemdasrequisiesforjado(ipspoofing)paraoipdavtima
Arequisiofeitadeformaagerarumarespostamaiordoservidorrequisitado
Ameaas DNS Amplification
Ea?
AtaquesdeDDoSapartirdeservidoresmalconfigurados
Difcilidentificaodo(s)atacante(s)reais
Umarequisiode60bytespodegerarumarespostadeat4000bytes
Ameaas Cache Poisoning
OcorrequandoasentradasarmazenadasemcachenoNSnosoasquecorrespondemrealidade.
Comisso,clientescontactaroservidoresdefinidosarbitrariamenteporumatacante.
Trfegoweb,emailedadosderedeimportantesestarocomprometidos
Podeafetartodososclientesdoservidor.
Ameaas Cache Poisoning
Quandoumaconsultafeita,oclienteaguardaumarespostaquedevecoincidircomalgunsatributos:
DevevoltaraomesmoIPqueenviouaconsulta
Aperguntadeveseramesma
Devevoltarmesmaportadeorigem
OQIDdeveseromesmo
Ameaas Cache Poisoning
Asprincipaismedidascorretivasparaevitarataquesdessetiposeconcentraramnos2ltimositensdoslideanterior.
Emjulhode2008opesquisadorDanKaminskyidentificouformasmaisefetivasdeenviarsucessivasrequisiesaumservidor(flood),econseguirquerespostasforjadassejamaceitas.
Oquecontribuiuparaissofoiofatodequeos2itenscitadosnosogeradosdeformaaleatriasatisfatoriamente.
Ameaas Cache Poisoning
Ameaas Cache Poisoning
Nesteataqueoservidordevefazerumaconsultaaumhostinexistentedeumdomniovlido.
NesseinstanteoatacantecomeaastentativasdeacertaraQIDeaportadeorigem.Emtermoscomputacionais,oQIDde16bitseaaspossibilidadesdasportasdeorigem,afaixadepossibilidadesNOsatisfatoriamenteampla.(Birthdayattack).
Searespostaforaceita,armazenadaemcachecomumTTLdefinidopeloatacante(geralmentegrande)epodeafetarvriosRR's.
Acomisso,umadasgrandespreocupaeseraadequeoataquepoderiaafetartambmasentradasparaumservidorTLD.
Ameaas Outras
TransfernciadezonaAatualizaodeinformaesparaumazonasecundria
feitaatravsdatransfernciadezona.Sealgumnoautorizadorealizartaloperao,teracessoinformaessensveis.
PharmingDrivebyPharmingodirecionamentoparaumsistemafraudulentoao
tentaracessarumsistemalegtimo.IssopodeocorreralterandooarquivoHOSTSlocalmente,comcachepoisoning,oupelamudanadoservidorqueserconsultado(resolver)paraumfraudulentodriveby.
Medidas de Proteo
Algumasmedidaspreventivasquedevemsertomadasparaprotegersistemasdepossveisataques:
Manteratualizadoseusoftware,aplicarcorreesdofabricante.Restringirosclientes,sepossvelasomenteclienteslocaisdesuarede.Desabilitararecursoparaconsultasfeitasporservidoresnoconfiveis.Restringirtransfernciadezonasomenteparaoipdosservidoresenvolvidos
Medidas de Proteo
Protocoloseextenses
Algumasmedidasforamtomadaspelacomunidade,demodoatrazerseguranaaoprotocolo.
UmadessasmedidasfoiacriaodasuteDNSSEC(DNSSecurityExtensions).Seupropsitoodetornaroprotocolomaisseguroevitandoataquesdecachepoisoning,porexemplo,comointuitodeprover:
i)AutenticidadedaorigemdedadosDNSii)Integridadededadosiii)Noexistnciadeumnomeoutipo
Medidas de Proteo
Protocoloseextenses
Pormnoprov:i)Confidencialidadededadosii)ProteocontraDDoS
Geraumproblemacomaenumeraodezona,forneceinformaessensveisquenosofornecidascomaimplementaopadrodoprotocolo.
Almdenoserlargamentedifundidodevidosuacomplexidadedeimplementao.
Medidas de proteo
Outrasalternativas:
Servidoresrecursivosabertos:OpenDNSDNSAdvantage
Servidoresrootalternativos(aosdoICANN):
OpenNIC
Dvidas?
Refernciasrfc1034DOMAINNAMESCONCEPTSANDFACILITIESrfc1035DOMAINNAMESIMPLEMENTATIONANDSPECIFICATIONrfc2671ExtensionMechanismsforDNS(EDNS0)
AnIllustratedGuidetotheKaminskyDNSVulnerabilityhttp://unixwiz.net/techtips/iguidekaminskydnsvuln.htmlUnderstandingKaminsky'sDNSBughttp://www.linuxjournal.com/content/understandingkaminskysdnsbugDNSfromRocketScientistshttp://www.zytrax.com/books/dns/
RefernciasUnderstandinghowDNSworkshttp://articles.techrepublic.com.com/510010878_111053442.html?tag=rbxccnbtr1DNSAmplificationAttackshttp://www.isotf.org/news/DNSAmplificationAttacks.pdfDNSAmplificationVariationUsedinRecentDDoSAttackshttp://www.secureworks.com/research/threats/dnsamplification/TutorialDNSSECftp://ftp.registro.br/pub/doc/tutorialdnssec.pdf
Obrigado!
Slide 1S1Slide 3Slide 4Slide 5Slide 6Slide 7Slide 8Slide 9Slide 10Slide 11Slide 12Slide 13Slide 14Slide 15Slide 16Slide 17Slide 18Slide 19Slide 20Slide 21Slide 22Slide 23Slide 24Slide 25Slide 26Slide 27Slide 28Slide 29
Recommended
