2/5 ZVEŘEJNĚNÍ ZÁVAŽNÉ BEZPEČNOSTNÍ SLABINY V DNS



Podobné dokumenty
DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma

Útoky na DNS. CZ.NIC Labs. Emanuel Petr IT10, Praha

Útok na DNS pomocí IP fragmentů

Služby správce.eu přes IPv6

Analýza podvodných ových zpráv

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

9. Systém DNS. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si problematiku struktury a tvorby doménových jmen.

Aktuální hrozby internetu. 1.Trojské koně (malware) 2.Phishing 3.Sociální sítě

Domain Name System (DNS)

Internet a zdroje. (ARP, routing) Mgr. Petr Jakubec. Katedra fyzikální chemie Univerzita Palackého v Olomouci Tř. 17. listopadu

Domain Name System (DNS)

Přehled služeb CMS. Centrální místo služeb (CMS)

Počítačové sítě Aplikační vrstva Domain Name System (DNS)

Antispamové technologie

KLASICKÝ MAN-IN-THE-MIDDLE

Útoky na Tor. především ty víc praktické. hiviah

Počítačové systémy. Mgr. Martin Kolář

Při konfiguraci domácího směrovače a bezdrátové sítě se setkáte s obrovským počtem zkratek, jejichž význam je jen málokdy dostatečně vysvětlen.

PRAVIDLA PROVOZU ELEKTRONICKÉ POŠTY V BIOFYZIKÁLNÍM ÚSTAVU AV ČR

Filter online threats off your network

Práce s ovými schránkami v síti Selfnet

Technická analýza kyberútoků z března 2013

Mgr. Stěpan Stěpanov, 2013

Příručka nastavení funkcí snímání

TRANSPORTY výbušnin (TranV)

Počítačová síť ve škole a rizika jejího provozu

Internet. Jak funguje internet. Internetový prohlížeč

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Postup nastavení bezpečné ové schránky pro zákazníky Logicentra

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů DNSSEC. Jiří Smítka.

DNS. Počítačové sítě. 11. cvičení

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Použití programu WinProxy

SOU Valašské Klobouky. VY_32_INOVACE_02_18 IKT DNS domény. Radomír Soural. III/2 Inovace a zkvalitnění výuky prostřednictvím ICT

KAPITOLA 2 - ZÁKLADNÍ POJMY INFORMAČNÍCH A KOMUNIKAČNÍCH TECHNOLOGIÍ

y s garantovaným odesílatelem a obsahem v praxi s využitím DKIM. Ing. Tomáš Hála ACTIVE 24, s.r.o.

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

DNS, DHCP DNS, Richard Biječek

Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace DNS

Nastavení telefonu Samsung SGH-F250

pozice výpočet hodnota součet je 255

Reaktivaci / Deaktivaci služby Internet HOME PLUS

Nejčastější podvody a útoky na Internetu. Pavel Bašta

CENÍK SLUŽBY INTERNET HOME EXTRA (platný od )

ZÁKLADNÍ ANALÝZA SÍTÍ TCP/IP

Jak nastavit 2SMS a SMS2 na 2N StarGate - nové CPU 2013

ANALÝZA TCP/IP 2 ANALÝZA PROTOKOLŮ DHCP, ARP, ICMP A DNS

FoxStat. Change the Net.Work. Nástroj pro záznam a analýzu datového provozu

NAS 269 Seznámení s Mail Serverem A S U S T O R C O L L E G E

Kerio IMAP Migration Tool

Routování směrovač. směrovač

CAD pro. techniku prostředí (TZB) Počítačové sítě

Internet. Jak funguje internet. Připojení do internetu

Jmenné služby a adresace

Analýza protokolů rodiny TCP/IP, NAT

Uživatel počítačové sítě

Y36SPS Jmenné služby DHCP a DNS

Vývoj Internetových Aplikací

Elektronická evidence tržeb. P r a h a 2. srpna 2016

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

Masarykova střední škola zemědělská a Vyšší odborná škola, Opava, příspěvková organizace

Nastavení telefonu Samsung S5610

Počítačové sítě II. 15. Internet protokol verze 6 Miroslav Spousta, 2006

MBus Explorer MULTI. Uživatelský manuál V. 1.1

CENÍK SLUŽBY INTERNET HOME PLUS (platný od )

Návod k nastavení účtu v emclient (IceWarp Desktop) pro práci s IceWarp Mail serverem.

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

materiál č. šablony/č. sady/č. materiálu: Autor: Karel Dvořák Vzdělávací oblast předmět: Informatika Ročník, cílová skupina: 7.

Občanské sdružení CHROPNET Ladova 389\10, Olomouc, IČ: Registrované na Ministerstvu vnitra ČR pod č.j.

Securityworld, 3. června DNSSEC část první aneb je potřeba začít od píky. Princip DNS

Střední odborná škola a Střední odborné učiliště, Hořovice

Nejzajímavější bezpečnostní incidenty CSIRT.CZ. Pavel Bašta

Pravidla komunikace registrátora Web4u s.r.o.

Smluvní podmínky pro užívání a správu domén ".sk" u spol. General Registry. Provozovatel. 1. Základní ujednání

TFTP Trivial File Transfer Protocol

Rychlý průvodce konfigurací verze 4.5

Provádí ochranu sítě před napadením (ochrana počítačů nestačí) Odděluje uživatele (prvek nespolehlivosti) od prvků ochrany

Fakulta elektrotechniky a informatiky Vysoká škola báňská - Technická univerzita Ostrava. Cvičení 5 POČÍTAČOVÁ OBRANA A ÚTOK - POU

Centrální místo služeb (CMS)

Detekce zranitelnosti Heartbleed pomocí rozšířených flow dat

Příručka rychlého nastavení snímání do u

Administrativní pokyny pro aplikaci Madridské dohody o mezinárodním zápisu známek a Protokolu k této dohodě

Novinky v.cz registru a mojeid. Zdeněk Brůna

Jak nastavit 2SMS a SMS2 na bráně 2N VoiceBlue Next

DNS provoz 150k přípojek Česká republika a Slovensko Různé typy připojení uživatelů

Č.j. MV /VZ-2014 V Praze 22. dubna 2015

Administrativní pokyny pro aplikaci Madridské dohody o mezinárodním zápisu známek a Protokolu k této dohodě. (ve znění platném k 1.

Bezpečnost sítí. Bezpečnostní služby v sítích kategorie:

Pravidla komunikace LRR

SMTPServer - Příručka

Kamzasportem.cz databáze sportovních zařízení v České republice technické specifikace projektu

Elektronické bankovnictví IV. čtvrtek, 31. května 12

Provozní dokumentace. Seznam datových schránek. Datové soubory. Vytvořeno dne: Aktualizováno: Verze: 1.

Možnosti IPv6 NAT. Lukáš Krupčík, Martin Hruška KRU0052, HRU0079. Konfigurace... 3 Statické NAT-PT Ověření zapojení... 7

Návod na používání webmailu

Václav Bartoš. Meeting projektu SABU , Vranovská ves

Téma 2 - DNS a DHCP-řešení

Transkript:

BEZPEČNÁ POČÍTAČOVÁ SÍŤ Dan Kaminsky nezveřejnil žádné detaily nalezené chyby, pouze oznámil, že popis útoku bude součástí jeho prezentace na konferenci Black Hat. Kaminsky je známý tím, že dokáže své prezentace dobře prodat a často okolo nich dělá velkolepou reklamu. Mnoho odborníků si proto myslelo, že ve skutečnosti nepůjde o nic revolučního, pouze o nějaký nový trik. Kaminčást 2, díl 5, str. 1 2/5 ZVEŘEJNĚNÍ ZÁVAŽNÉ BEZPEČNOSTNÍ SLABINY V DNS V minulém dílu aktualit jsme psali o DNS cache-poisoning útocích a oznámení Dana Kaminského, že nalezl chybu, která umožňuje provést takový útok ve většině používaných DNS serverů mnohem snadněji, než si dosud všichni mysleli, a že tato chyba souvisí se samotnou podstatou DNS protokolu. Dnešní článek je o něco více techničtější, uvádí potíže, které je nutné překonat při praktické realizaci útoku, okolnosti, za kterých došlo ke zveřejnění útoku, jaká je časová náročnost provedení takového útoku. Nový přístup ke cachepoisoningu Plán zveřejnění útoku

část 2, díl 5, str. 2 BEZPEČNÁ POČÍTAČOVÁ SÍŤ Předčasné zveřejnění útoku Za revolučním nápadem nemusí být znalec Úloha TTL při ukládání DNS záznamů sky požádal odbornou veřejnost, aby se před zveřejněním vyvarovala spekulací o podstatě této chyby. Tato žádost ale vyprovokovala studenta, který se do té doby DNS nijak nevěnoval, aby si proložil přípravu na zkoušku občasným čtením začátečnického textu DNS for dummies. Student, publikující jako Halvar Flake, popsal svůj nápad jak podvrhnout falešnou informaci do cache DNS serveru. Ve svém návrhu byl poměrně naivní, ale použil nečekaný způsob, jak obejít jednu z překážek při podvržení falešných údajů do cache serveru. Jeho nápadu se chytli znalci DNS, a za několik hodin koloval na internetu první vzorový kód pro přepsání DNS cache během několika sekund. Na příběhu zveřejnění této chyby je nejzajímavější, že s originální myšlenou přišel člověk, který se DNS protokolem profesionálně nezabývá, po přečtení začátečnického textu o principech DNS. Právě svou jednoduchostí se tato chyba podobá dalším, na první pohled zřejmým útokům na internetové protokoly, které vedly k jejich postupnému vývoji do dnešní podoby. V minulém díle aktualit byl popsán princip útoku typu cache-poisoning a použití identifikačních čísel (DNS ID) dotazů pro obranu proti němu. Podvrhnutí správného DNS ID však není jediný problém, se kterým se musí útočník potýkat. Každý DNS záznam obsahuje položku TTL (time to live), která udává dobu platnosti záznamu v cache jednotlivých serverů. Tato hodnota bývá obvykle ve dnech nebo i týdnech. Útočník může do cache serveru podvrhnout jen takové záznamy, které v ní zatím nejsou. Pro podvržení často dotazovaných a tím i pro útočníka zajímavých záznamů je tak k dispozici poměrně úzké časové okno.

BEZPEČNÁ POČÍTAČOVÁ SÍŤ Například bez glue záznamu není možné řešit situaci, kdy správce domény dom.cz pojmenuje její doménový server ns.dom.cz. Při pokusu o nalezení záznamu pro www.dom.cz je na server pro doménu cz zaslána žáčást 2, díl 5, str. 3 Flake přišel s postupem, který zajišťuje, že není třeba čekat na vypršení TTL, ale je možné přepsat záznam kdykoli. Jeho postup je založen na myšlence odesílání dotazů na jiné domény, než je doména, která je cílem útoku. Tyto jiné domény, třeba složené z náhodných znaků doplněných pořadovým číslem (abhdj001.cz, abchdj002.cz...), nemá téměř jistě napadený server ve své cache a jejich úspěšné podvržení je jen otázkou času. Druhá Flakeova myšlenka spočívala v tom, co by měla obsahovat podvržená odpověď. Flake navrhoval podvržení záznamu pro DNS server oběti (např. google.com) s adresou útočníka. Napadený server by při příštím dotazu na doménu oběti (např. www.google.com) kontaktoval server útočníka, který by mohl tazatele přesměrovat na libovolnou IP adresu. Druhá část Flakeovy myšlenky je nepoužitelná, protože dnešní DNS servery provádějí při příjmu odpovědi kontrolu zvanou bailiwick checking. Tuto kontrolu provádí dotazující se DNS server a spočívá v tom, že z dotazovaného serveru přijme jen takovou odpověď, za kterou je dotazovaný server zodpovědný (bailiwick = je jeho písečkem). Tyto kontroly jsou v DNS serverech už řadu let, ale začátečnický text, z nějž Flake čerpal, takovéto detaily nezmiňuje. Kaminsky pro podstrčení falešné informace zvolil jiný způsob, který dovoluje do odpovědi uvést adresu DNS serveru, a to pomocí tzv. glue záznamu. Tento druh DNS záznamů slouží pro urychlení některých operací s DNS a pro řešení některých dalších případů. Flakeův útok a jeho nedostatky Ochrana pomocí bailiwick checking Úloha glue záznamů v DNS

část 2, díl 5, str. 4 BEZPEČNÁ POČÍTAČOVÁ SÍŤ Na jeden DNS dotaz může být více odpovědí Kaminského útok - příklad dost o zjištění jména doménového serveru domény dom.cz. Server dodá jméno - ns.dom.cz. Pro zkontaktování serveru je ale nutné znát jeho IP adresu, která je uvedena v DNS záznamu pro doménu dom.cz, a tyto záznamy jsou uloženy na serveru ns.dom.cz... Vzniká nekonečná smyčka, obdoba situace: Jaké má Jirka číslo? Nevím, zavolej mu a zeptej se. Vytvoření takové smyčky je možné zabránit pomocí glue záznamu. Glue záznam je záznam obsahující IP adresu doménového serveru a bývá uváděn na stejném serveru, na kterém je veden záznam o doménovém serveru. V odpovědi na dotaz jsou potom odesílány dva druhy záznamů - jeden je jménem doménového serveru a druhý s jeho IP adresou. Odeslat v rámci odpovědi na dotaz více záznamů je běžná praxe, jejímž cílem je snížit vytížení DNS serveru. Odpovědi na DNS dotazy bývají krátké, a proto není problém je rozšířit o další záznamy, které má odpovídající server o dotazované doméně, a rovnou tak odpovědět na další dotazy, jenž by mohl tazatel poslat. Mezi přidávané informace patří informace o autoritativním serveru pro doménu a pak různé další, kam paří popsané glue záznamy. Kaminsky použil pro svůj útok kombinaci výše uvedených technik. Následující příklad shrnuje postup, jak by probíhal útok, při kterém by útočník přesvědčil doménový server poskytovatele internetového připojení ns.provider.cz, že bankovní server www.banka.cz nemá IP adresu 1.1.1.1, ale 2.2.2.2. Uživatelé tohoto providera by se místo ke své bance připojovali na stránky útočníka. 1. Útočník zasílá na server ns.provider.cz postupně dotazy na jména: blabol001.banka.cz, blabol002.banka.cz.

BEZPEČNÁ POČÍTAČOVÁ SÍŤ část 2, díl 5, str. 5 2a. Útočník zasílá na server ns.provider.cz odpovědi na své dotazy. Odpovědí zasílá vždy několik s různým DNS ID. Odpovědí nemusí být mnoho, protože útočník nemusí uspět hned napoprvé, může si vymyslet libovolný počet jmen, na která se bude ptát. Odpovědi obsahují záznam se jménem NS serveru pro doménu banka.cz a glue záznam uvádějící, že IP tohoto serveru je 2.2.2.2. 2b. Souběžně posílá odpovědi na dotazy i doménový server banky. Jakmile jednou útočník trefí DNS ID a pošle svou odpověď dříve než doménový server banky, přestanou dotazy z ns.provieder.cz chodit. 3. Server ns.provider.cz začne přeposílat dotazy pro doménu banka.cz na podvrženou IP adresu 2.2.2.2. Podle Kaminského výsledků je možné provést takový útok za několik sekund. Navrhovaná obrana zmiňovaná už v minulém článku spočívající v randomizaci zdrojového portu tento útok značně znesnadňuje a prodlužuje. V laboratorních podmínkách na lokální síti se ho podařilo provést za 10 hodin. Pro rychlé připojení k internetu s kapacitou okolo 50 Mb za sekundu je po útoku trvajícím dvacet čtyři hodin odhadována pravděpodobnost úspěšného podvržení informace na zhruba šedesát pět procent. Při takovém útoku by bylo nutné odeslat téměř půl terabajtu dat, což je množství dat, které by na cílovém serveru pravděpodobně neuniklo pozornosti. Útok tohoto typu je možné vést nejen na servery, které jsou přímo dostupné z internetu, ale i na servery ukryté ve vnitřních sítích. Tyto servery je možné ovlivnit pomocí stránek, po kterých brouzdají uživatelé vnitřní Proveditelnost a obrana Rizika aproveditelnost v lokální síti

část 2, díl 5, str. 6 BEZPEČNÁ POČÍTAČOVÁ SÍŤ sítě. Ale mnohem praktičtější může být útok na tyto servery prostřednictvím poštovního systému, kdy DNS adresy v obálce emailu ověřuje server sám přímo a nebo prostřednictvím antispamových a antivirových řešení. Dalším rizikem pro lokální sítě je používání překladu IP adres a portů (NAT). Použití randomizace zdrojového portu zvyšuje náročnost tohoto útoku typu cache-poisoning tím, že je nutné zkoušet různé hodnoty DNS ID v kombinaci s číslem odchozího portu. Čísel odchozích portů může být řádově šedesát pět tisíc, ale v kombinaci s překladem IP adres často dochází k omezení tohoto rozsahu na pouhých několik tisíc možností.

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář