Aktualne łatki DNS nie chronią sieci firmowych

Post

Aktualne łatki DNS nie chronią sieci firmowych

Opublikowane dotychczas łatki, które mają chronić serwery przed tzw. atakiem Kaminsky'ego, nie oferują żadnej ochrony w przypadku konfiguracji typowej dla firm. Bramki stosowane w wielu firmach przeciwdziałają mechanizmowi bezpieczeństwa zaimplementowanemu w łatkach. To był wynik badań ZDNet.

Atak Kaminsky'ego umożliwia atakującemu zainfekowanie serwera DNS sfałszowanymi wpisami w pamięci podręcznej w ciągu kilku sekund. Wielu producentów od lata 2008 pracuje nad aktualizacją oprogramowania, która w końcu zapobiegnie temu ryzyku.

Szczególnie niebezpieczne w przypadku ataku na pamięć podręczną jest to, że zanieczyszczony serwer DNS „w dobrej wierze” dostarcza innym serwerom w światowej bazie danych nieprawidłowe wpisy. Takie ataki są szczególnie opłacalne dla phisherów: nawet jeśli niczego niepodejrzewający użytkownik ręcznie wpisze prawidłowy adres URL swojego banku, trafi na stronę phishera. Firmy, które obsługują serwery DNS w intranecie i są połączone z Internetem przez NAT, również nie oferują żadnej ochrony. Wynika to z bram internetowych na poziomie korporacyjnym, które anulują działanie poprawki.

Te wysokiej klasy komponenty ograniczają porty, za pomocą których komputer może być widoczny w Internecie, tak że pojedynczy użytkownik nie jest w stanie wykorzystać dla siebie wszystkich 65 536 dostępnych połączeń internetowych z publicznego adresu IP. Lider rynku Cisco jest również dotknięty tą niebezpieczną luką w zabezpieczeniach serwerów DNS w intranecie.

Małe firmy korzystające z routerów konsumenckich, takich jak Fritzbox, nie muszą się martwić. Logika NAT tych urządzeń nie jest wystarczająco „inteligentna”, aby stworzyć takie naruszenie bezpieczeństwa.

Użytkownicy zaawansowanych komponentów mogą również bezpiecznie obsługiwać swoje serwery DNS, ale łatanie do aktualnej wersji nie wystarczy. ZDNet przygotował szczegółowy raport, który zawiera szczegółowe zaplecze techniczne i zalecenia dotyczące działań.

Test przeprowadzony przez ZDNet pokazuje, że bramka Cisco w większości niweluje efekt poprawki DNS.

Tags
Author
Karolina Kanas

Leave a Reply