stangallaoppna

Stäng alla öppna namnservrar

Anne-Marie Eklund Löwinder, Kvalitets- och säkerhetschef på .SE
2009-06-18 Säkerhet 2

Här kommer en utmaning till er som ansvarar för driften av namnservrarna för er domän. Se till att stänga alla öppna rekursiva namnservrar. En öppen rekursiv namnserver svarar inte bara på frågor som den själv är ansvarig för, till exempel från sitt lokala nätverk (som den borde) utan går också vidare och frågar andra namnservrar för att ta reda på svaret. Frågandet är arbetskrävande (tar datorkapacitet i anspråk) och kan även resultera i relativt stora mängder data, vilket gör att man i normalfallet vill begränsa vem som får använda funktionen rekursion.

Den som tar emot svaret utgör målet för attacken

En server som är öppen för rekursion kan också komma att utnyttjas i en Denial of Service-attack, eller överbelastningsattack. Det går till så att den rekursiva namnservern som får en DNS-fråga svarar till den dator som förmodas ha ställt frågan. Tricket är förstås att den dator som tar emot svaret i själva verket utgör målet för attacken, det var inte den som ställde frågan. Adressen som frågan påstås komma från är förfalskad (det som i engelskan kallas för spoofing).

Det är enkelt att stänga av en rekursiv resolver

Namnservrar ska alltså inte svara på rekursiva frågor om din domän från vem som helst. Öppna rekursiva namnservrar utgör en allvarlig risk och är ett problem för Internet som helhet och har mycket få legitima användningsområden. Skulle operatörerna filtrera på avsändaradresser så skulle vi inte behöva oroa oss för alla öppna rekursiva resolvrar. Men eftersom sådan filtrering är relativt svår och kostsam att införa, så kommer det att ta tid, och under tiden måste vi försöka göra vad vi kan tills dess att operatörerna har klarat av att åtgärda grundproblemet. Att stänga en rekursiv resolver är en enkel uppgift som det är värt att göra då det hjälper till att lindra de problem som uppstår vid överbelastningsattacker.

2008 var 22% öppna – ser fram emot 0 procent

Det enklaste sättet att stänga en rekursiv resolver är att lägga till en rad i konfigurationsfilen. Vid de undersökningar om Hälsoläget i .SE som jag har ansvarat för de senaste två åren, kan vi glädjande nog se att det sker en förbättring. 2007 var hela 40 procent av de undersökta namnservrarna öppet rekursiva, 2008 var den siffran glädjande nog mycket lägre och hade sjunkit till 22 procent. Jag hoppas innerligt att den trenden fortsätter!

Slutligen, ett tips till IT-chefen på Myndigheten för samhällsskydd och beredskap: Om du vill veta om ni har resolvrar som är öppna för rekursion så kan du testa det på Kaminskybuggen. Det är fritt att testa för alla er andra också. Vid Internetdagarna i höst kommer vi att redovisa Hälsoläget 2009, då vill jag att siffran ska ha närmat sig 0 procent. Det är utmaningen som ni borde anta.

Etiketter för artikeln

, , ,

Lyssna på texten

Klicka här för att lyssna på texten.

Lämna en kommentar

Svara på en kommentar

obligatoriskt

obligatoriskt

frivilligt

Om du vill ha en personlig visningsbild intill din kommentar kan du fixa en sådan på gravatar.com. Gratis och enkelt.

Kommentarer

  • Jonas B. 2009-06-18, klockan 12:16

    Borde ni inte först höra av er till projekt som opendns(.com) som har gigantiska öppna resolvrar? De utökar dessutom sin tjänst med fler och fler servrar. Det torde vara ett mycket större problem eftersom de är kraftfulla och håller hög profil.

    Det finns mängder med legitima användningsområden av en egen resolver. Min ISPs DNS kanske är väldigt långsam, eller så har jag egna testzoner jag vill kunna komma åt från mina datorer. Att avråda från detta borde därför kräva att anledningen är viktig.

    Men DNS är bara en av de tjänster som kan missbrukas vid DoS, allt UDP-baserat där svaren är större än frågorna är aktuellt. Att lyckas bli av med dessa frågor gör bara att den som vill utföra en attack väljer ett annat protokoll. Lösningen är alltså att se till att ISPer snarast inför avsändaradressfiltrering. Oavsett om det är svårt är det det enda som löser problemet.

    Något annat är att slänga ut barnet med badvattnet, enligt min ringa mening.

    Svara
    • Patrik Wallström 2009-07-04, klockan 23:34

      OpenDNS är faktiskt något så ovanligt som kompetenta resolver-operatörer. Jag inbillar mig efter det jag har hört att de faktiskt kan sköta olika former av abuse.

      Att ha en egen resolver är helt ok – men det finns väldigt få legitima användningsområden är att de ska vara öppna för allmänheten. Din beskrivning av testzoner känner jag inte igen – och om jag funderar lite kring det finns det nog mängder av sätt att sköta det på sätt som inte hjälper folk som vill använda DNS till DoS.

      Avsändaradressfiltrering är något som låter lätt, men om man är en stor ISP (säg t.ex. Telia) så är det inte helt enkelt, därför att det finns så enormt många adressblock att hantera – och dessutom multihoming och annat som ställer till det.

      Jag tror att den absoluta majoriteten av öppna resolvrar på nätet är det helt oavsiktligt, och det är de vi jobbar för att rätta till.

      Svara

Bloggat om artikeln

Ingen har bloggat om artikeln ännu