Quanto è grave la perdita di indirizzi IP interni tramite DNS esterno

15

Se un server DNS esterno perde gli indirizzi IP interni ci sono significative minacce alla sicurezza associate a questa perdita di informazioni?

A parte il più ovvio - acquisire una comprensione delle gamme IP interne in uso.

Cisco.com ad esempio: link

    
posta StephenG 27.06.2011 - 09:05
fonte

2 risposte

9

Probabilmente non c'è niente di male dal rivelare gli indirizzi IP interni all'interno del firewall. Mentre ci sono alcuni rischi, mi sembrano abbastanza modesti.

Ecco i rischi che riesco a vedere:

  • Raccolta di informazioni. Rivela qualcosa sugli intervalli IP interni in uso. Se un utente malintenzionato dovesse violare un sistema interno, questa informazione potrebbe rendere la vita di un aggressore un po 'più semplice, suggerendo altri sistemi interni che l'attaccante potrebbe seguire. Potrebbe anche rivelare un po 'della struttura organizzativa.

  • Attacchi CSRF. Potrebbe anche rendere gli attacchi CSRF leggermente più semplici. In un attacco CSRF, un utente all'interno del firewall visita un sito Web dannoso e il sito Web dannoso invia al browser dell'utente un documento HTML che fa sì che il browser dell'utente si connetta a un altro computer. Se il sito Web dannoso conosce l'indirizzo di un'altra macchina interna, può tentare di attivare una connessione a tale macchina interna e attaccarla (sovvertendo il firewall dell'organizzazione). Tuttavia, questi attacchi possono anche verificarsi anche senza la conoscenza di altre macchine interne (ad esempio, Javascript può essere utilizzato per portscan macchine interne), quindi mentre la conoscenza dell'indirizzo di una macchina interna può aumentare un po 'il rischio, non è essenziale per un utente malintenzionato. / p>

Sulla base di ciò, non vorrei sottolineare troppo il tentativo di impedire la fuoriuscita di indirizzi IP interni. Ci saranno probabilmente altre attività di sicurezza che fanno un uso migliore del tuo tempo e dovrebbero avere una priorità più alta.

    
risposta data 27.06.2011 - 19:27
fonte
0

Ci sono molte informazioni (inclusi collegamenti agli studi originali di CAIDA) sui DNS negativi disponibili su AS112.net

Se sai come BGP (è uno standard IETF che fa funzionare Internet instradando sistemi autonomi, o AS, attraverso un protocollo di instradamento vettoriale del percorso) e DNS (è un altro standard IETF che fa funzionare Internet permettendo ai server DNS di accedere a un'infrastruttura del server dei nomi di root) funziona, quindi capisci che ci sono operatori neutri là fuori che eseguono l'infrastruttura che fa andare avanti Internet.

Come potete vedere dalla ricerca CAIDA, i record PTR DNS RFC1918 hanno iniziato a diffondersi verso Internet a livello mondiale intorno al 1997. I root name server non potevano gestire il carico di questo traffico extra, anche con una configurazione Anycast più avanzata quando Gli annunci BGP di prefissi IPv4 più specifici / 24 sono stati utilizzati con un server dei nomi radice su un annuncio IBGP / 32.

Un intero AS è stato creato per gestire il carico extra di questo traffico, e ha anche utilizzato Anycast. Le organizzazioni stanno probabilmente sbattendo le proprie regole firewall in uscita con questo traffico DNS, influenzando anche le loro prestazioni (specialmente in enormi punti di uscita). Il sistema autonomo per questo traffico DNS negativo è AS 112. È un sito Web (e lì sono ospitate ulteriori informazioni sulla cronologia e le statistiche della crescita di questo traffico DNS negativo).

    
risposta data 27.06.2011 - 12:31
fonte

Leggi altre domande sui tag