Perché i router domestici accettano il traffico DNS in entrata?

4

Mi sono imbattuto in un interessante articolo ( Link PDF ) dove i ricercatori hanno scoperto che oltre il 58% dei risolutori aperti DNS che sono stati accusati di attacchi DDoS sono in realtà router domestici distribuiti dagli ISP ai clienti. Il documento continua a scoprire il motivo del comportamento strano (anomalo) in cui questi router rispondono alle query DNS con la porta sorgente errata (non udp 53) e hanno scoperto che il problema è probabilmente causato da una regola NAT errata. p>

Penso che la ricerca sia interessante, ma quello che non riesco a capire è perché i produttori dovrebbero fare in modo che tali router domestici accettino qualsiasi tipo di traffico avviato da Internet selvaggio? So che alcuni di loro hanno la possibilità di aprire la pagina di configurazione dalla WAN ascoltando così sulla porta 80 o 443 (o qualsiasi altra porta personalizzata impostata), ma a quale giustificazione si può pensare per aprire un servizio come DNS al mondo esterno? E se questo fosse solo un effetto collaterale per qualcosa che quei produttori hanno cercato di realizzare, quale sarebbe stato? Potrebbe essere una specie di backdoor non ben configurato? e fare cosa? O mi sto perdendo qualcosa qui?!

    
posta amyassin 06.03.2015 - 23:48
fonte

1 risposta

2

I router SoHo forniscono generalmente il masquerading IP (NAT). Ciò significa che devono fornire un servizio DHCP e (poiché il DNS utilizza UDP, e quindi non può essere utilizzato attraverso il mascheramento IP), è necessario fornire anche un server DNS.

(OK, questa è una semplificazione, e questi sono requisiti derivanti principalmente dall'usabilità che potrebbero essere risolti con soluzioni tecniche più elaborate - ma agli utenti finali non piacciono le cose tecniche)

Quindi, dato che questi dispositivi devono fornire questi servizi, la domanda diventa allora perché questi servizi sono esposti sul lato Internet? La risposta breve è che richiede uno sforzo supplementare per limitare i servizi alla rete interna. Sebbene aggiungere una tale limitazione, ad esempio, a una scatola Linux o Cisco sia banale, molti di questi dispositivi utilizzano sistemi operativi proprietari scritti senza alcuna considerazione delle implicazioni sulla sicurezza (da qui finiamo con dispositivi contenenti backdoor di amministrazione hard-coded e altri tali orrori).

Anche dove aggiungere la restrizione è banale, significa comunque un costo extra di R & D. Se sei abituato a configurare i dispositivi di rete che potresti deridere - ma un passo sopra i produttori che potresti considerare semplicemente incompetenti sono quelli che implementeranno solo le funzionalità che hanno testato a fondo - e fatti correttamente quei costi possono aumentare rapidamente.

Il grande pubblico degli acquirenti sta iniziando a prendere coscienza della sicurezza come proprietà desiderabile delle apparecchiature informatiche, ma in assenza di uno standard efficace, economico e ben pubblicizzato per la sicurezza dei dispositivi, non ha basi per prendere una decisione informata in merito qualità di un dispositivo. Quindi è un mercato dei limoni .

Anche se sono d'accordo con Jeff sul fatto che il costo è un fattore importante nella catena della causalità, non direi che è la causa principale del problema qui.

    
risposta data 07.12.2016 - 15:04
fonte

Leggi altre domande sui tag