Qual è il miglior antidoto per l'avvelenamento della cache DNS?

3

Conosco alcuni antidoti per gli attacchi di avvelenamento della cache DNS, entrambi semplici come randomizzazione delle porte e più complessi come DNSSEC. Ma qual è il più efficace? Quali soluzioni sono realmente implementate nei nameserver oggi?

Grazie per le risposte.

    
posta Black 07.12.2014 - 16:47
fonte

2 risposte

2

But, which is the more effective?

Affrontano problemi leggermente diversi:

  • La randomizzazione delle porte rende più difficile lo spoofing del DNS perché esiste un ulteriore segreto sconosciuto per l'attaccante (la porta) che deve corrispondere per la risposta falsificata.
  • Con DNSSec è possibile rilevare in modo affidabile se la risposta è stata falsificata.

Which solutions are really deployed in the nameservers today?

DNSSec ovunque potrebbe probabilmente rendere obsoleta la randomizzazione delle porte, ma al momento siamo lontani da un'adozione sufficiente. Per il tempo medio abbiamo bisogno di randomizzazione della porta. Ma questa non è una soluzione lato server, ma deve essere eseguita dal client (una cache DNS funziona come client quando si richiede un altro server DNS).

    
risposta data 07.12.2014 - 21:55
fonte
0

L'avvelenamento da cache si verifica più facilmente quando l'intera infrastruttura utilizza lo stesso set di risolutori ricorsivi. Per mitigare questo rischio, preferisco avere diversi resolver ricorsivi per questi ruoli:

  1. Domande dell'utente finale, navigazione Web: per tutte le workstation, o idealmente WCCP, utilizzare un'infrastruttura DNS dedicata. Per maggiore sicurezza, usa DNSSecurity come OpenDNS

  2. Domande degli utenti finali, ad eccezione della navigazione Web: l'host DNS configurato sulla workstation deve essere isolato dal resto dell'infrastruttura descritto di seguito

  3. Elaborazione e-mail e AntiSPAM - Messaggi di posta elettronica che arrivano per i record SPF e altri controlli DNS che potrebbero causare una query DNS che posiziona la cache. Per questo motivo cerco di separare l'elaborazione della posta elettronica da qualsiasi cosa un utente finale tenti di utilizzare su Internet generale.

  4. DMZ e utilità di analisi dell'intestazione nella DMZ: se la DMZ agisce su dati DNS ottenuti da terze parti non attendibili, allora si dovrebbe presumere che quei server DNS stiano probabilmente cercando di avvelenare il DNS.

  5. IDS, vasi per il miele

Perché è così importante? Immagina che un utente malintenzionato possa forzare una query DNS che si verifica sul server DNS principale semplicemente inviando un'email, connettendosi a un determinato server DNS o immettendo dati in un modulo HTML. Dato che un resolver ricorsivo interrogherà tutti i server DNS come necessario per soddisfare la richiesta, è possibile inquinare una voce cache per gli utenti di workstation ben comportati con quella query dell'infrastruttura summenzionata.

    
risposta data 08.12.2014 - 14:16
fonte

Leggi altre domande sui tag