Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2019/01/25

Garrantzia: Kritikoa

Kaltetutako baliabideak:

• DNS bereizmeneko operadoreen kasuan, ondoko DNS resolver-en bertsioen aurrekoak daude kaltetuta:
  • BIND 9.13.3 (garapena) eta 9.14.0 (produkzioa)
  • PowerDNS Recursor 4.2.0
  • Unbound 1.9.0
• DNS zerbitzarien operadoreen kasuan, domeinua kalteturik dagoen egiazta daiteke froga egiteko inprimakiaren bitartez.
• Testaren emaitza xehe bat lortu nahi baduzu, ednscomp tresna erabil dezakezu (bere iturburu kodea ere eskuragarri dago), eta horren emaitzak ondokoak izan daitezke:
  • OK: domeinua ez dago kaltetuta.
  • Bateragarria: domeinuak arazo batzuk ditu, baina DNS Flag Day ez da kaltetua izango.
  • High latency: domeinua ebazten saiatzean timeout-ak jasango ditu.
  • Dead: domeinuak ez du funtzionatuko.
  • Gainera, ednscomp tresnak bi modu ditu:
    • Permissive: DNS Flag Day baino lehenagoko egoerarako modua.
    • Strict: DNS Flag Day-ren ondorenerako.
• Era berean, posible da EDNS bateragarritasuna egiaztatzea DIG komandoaren bidez ondoko frogak eginez. Informazio gehiago ondoko loturan eskura daiteke:
  • dig norec noedns soa zone @server
  • dig norec edns=0 soa zone @server
  • dig norec edns=100 noednsneg soa zone @server
  • dig norec ednsopt=100 soa zone @server
  • dig norec ednsflags=0x80 soa zone @server
  • dig norec dnssec soa zone @server
  • dig norec dnssec bufsize=512 ignore dnskey zone @server
  • dig norec edns=100 noednsneg ednsopt=100 soa zone @server

Azalpena:

DNS errekurtsiboetarako lau software hornitzaile garrantzitsuek (Bind, Unbound, PowerDNS eta Knot) beren sistemen bertsio berrien merkaturatze bateratua egingo dute, ezaugarri berdin batekin: behin-behineko partxe historikoen amaiera, aginpidezko DNS zerbitzarietan estandarraren praktika desegoki batzuk ahalmentzen zituztenak. Aldaketa horrekin, EDNS estandarra betetzen ez duten izen zerbitzariak dituzten resolver-ak pixkanaka akatsa ematen hasiko dira domeinuak ebaztean.

Konponbidea:

Aldaketa hauengatik kaltetutako izenen zerbitzarien administratzaileak bateraezintasun horiek arindu ditzake baimendutako izen zerbitzarien konfigurazioa aldatuz, eta ondoren, bere DNS softwarea eguneratuz estandarrak betetzen dituzten azken bertsio egonkorretara. Behin eguneratu ondoren, berriz egin beharko du froga. Akatsa ematen jarraitzen badu, bere firewall-aren konfigurazioa egiaztatu beharko du EDNS luzapenak, luzapen ezezagunak barne, dituzten DNS paketeak baztertu ez ditzan.

Aurrekoaz gain, ondokoa ere gomendatzen da:

• Fabrikatzailearen edo hornitzailearen segurtasun partxeak aplikatzea, hala badagokio. Fabrikatzaile batzuen informazio garrantzitsua hemen aurki daiteke:
  • Akamai
  • BlueCat
  • F5 BIG-IP
  • Juniper: Juniper SRXen aurreko bertsioek EDNS paketeak ezabatuko dituzte modu lehenetsian. Horren konponbidea da DNS manipulazioa desgaitzea # set security alg dns doctoring none komandoaren bidez. EDNS laguntzarako azken bertsioetara eguneratzea.
  • Infoblox
• EDNSen betetzea, eta bereziki gomendatzen dena da DNS cookie-ak inplementatzea (RFC 7873). Horiek eskatzen dute EDNS aukera ezezagunak ondo erabiliak izatea zerbitzari guztien aldetik.
• DNSSEC (Domain Name System Security Extensions) inplementatzea.
• Aldiro DNS zerbitzariak berrikustea.
• Gailu batean oinarritutako soluzio batera migratzea aztertzea.
• DNS soluzio batera migratzea aztertzea, aldez aurretik EDNS arazoak egiaztatuz.
• Ahal den neurrian, identifikatutako edozein arazo zuzentzea, zure software hornitzaileei laguntza teknikoa eskatuz (edo domeinuak ostatatzeko daukazun zure enpresari galdetuz) beharrezkoa denean.
• ednscomp tresnarekin berrikustea.
  • Beharbada aski izango da zure DNS zerbitzariaren softwarea azken bertsiora eguneratzea.
  • Zure enpresaren karga balantzatzaile guztiak edo DNS proxy-ak bateragarriak direla eta ondo konfiguratuta daudela egiaztatzea.
  • DNS paketeak ikuskatzen saiatzen diren firewall-ak edo bideratzaileak ondo eguneratuta dauden berrikustea.

Xehetasuna:

EDNS aukerak edo adierazleak dituzten kontsultei erantzungo lieketen 'iragaite arauak' finkatzeko 1999an zehaztutako eta 2013an eguneratutako DNSrako luzapen mekanismoek oraindik ere akatsak eta bateraezintasunak jasaten dituzte euren inplementazio batzuetan. DNS softwarearen garatzaileak saiatu dira protokoloak dituen interoperatibitate arazo horiek konpontzen, batez ere, bere EDNS luzapenean (RFC 6891 estandarra), jokabide ez estandarretarako hainbat konponbide alternatiboren bidez, 2019ko otsailaren 1ean aplikatuko direnak.

Data horretatik aurrera, estandarrarekin bat ez datozen DNS zerbitzarien domeinuek ez dute funtzionatuko eta zerbitzari horiek ebazten dituzten domeinuen online presentzia hondatu egingo da edo pixkanaka desagertu egingo da, ISPek eta beste erakunde batzuek beren erabakiak eguneratuz doazen heinean. Gainera, barneko beren DNS ebazpenak soluzio alternatiboak inplementatzen ez dituzten bertsioetara eguneratzen dituztenean, gerta liteke posta elektronikoko gune eta zerbitzari batzuek eskuragarri egoteari uztea.

Konponbide horien ondorioz sor litezkeen beste arazo batzuk honakoak dira:

• Erantzunak blokeatzen dituzten aginpidezko DNSak. DNS kontsultei ematen zaizkien erantzun motelegiak eta DNS protokoloko funtzio berriak inplementatzeko zailtasuna. Ezaugarri berri horietako batzuek (DNSren cookie-ak esate baterako) DNS protokoloaren gehiegizko erabileran oinarritutako DDoS erasoak murrizten lagunduko lukete.
• Estandarren araberakoak ez diren DNS inplementazio txarrak.
• EDNS kontsultei batere erantzuten ez dieten DNS zerbitzariak ez eskuragarri modura hartuko dira.
• Aginpidezko DNS zerbitzariek erantzunak blokeatzen dituzte, edo ez dute erantzuten, edo pakete okerrarekin erantzuten dute. Oro har, DNS inplementazio okerrek ez dituzte estandarrak aintzat hartzen. (DNS resolver-ek timeout-a itxaron behar dute eta TCPrekin edo EDNS gabe berriz saiatu).
• Gaizki inplementatutako firewall-ak edo estandarrak betetzen dituen trafikoa blokeatzen duten politika txarrak.