Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 25 reacties

Veel dns-servers zijn nog altijd vatbaar voor aanvallen. Onderzoekers hebben vastgesteld dat de meeste servers niet goed geconfigureerd zijn, al neemt het gebruik van het Sender Policy Framework gestaag toe.

Uit onderzoek van The Measurement Factory en Infoblox blijkt dat het aantal dns-servers nog altijd groeit, maar dat veel van deze servers 'recursion' en willekeurige zone transfers toestaan. Volgens Cricket Liu, vice-president bij Infoblox en auteur van diverse boeken over dns en bind, schuilt hierin een gevaar.

Voor het onderzoek, dat nu voor de derde keer is uitgevoerd, hebben de onderzoekers gekeken naar bijna tachtig miljoen ipv4-adressen. Meer dan de helft van de onderzochte name servers stond recursive queries toe. Dit kan dns-servers volgens Liu vatbaar maken voor pharming-aanvallen en gebruikt worden om dos-aanvallen uit te voeren. Opmerkelijk is dat er bijna geen gebruik wordt gemaakt van Dnssec, waarmee de integriteit van dns-servers kan worden gewaarborgd. Slechts 0,002 procent van alle servers ondersteunt dit protocol.

Het aantal publiek benaderbare dns-servers is inmiddels gestegen tot 11,5 miljoen, schatten de onderzoekers. Vorig jaar waren dit er nog ongeveer negen miljoen, terwijl er in 2005 nog 7,5 miljoen werden geteld. Het gebruik van Bind9, de meest gebruikte dns-serversoftware, is met 4 procentpunt gestegen tot 65 procent en de ondersteuning voor het Sender Policy Framework is meer dan verdubbeld tot 12,6 procent.

Het toch al marginale gebruik van Microsofts DNS Server is, tot opluchting van Bind-voorstander Liu, opnieuw gedaald. Nadat het gebruik van deze dns-serversoftware in 2005 al halveerde tot 5 procent, is dit in 2007 verder gedaald tot 2,7 procent. 'Voor de algehele veiligheid van internet is het goed om te zien dat er van Microsoft DNS Servers wordt afgestapt en dat steeds vaker een recente versie van Bind wordt gebruikt', aldus Liu.

Moderatie-faq Wijzig weergave

Reacties (25)

Wat is precies de reden dat Microsoft DNS Servers niet goed zouden zijn voor de veiligheid van internet?
Zijn die extra vatbaar voor aanvallen? En zoja, waarom?

Microsoft DNS Servers in een DMZ zouden toch niet zo'n groot risico mogen zijn, mits goed geconfigureerd (dus alleen extern bereikbare adressen erin en niet de interne domainnamen etc.... )
Ik denk dat ze vooral doelen op de vatbaarheid van MS DNS servers voor Cache poisoning waardoor DNS informatie werd gecorrumpeerd. Met de laatste service packs voor Win2K en WIn2K3 zou dit echter al een stuk minder moeten zijn...
De reden is dat de DNS server van Microsoft op Bind4 gebaseerd is. Deze is heel oud en wordt niet meer support. Na deze versie zijn bind8 en momenteel bind9 uitgekomen.

http://secunia.com/product/740/?task=statistics_2005
Dat iets ergens in den beginne op is gebaseerd wil niet zeggen dat het zich compleet gedraagd als het verouderde Bind 4. De ontwikkeling aan de MS DNS server heeft natuurlijk ook niet stil gelegen. Dat MS DNS gebaseerd is op Bind4 is overigens iets wat vaak is beweerd maar waar ik nog nooit echt een goede bronvermelding van heb gezien.

Wikipedia stelt dat MS DNS gebaseerd zou zijn (in het begin) op Bind 4.3. De bekende DNS gerelateerde site Men and Mice zegt vervolgens het volgende:
What version of BIND is the Microsoft DNS Server equivalent to?
Answered Wed, 25 Sep 2002

> Which version of BIND is Windows 2000's Dns equivalent to please?

None of them, actually. The Microsoft DNS Server isn't based on BIND at all

[Reactie gewijzigd door Bor op 20 november 2007 20:12]

Daarnaast is Bind9 een complete rewrite van de Buggy Internet Name Daemon geweest. Als MS DNS op Bind4 gebaseerd is kan je wel nagaan hoeveel pleisters daarop toegepast zijn om het een beetje "veilig" te maken.
Buggy Internet Name Daemon
Humor, en toch leuk! :)

voor de enkele niet-kenners onder ons: het is Berkeley Internet Name Domain
Correctie. Hoeveel pleisters er nog op toegepast moeten worden. :+
Wat de inhoudelijke reden is waarom juist de Microsoft DNS Server niet zou werken weet ik niet, maar ik heb wel een meer algemene opmerking over de mogelijk oorzaak. Volgens mij heeft het iets met de complexiteit van dat soort producten te maken, de snelheid waarin ze elkaar opvolgen, de gemiddelde duur van één dienstverband en het nimmer oneindig bevattingsvermogen van de mens die het in dat korte tijdsbestek een beetje onder controle moet zien te krijgen.

In ben redelijk met mezelf ingenomen als het er om gaat wat ik in de afgelopen dertig jaar aan kennis bij elkaar gesprokkeld heb, maar gisteravond ben ik toevallig weer eens met zo iets simpels bezig geweest als de firewall van Vista ook in uitgaande richting een beetje aan de praat te krijgen. Je raakt geimponeerd door de mogelijkheden en de veelomvattenheid, maar aan het eind van de avond bekroop me toch iets van spijt dat ik destijds niet voor een beroep in de muziek heb gekozen. Hoe het ondertussen met de veiligheid van m'n firewall gesteld is heb ik geen flauw idee van. Als er hier iemand aanwezig is die het wel voor 100% onder controle denkt te hebben mag hij zich graag melden.

Of zoals Freek de Jonge ooit als eens zei: "De waarheid kan nooit groter zijn dan het verstand waar het doorheen moet."
We gaan wel erg off-topic met het hele firewallverhaal
De Windows (Vista) firewall kan ik niet warm of koud van worden. Complex en veelomvattend vind ik hem in ieder geval zeker niet. Hij doet wat hij moet doen, maar ik zou hem zeker niet gebruiken om een heel netwerk te laten firewallen, daar heeft hij simpelweg te weinig opties voor. PF (Packet Filter), iptables of een firewall appliance (die ook vrijwel altijd op BSD- of Linux-varianten draaien) kun je daarentegen veel preciezer mee werken.

De les die ik iedereen mee wil geven : probeer zo veel mogelijk the best tool for the job te gebruiken. Objectieve resultaten draait het immers om in het (zaken)leven. ;)

[Reactie gewijzigd door Jungian op 20 november 2007 13:12]

Hij doet juist niet wat het zou moeten doen. Vanwege ongewenste effecten in een "corporate enviroment" is (na verluid na heel veel interne discussies) door Microsoft besloten de zaak "outbound" volledig open te zetten. Het gevolg is dat veel gebruikers in de veronderstelling verkeren dat zij door een firewall beschermd zijn terwijl zij nooit en te nimmer een melding zullen krijgen dat er "iets" contact met de buitenwereld zoekt. En als je echt in de advanced settings duikt (alleen te bereiken via "mcc.exe") zie je dat het wel degelijk veelomvattend is en begrijp je ook waarom ze uiteindelijk het hoofd in de schoot geworpen hebben, dit deel buitenwerking te stellen en in praktische zin onbereikbaar te maken. Het gaat er mij niet om de werking Firewall van Vista hier aan de orde stellen maar het is een aardig voorbeeld hoe een veiligheidssysteem gedecimeerd wordt door een complex beheer en de praktische beperkingen van de mens daar een beetje de weg te vinden. Wat er overblijft is een veiligheidsillusie.
Binnen -> buiten is niet zo heel boeiend, aangezien je deze firewall toch niet aan de rand van je netwerk wil hangen. ;) Gooi er op de master firewall een DROP-regel tegenaan en het problem is weer opgelost 8-) Beschouw de firewall als een buffer voor noodgevallen en je ziet dat het toch wel leuk speelgoed is.
De inhoudelijke reden: MS DNS is een hele oude BIND versie. Net zoals de TCP/IP stack heeft MS vroeger veel BSD en andere open source producten en source code gebruikt alsook proprietary code overgekocht of gestolen voor hun networking en server producten (Active Directory, DHCP, DNS, TCP/IP, NetBIOS, ...) echter heeft MS eens geimplementeerd en de markt gemonopoliseerd niet veel meer gedaan noch de patches gevolgd (ze moeten elke patch herschrijven met alle gevolgen van dien) en zijn die producten dus stokoud.
Ach, BIND9 is ook niet wat het zou moeten zijn.

http://www.trusteer.com/docs/bind9dns.html
Veel dns-servers zijn nog altijd vatbaar voor aanvallen. Onderzoekers hebben vastgesteld dat de meeste servers niet goed geconfigureerd zijn, al neemt het gebruik van het Sender Policy Framework gestaag toe.


Wat het gebruik van SPF records te maken heeft met het correct configureren van een DNS-server ontgaat mij helaas... Het stukje erna heeft het over recursive-queries en zone-transfers, dit is natuurlijk wel een kenmerkend voor een al dan niet goede config.

Ik denk dat commentaren van een directeur van een concurerend product (infoblox levert mischien goede maar ook nogal dure appliances voor dns/dhcp) altijd met de nodige skepsis moeten worden bejegend.
Gelukkig, ik dacht dat ik het even verkeerd beggrepen had, maar blijkbaar is er nog iemand die de relatie van het veilig zijn van een DNS server niet aan SPF kan linken...
Een DNS server is waar het SPF record in de zonefile wordt aangemaakt. DNS software moet dit dus wel begrijpen en dat doen lang niet alle, oudere versies.
Weet iemand hoe dit zit met OpenDNS? Is dat een goed alternatief voor de DNS server van je ISP? Ondersteind OpenDNS misschien wel Dnssec?

http://www.opendns.com/
Volgens mij wil je dat niet gebruiken. OpenDNS past een soort censuur toe, waardoor sommige sites al by default geblockt worden (bv porno). Kan in sommige gevallen handig zijn, bv als je kleine kinderen hebt, maar ik denk niet dat bezoekers van t.net er blij van worden. Bovendien houden ze ook stats bij, kan nooit goed zijn voor je privacy, weet jij veel wat ze met jouw dns gegevens doen?
Je zou een kijkje kunnen nemen naar DJBDNS (http://www.tinydns.org/). Dit is een zeer goed alternatief voor Bind geschreven door Bernstein.
als MS DNS een afstammeling van bind4 is mogen ze de source wel eens gaan vrij geven.
Dat hoeft dus niet met BSD licenties. Dat is een van de redenen dat ik zelf nooit iets onder een BSD licentie uit zou brengen: commerciële bedrijven als MS kunnen gewoon jouw code pikken voor hun eigen winstbejag, zonder iets terug te hoeven doen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True