'Veel dns-systemen nog vatbaar voor aanvallen'

Veel dns-servers zijn nog altijd vatbaar voor aanvallen. Onderzoekers hebben vastgesteld dat de meeste servers niet goed geconfigureerd zijn, al neemt het gebruik van het Sender Policy Framework gestaag toe.

Uit onderzoek van The Measurement Factory en Infoblox blijkt dat het aantal dns-servers nog altijd groeit, maar dat veel van deze servers 'recursion' en willekeurige zone transfers toestaan. Volgens Cricket Liu, vice-president bij Infoblox en auteur van diverse boeken over dns en bind, schuilt hierin een gevaar.

Voor het onderzoek, dat nu voor de derde keer is uitgevoerd, hebben de onderzoekers gekeken naar bijna tachtig miljoen ipv4-adressen. Meer dan de helft van de onderzochte name servers stond recursive queries toe. Dit kan dns-servers volgens Liu vatbaar maken voor pharming-aanvallen en gebruikt worden om dos-aanvallen uit te voeren. Opmerkelijk is dat er bijna geen gebruik wordt gemaakt van Dnssec, waarmee de integriteit van dns-servers kan worden gewaarborgd. Slechts 0,002 procent van alle servers ondersteunt dit protocol.

Het aantal publiek benaderbare dns-servers is inmiddels gestegen tot 11,5 miljoen, schatten de onderzoekers. Vorig jaar waren dit er nog ongeveer negen miljoen, terwijl er in 2005 nog 7,5 miljoen werden geteld. Het gebruik van Bind9, de meest gebruikte dns-serversoftware, is met 4 procentpunt gestegen tot 65 procent en de ondersteuning voor het Sender Policy Framework is meer dan verdubbeld tot 12,6 procent.

Het toch al marginale gebruik van Microsofts DNS Server is, tot opluchting van Bind-voorstander Liu, opnieuw gedaald. Nadat het gebruik van deze dns-serversoftware in 2005 al halveerde tot 5 procent, is dit in 2007 verder gedaald tot 2,7 procent. 'Voor de algehele veiligheid van internet is het goed om te zien dat er van Microsoft DNS Servers wordt afgestapt en dat steeds vaker een recente versie van Bind wordt gebruikt', aldus Liu.

Door Wilbert de Vries

Feedback • 20-11-2007 11:42 25

20-11-2007 • 11:42

25

Lees meer

Icann: dnssec-implementatie passeert grens van 50 procent
Icann: dnssec-implementatie passeert grens van 50 procent Nieuws van 24 januari 2014
Ernstige bug in BIND 9 laat dns-servers crashen
Ernstige bug in BIND 9 laat dns-servers crashen Nieuws van 17 november 2011
ISC waarschuwt voor kwetsbaarheid in dns-software Bind 9
ISC waarschuwt voor kwetsbaarheid in dns-software Bind 9 Nieuws van 5 juli 2011
Uitrol van dnssec op root zone afgerond
Uitrol van dnssec op root zone afgerond Nieuws van 17 juli 2010
Baidu.com-domein korte tijd gekaapt door Iraanse hackers
Baidu.com-domein korte tijd gekaapt door Iraanse hackers Nieuws van 12 januari 2010
SIDN wil dnssec voor .nl-zone in augustus 2010 invoeren
SIDN wil dnssec voor .nl-zone in augustus 2010 invoeren Nieuws van 8 december 2009
VeriSign gaat dnssec-protocol invoeren op tld's
VeriSign gaat dnssec-protocol invoeren op tld's Nieuws van 17 november 2009
ISC waarschuwt voor beveiligingslek in dns-servers
ISC waarschuwt voor beveiligingslek in dns-servers Nieuws van 30 juli 2009
Hacktool legt 'kwetsbaarheid' Apache bloot
Hacktool legt 'kwetsbaarheid' Apache bloot Nieuws van 19 juni 2009
Rapport SURFnet wijst op noodzaak invoering dnssec
Rapport SURFnet wijst op noodzaak invoering dnssec Nieuws van 12 februari 2009
Nieuw patchalarm dns-servers na openbaarmaken kwetsbaarheid
Nieuw patchalarm dns-servers na openbaarmaken kwetsbaarheid Nieuws van 22 juli 2008
Snellere methode voor dns-cachevervuiling dwingt patchronde af
Snellere methode voor dns-cachevervuiling dwingt patchronde af Nieuws van 9 juli 2008
Verisign: ddos-aanvallen kunnen web platleggen
Verisign: ddos-aanvallen kunnen web platleggen Nieuws van 26 september 2007
Icann verklaart falen ddos-aanval rootservers
Icann verklaart falen ddos-aanval rootservers Nieuws van 12 maart 2007
Verisign gaat fors in rootservers investeren
Verisign gaat fors in rootservers investeren Nieuws van 14 februari 2007
Rootservers weerstaan ddos-aanval
Rootservers weerstaan ddos-aanval Nieuws van 7 februari 2007
VS willen controle over DNS-rootservers houden
VS willen controle over DNS-rootservers houden Nieuws van 1 juli 2005
Afrika krijgt zijn eerste DNS-rootserver
Afrika krijgt zijn eerste DNS-rootserver Nieuws van 4 oktober 2003
98% van de aanvragen bij DNS-rootservers is onnodig
98% van de aanvragen bij DNS-rootservers is onnodig Nieuws van 3 maart 2003
Meer producten en artikelen
Serversoftware Privacy Internet Hackers

Reacties (25)

-Moderatie-faq
25
21
8
3
0
5
Wijzig sortering

Sorteer op:

Weergave:
SunnieNL 20 november 2007 11:57
Wat is precies de reden dat Microsoft DNS Servers niet goed zouden zijn voor de veiligheid van internet?
Zijn die extra vatbaar voor aanvallen? En zoja, waarom?

Microsoft DNS Servers in een DMZ zouden toch niet zo'n groot risico mogen zijn, mits goed geconfigureerd (dus alleen extern bereikbare adressen erin en niet de interne domainnamen etc.... )
Cameleon73 @SunnieNL20 november 2007 12:21
Ik denk dat ze vooral doelen op de vatbaarheid van MS DNS servers voor Cache poisoning waardoor DNS informatie werd gecorrumpeerd. Met de laatste service packs voor Win2K en WIn2K3 zou dit echter al een stuk minder moeten zijn...
Verwijderd @SunnieNL20 november 2007 12:33
De reden is dat de DNS server van Microsoft op Bind4 gebaseerd is. Deze is heel oud en wordt niet meer support. Na deze versie zijn bind8 en momenteel bind9 uitgekomen.

http://secunia.com/product/740/?task=statistics_2005
Bor Coördinator Frontpage Admins / FP Powermod @Verwijderd20 november 2007 20:05
Dat iets ergens in den beginne op is gebaseerd wil niet zeggen dat het zich compleet gedraagd als het verouderde Bind 4. De ontwikkeling aan de MS DNS server heeft natuurlijk ook niet stil gelegen. Dat MS DNS gebaseerd is op Bind4 is overigens iets wat vaak is beweerd maar waar ik nog nooit echt een goede bronvermelding van heb gezien.

Wikipedia stelt dat MS DNS gebaseerd zou zijn (in het begin) op Bind 4.3. De bekende DNS gerelateerde site Men and Mice zegt vervolgens het volgende:
What version of BIND is the Microsoft DNS Server equivalent to?
Answered Wed, 25 Sep 2002

> Which version of BIND is Windows 2000's Dns equivalent to please?

None of them, actually. The Microsoft DNS Server isn't based on BIND at all

[Reactie gewijzigd door Bor op 22 juli 2024 17:40]

_JGC_ @Verwijderd20 november 2007 12:37
Daarnaast is Bind9 een complete rewrite van de Buggy Internet Name Daemon geweest. Als MS DNS op Bind4 gebaseerd is kan je wel nagaan hoeveel pleisters daarop toegepast zijn om het een beetje "veilig" te maken.
Pietervs @_JGC_20 november 2007 13:34
Buggy Internet Name Daemon
Humor, en toch leuk! :)

voor de enkele niet-kenners onder ons: het is Berkeley Internet Name Domain
Aetje @_JGC_20 november 2007 13:30
Correctie. Hoeveel pleisters er nog op toegepast moeten worden. :+
uflex @SunnieNL20 november 2007 12:53
Wat de inhoudelijke reden is waarom juist de Microsoft DNS Server niet zou werken weet ik niet, maar ik heb wel een meer algemene opmerking over de mogelijk oorzaak. Volgens mij heeft het iets met de complexiteit van dat soort producten te maken, de snelheid waarin ze elkaar opvolgen, de gemiddelde duur van één dienstverband en het nimmer oneindig bevattingsvermogen van de mens die het in dat korte tijdsbestek een beetje onder controle moet zien te krijgen.

In ben redelijk met mezelf ingenomen als het er om gaat wat ik in de afgelopen dertig jaar aan kennis bij elkaar gesprokkeld heb, maar gisteravond ben ik toevallig weer eens met zo iets simpels bezig geweest als de firewall van Vista ook in uitgaande richting een beetje aan de praat te krijgen. Je raakt geimponeerd door de mogelijkheden en de veelomvattenheid, maar aan het eind van de avond bekroop me toch iets van spijt dat ik destijds niet voor een beroep in de muziek heb gekozen. Hoe het ondertussen met de veiligheid van m'n firewall gesteld is heb ik geen flauw idee van. Als er hier iemand aanwezig is die het wel voor 100% onder controle denkt te hebben mag hij zich graag melden.

Of zoals Freek de Jonge ooit als eens zei: "De waarheid kan nooit groter zijn dan het verstand waar het doorheen moet."
Jungian @uflex20 november 2007 13:11
We gaan wel erg off-topic met het hele firewallverhaal
De Windows (Vista) firewall kan ik niet warm of koud van worden. Complex en veelomvattend vind ik hem in ieder geval zeker niet. Hij doet wat hij moet doen, maar ik zou hem zeker niet gebruiken om een heel netwerk te laten firewallen, daar heeft hij simpelweg te weinig opties voor. PF (Packet Filter), iptables of een firewall appliance (die ook vrijwel altijd op BSD- of Linux-varianten draaien) kun je daarentegen veel preciezer mee werken.

De les die ik iedereen mee wil geven : probeer zo veel mogelijk the best tool for the job te gebruiken. Objectieve resultaten draait het immers om in het (zaken)leven. ;)

[Reactie gewijzigd door Jungian op 22 juli 2024 17:40]

uflex @Jungian20 november 2007 14:14
Hij doet juist niet wat het zou moeten doen. Vanwege ongewenste effecten in een "corporate enviroment" is (na verluid na heel veel interne discussies) door Microsoft besloten de zaak "outbound" volledig open te zetten. Het gevolg is dat veel gebruikers in de veronderstelling verkeren dat zij door een firewall beschermd zijn terwijl zij nooit en te nimmer een melding zullen krijgen dat er "iets" contact met de buitenwereld zoekt. En als je echt in de advanced settings duikt (alleen te bereiken via "mcc.exe") zie je dat het wel degelijk veelomvattend is en begrijp je ook waarom ze uiteindelijk het hoofd in de schoot geworpen hebben, dit deel buitenwerking te stellen en in praktische zin onbereikbaar te maken. Het gaat er mij niet om de werking Firewall van Vista hier aan de orde stellen maar het is een aardig voorbeeld hoe een veiligheidssysteem gedecimeerd wordt door een complex beheer en de praktische beperkingen van de mens daar een beetje de weg te vinden. Wat er overblijft is een veiligheidsillusie.
Jungian @uflex21 november 2007 00:16
Binnen -> buiten is niet zo heel boeiend, aangezien je deze firewall toch niet aan de rand van je netwerk wil hangen. ;) Gooi er op de master firewall een DROP-regel tegenaan en het problem is weer opgelost 8-) Beschouw de firewall als een buffer voor noodgevallen en je ziet dat het toch wel leuk speelgoed is.
Guru Evi @uflex20 november 2007 14:37
De inhoudelijke reden: MS DNS is een hele oude BIND versie. Net zoals de TCP/IP stack heeft MS vroeger veel BSD en andere open source producten en source code gebruikt alsook proprietary code overgekocht of gestolen voor hun networking en server producten (Active Directory, DHCP, DNS, TCP/IP, NetBIOS, ...) echter heeft MS eens geimplementeerd en de markt gemonopoliseerd niet veel meer gedaan noch de patches gevolgd (ze moeten elke patch herschrijven met alle gevolgen van dien) en zijn die producten dus stokoud.
Verwijderd @SunnieNL20 november 2007 21:10
Ach, BIND9 is ook niet wat het zou moeten zijn.

http://www.trusteer.com/docs/bind9dns.html
goldrnr 20 november 2007 14:10
Veel dns-servers zijn nog altijd vatbaar voor aanvallen. Onderzoekers hebben vastgesteld dat de meeste servers niet goed geconfigureerd zijn, al neemt het gebruik van het Sender Policy Framework gestaag toe.


Wat het gebruik van SPF records te maken heeft met het correct configureren van een DNS-server ontgaat mij helaas... Het stukje erna heeft het over recursive-queries en zone-transfers, dit is natuurlijk wel een kenmerkend voor een al dan niet goede config.

Ik denk dat commentaren van een directeur van een concurerend product (infoblox levert mischien goede maar ook nogal dure appliances voor dns/dhcp) altijd met de nodige skepsis moeten worden bejegend.
Firefox @goldrnr20 november 2007 15:14
Gelukkig, ik dacht dat ik het even verkeerd beggrepen had, maar blijkbaar is er nog iemand die de relatie van het veilig zijn van een DNS server niet aan SPF kan linken...
pennywiser @goldrnr20 november 2007 15:54
Een DNS server is waar het SPF record in de zonefile wordt aangemaakt. DNS software moet dit dus wel begrijpen en dat doen lang niet alle, oudere versies.
Pruts0r 20 november 2007 17:03
Weet iemand hoe dit zit met OpenDNS? Is dat een goed alternatief voor de DNS server van je ISP? Ondersteind OpenDNS misschien wel Dnssec?

http://www.opendns.com/
kozue @Pruts0r21 november 2007 10:56
Volgens mij wil je dat niet gebruiken. OpenDNS past een soort censuur toe, waardoor sommige sites al by default geblockt worden (bv porno). Kan in sommige gevallen handig zijn, bv als je kleine kinderen hebt, maar ik denk niet dat bezoekers van t.net er blij van worden. Bovendien houden ze ook stats bij, kan nooit goed zijn voor je privacy, weet jij veel wat ze met jouw dns gegevens doen?
Verwijderd @Pruts0r22 november 2007 07:50
Je zou een kijkje kunnen nemen naar DJBDNS (http://www.tinydns.org/). Dit is een zeer goed alternatief voor Bind geschreven door Bernstein.
Collen 20 november 2007 22:09
als MS DNS een afstammeling van bind4 is mogen ze de source wel eens gaan vrij geven.
kozue @Collen21 november 2007 10:54
Dat hoeft dus niet met BSD licenties. Dat is een van de redenen dat ik zelf nooit iets onder een BSD licentie uit zou brengen: commerciële bedrijven als MS kunnen gewoon jouw code pikken voor hun eigen winstbejag, zonder iets terug te hoeven doen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq