Önemli Bir DNS Açığı Daha..

31 Temmuz 2009

dns açığı

Son yıllarda interneti geniş çapta etkileyebilecek önemli güvenlik açıkları ortaya çıkıyor. Bunlardan sonuncusu da yeni duyurulan bir DNS açığı. Konuyla ilgili Huzeyfe Önal'ın makalesini paylaşmak istiyorum.

Internetin Sonu mu Geldi?

Internetin çalışması için gerekli en temel protokollerden birisi DNS’dir. DNS domain isimleriyle ip adresleri arasında çözümleme yaparak bizleri ulaşmak istediğimiz sitelere/sistemlere kolaylıkla ulaştırır. Bir nevi arkadaşlarımızın cep telefon numaralarını ezberlemek yerine adres defteri kullanmak gibi.

DNS çalışmadığı zaman ne olur?

E-posta sistemi çalışmaz, web sayfalarına isimlerini kullanarak (www.google.com gibi) girişler imkansız hale gelir, kısacası internet durur.

DNS Sunucu Yazılımları

DNS hizmeti veren çeşitli sunucu yazılımlar bulunmaktadır. ISC Bind, DjbDNS, Maradns, Microsoft DNS yazılımları bunlara örnektir. Bu yazılımlar arasında en yoğun kullanıma sahip olanı ISC Bind’dır. Internetin %80 lik gibi büyük bir kısmı Bind dns yazılımı kullanmaktadır.

DOS Atakları

DOS(Denial Of Service) hizmet dışı bırakma saldırısıdır. Bir servis DOS’a maruz kalırsa çalışmaz, bir network DOS’a maruz kalırsa ulaşılamaz. DOS saldırıları risk açısından sınıflandırıldığında acil kategorisinde yer alır.

BIND 9 Dynamic Update DoS Zaafiyeti

28/07/2009 tarihinde ISC Bind yazılım geliştiricileri tüm Bind 9 sürümlerini etkileyen acil bir güvenlik zaafiyeti duyurdular. Duyuruya göre eğer DNS sunucunuz Bind9 çalıştırıyorsa ve üzerinde en az bir tane yetkili kayıt varsa bu açıklıktan etkileniyor demektir.

Aslında bu bind 9 çalıştıran tüm dns sunucularını etkiler anlamına geliyor. Bunun nedeni dns sunucunuz sadece caching yapıyorsa bile üzerinde localhost için girilmiş kayıtlar bulunacaktır ve açıklık bu kayıtları değerlendirerek sisteminizi devre dışı bırakabilir.

Güvenlik Açığı Nasıl Çalışıyor?

Açıklık dns sunucunuzdaki ilgili zone tanımı(mesela:www.lifeoverip.net) için gönderilen özel hazırlanmış dynamic dns update paketlerini düzgün işleyememesinden kaynaklanıyor.

Açıklığın sonucu olarak dns servisi veren named prosesi duruyor. Yani DNS hizmeti veremez hale geliyorsunuz.

Açıklıktan Korunma Yolları:

Güncelleme: Açıklığı gideren yeni sürüm bind paketleri yayınlandı. Güncelleme yaparak bu açıklıktan korunabilirsiniz. Aşağıdaki adresler güncel bind paketlerine ait.

http://ftp.isc.org/isc/bind9/9.6.1-P1/bind-9.6.1-P1.tar.gz
http://ftp.isc.org/isc/bind9/9.5.1-P3/bind-9.5.1-P3.tar.gz
http://ftp.isc.org/isc/bind9/9.4.3-P3/bind-9.4.3-P3.tar.gz

Güvenlik Duvarı/IPS: Güvenlik duvarı ya da Intrusion Prevention System üzerinden dns sunucularıan gelen nsupdate mesajlarını engelleyerek açıktan korunabilirsiniz.

Linux Iptables ile engelleme: Aşağıda yazan iptables kuralı ile açıklığı network seviyesinde engelleyebilirsiniz(kural denenmemiştir, debian tartışma listesinden alıntıdır).

#iptables -A INPUT -p udp –dport 53 -j DROP -m u32 –u32 ‘30>>27&0xF=5′

Kötü senaryo: DNS UDP üzerinden çalışıyor, bu açıklığın exploiti de internette dolaşıyor. Hayata küsmüş kötü niyetli bir hacker internetin çalışmasını birkaç yüz paketle sekteye uğratabilir ve dns paketlerinde rahatlıkla ip spoofing yapılabileceği için kimin yaptığı da bulunamaz.

Açıklık ile ilgili detay bilgiler: www.isc.org/node/474
Yazar: Huzeyfe Önal

Açıklama: ISC Bind yazılım ekibi tarafından duyurulan açıklığa göre, Bind 9.X Dns sunucusunu hedef alan yetkisiz herhangi bir kullanıcı bu zaafiyeti kullanarak Dns servisine DOS (denial-of-service attack) saldırısı gerçekleştirerek, DNS servisinin durmasına sebep olmaktadır. Saldırı Dns sunucusunda bulunan zone için özel hazırlanmış dinamik dns güncelleme paketlerinin sisteme gönderilmesi ile meydana gelmektedir. Özellikle ilgili saldırı için hazırlanmış kötü amaçlı yazılımların herkes tarafından erişilebilir olmasından ötürü gerekli önlemler bir an önce alınmalıdır.
Etkilenen Sistemler: Ubuntu, Sun Solaris, Slackware, SUSE, rPath, Redhat, Fedora, OpenBSD, Mandrake, ISC Bind, Debian gibi Linux işletim sistemleri

İlgili Yazılar:
Google'dan DNS Hizmeti
İnternette Büyük DNS Açığı Giderildi
DNS Ayarlarına Dikkat!
DNS Ayarları ve Yasaklanan Sitelere Erişim..

0 yorum var.. (Yorum Oku - Yorum Ekle):

Yorum Gönder

-> "Anonim" seçeneğiyle isim vermeden yorum yazılabilir.
-> "Adı/URL" seçeneğiyle sadece isim verilerek de yorum eklenebilir.
-> Yorum yazarken anlaşılır olmaya ve Türkçe yazım kurallarına uymaya çalışınız!

YUKARI