Dodavatelé brány firewall vylepšují chybu DNS

Téměř měsíc poté, co byla poprvé hlášena kritická chyba v systému doménového jména v Internetu, se dodavatelé některých z nejpoužívanějších softwarů brány firewall snaží vyřešit problém, který může v podstatě zrušit část patchů, které tuto chybu řeší.

Vada DNS ovlivňuje serverový software mnoha dodavatelů, včetně společností Microsoft, Cisco Systems a Internet Systems Consortium.

Některé firewallové programy ruší funkci náhodného výběru zdrojového portu, který byl zaveden do patchů DNS. Zatímco tato změna zcela nezbavuje opravu DNS, mohlo by to pro útočníky ulehčovat, aby se proti DNS serveru vyhnul útoku na cache-otravu, tvrdí bezpečnostní odborníci.

[Další informace: Nejlepší krabice NAS pro streamování médií a zálohování]

To může vést k prakticky nedetekovatelným phishingovým útokům proti uživatelům těchto serverů DNS.

Firewally, které provádějí překlad adres IP (Internet Protocol) - konvertují IP adresy používané počítači v jejich interních sítích na různé adresy IP které se používají v jiných počítačích na Internetu - může někdy vrátit zpět randomizaci zdrojového portu, vysvětlují odborníci z oblasti bezpečnosti.

Rozsah tohoto problému zpočátku překvapil některé odborníky na DNS, uvedl Dan Kaminsky, výzkumný pracovník IOActive, který poprvé objevil chyba DNS. "To je do jisté míry naše chyba," řekl v e-mailovém rozhovoru. "Podcenili jsme počet firewallů, které byly nasazeny před servery DNS."

"Cisco, Juniper, Citrix a řada dalších dodavatelů brány firewall se úplně pokoušeli aktualizovat své vybavení," dodal.

Tito prodejci tvrdí, že to může být ještě několik týdnů před tím, než budou všechny produkty opraveny.

Ve středu společnost Cisco aktualizovala své bezpečnostní poradenství ohledně problému DNS a poskytla zákazníkům pokyny, jak s touto záležitostí zvládnout, uvedl Russ Smoak, ředitel společnosti Cisco Tým bezpečnosti reakce na produkt. Problém ovlivňuje zákazníky společnosti Cisco, kteří používají bránu firewall, aby provedli překlad portu adres (PAT), uvedl. "Pokud máte bránu firewall PAT, nejlépe se můžete podívat na náš dokument, pochopit, jak je nakonfigurována naše síť a pokud potřebujete opravu, která je poskytnuta, nainstalujte opravu."

V mezidobí síť správci mohou předat vyhledávání DNS na servery, jejichž porty nejsou přeloženy nebo jednoduše překonfigurovat firewall, uvedla Kaminsky.

Juniper Networks očekává, že v příštích týdnech poskytne volbu náhodného zdrojového portu pro své produkty, řekla mluvčí Juniper Cindy Ta, e-mailem.

Ovšem ne všichni dodavatelé brány firewall jsou ovlivněni. Kontrola softwaru například říká, že jeho firewally nemají tento problém.

Kaminsky DNS vada ovlivňuje tak širokou škálu produktů, že není překvapující, že došlo k nějakým závadám v procesu opravy. Na začátku tohoto týdne odborníci DNS oznámili, že záplata, kterou vytvořili, zpomalily výkon některých serverů s vysokým provozem - těch, které byly zasaženy více než 10 000 dotazů za sekundu. V pátek prodejce zabezpečení nCircle uvedl, že oprava Apple pro problém s DNS nefungovala správně.

Prezident konsorcia internetových systémů Paul Vixie nazývá problém překladu portu "velkou dohodou", ale uvedl, že navzdory časné skepse jsou uživatelé začíná pochopit vážnost situace. Když Kaminsky poprvé diskutovali o problému, někteří bezpečnostní experti prohlásili, že problém se zdá být prostě rehasem známého problému.

Ale poté, co minulý týden byla chyba neúmyslně zveřejněna, někteří skeptici změnili svou melodii. je stále nepořádek, "řekl e-mailem. "Ale přinejmenším už neexistují další deniéři, kteří tam zabalí s" nadsazeným, nikoliv naléhavým "poselstvím.

(PC World Will Schultz přispěl k tomuto příběhu.)