Tűzfal szállítók ütközés a DNS-probléma megoldásához

Közel egy hónappal az Internet Domain Name System egyik kritikus hibája után először jelentették be, hogy a legszélesebb körben használt tűzfal szoftverek forgalmazói megpróbálnak megoldani egy olyan problémát, amely lényegében visszavonja a hibák megoldására szolgáló javítások egy részét.

A DNS-hiba számos gyártó, köztük a Microsoft, a Cisco Systems és az Internet Systems Consortium által gyártott kiszolgálószoftvert érinti.

Néhány tűzfalszoftver visszavonja a DNS-javításokba bevezetett forrásport-véletlenszerű funkciót. Bár ez a változás nem zárja ki teljesen a DNS-javítást, a támadók könnyebbé tehetik a DNS-kiszolgálóval szembeni gyorsítótár-mérgezési támadást.

[További olvasmány:

Az ilyen DNS-kiszolgálók felhasználóinak gyakorlatilag észrevehetetlen adathalászati ​​támadásokhoz vezethet.

IP címek (Internet Protocol) címfordítást végző tűzfalak - a számítógépek belsõ hálózatain használt IP-címek IP-címekké konvertálása amelyeket a többi számítógép használ az interneten - néha visszavonja a forrás portok randomizációját, a biztonsági szakértők szerint.

A probléma hatóköre meglepő módon DNS-szakértőket vett fel, mondta Dan Kaminsky, az IOActive kutató, aki először fedezte fel a DNS-hiba. "Ez valamilyen mértékben a mi hibánk," mondta egy e-mail interjúban. "Alig becsültük meg a DNS-kiszolgálók előtt telepített tűzfalak számát."

"A Cisco, a Juniper, a Citrix és számos más tűzfal-forgalmazó teljesen megpróbálta frissíteni berendezéseiket" - tette hozzá.

Ezek a gyártók azt mondják, hogy még mindig hetek lehetnek, mielőtt az összes termék rögzítésre kerülne.

Szerdán a Cisco frissítette biztonsági tanácsadóját a DNS-problémáról, hogy az ügyfelek útmutatást nyújtsanak a probléma megoldásához. Termékbiztonsági Incident Response Team. A probléma a Cisco ügyfeleket érinti, akik a tűzfalat használják a portok fordítása (PAT), mondta. "Ha PAT tűzfalunk van, a legjobb, ha megnézheted a dokumentumunkat, megértheted, hogyan van beállítva a hálózatunk, és ha szükséges a javított javítás, akkor telepítse a javítást."

Az átmeneti hálózat a rendszergazdák továbbadhatják DNS-lekérdezéseiket azoknak a kiszolgálóknak, akiknek a portcímeit nem fordítják le, vagy egyszerűen újrakonfigurálják a tűzfalat. "

A Juniper Networks várakozásai szerint a következő hetekben véletlenszerű forrásportot kínál termékei számára, mondta Cindy Ta, a Juniper szóvivője, e-mailben.

Azonban nem minden tűzfal-forgalmazó érintett. A Check Point Software például azt állítja, hogy tűzfalai nem rendelkeznek ezzel a problémával.

Kaminsky DNS-hibája olyan termékek széles választékát érinti, hogy nem meglepő, hogy némi hiba történt a javítás folyamatában. A hét elején a DNS-szakértők arról számoltak be, hogy az általuk létrehozott patch lassította a teljesítményt néhány nagy forgalmú szerveren - azok, amelyek másodpercenként több mint 10 000 lekérdezéssel érintettek. Pénteken a biztonsági szállító nCircle arról számolt be, hogy az Apple javítása a DNS-probléma miatt nem működött megfelelően.

Az Internet Systems Consortium elnöke, Paul Vixie a portfordítás problémáját "nagy ügynek" hívja, de azt mondta, hogy a korai szkepticizmus ellenére a felhasználók kezdve megérteni a helyzet súlyosságát. Amikor Kaminsky először megvitatta a problémát, néhány biztonsági szakértő azt mondta, hogy a probléma egyszerűen csak egy ismert probléma.

De miután a hibát véletlenül nyilvánosságra hozták a múlt héten, néhány szkeptikus megváltoztatta a dallamot. továbbra is rendetlenség "- mondta e-mailben. "De legalább nincs több denier ott, akik a vizet" túlfoszlott, nem sürgető "üzenettel muddosítják."

(PC World Will Schultz hozzájárult ehhez a történethez.)