He estado leyendo sobre el error de DNS de Kaminsky, tratando de comprender mejor cómo funciona. Creo que tengo la esencia, pero Dan menciona bailiwicks, que se utilizan para apuntar a servidores DNS detrás de firewalls.
¿Alguien puede explicar qué es una bailiwick y dar un ejemplo de cómo se utiliza para apuntar a servidores detrás de firewalls para explotar el error kaminsky?
Respuesta1
Bailía
El diario de Linuxartículoesoehtyarpublicado tiene una explicación bastante buena de qué es una bailía y cómo se relaciona con el DNS. Básicamente, se agregan registros adicionales a una respuesta DNS para ayudar a encontrar servidores DNS delegados. Para citar el ejemplo del artículo:
$ dig @ns1.example.com www.example.com
;; ANSWER SECTION:
www.example.com. 120 IN A 192.168.1.10
;; AUTHORITY SECTION:
example.com. 86400 IN NS ns1.example.com.
example.com. 86400 IN NS ns2.example.com.
;; ADDITIONAL SECTION:
ns1.example.com. 604800 IN A 192.168.2.20
ns2.example.com. 604800 IN A 192.168.3.30
Ataque
Los detalles sobre el ataque están en el libro de Dan.diapositivas(ver diapositivas 24/25). Para atacar un servidor detrás de un firewall:
1.badguy.comSe activa una búsqueda de un subdominio de un dominio que controla el atacante (por ejemplo, ' ').- El servidor atacante responde con un registro CNAME para el dominio que intenta envenenar (por ejemplo, '
debian.org'). Esto provoca una consulta DNS del destino a 'debian.org'. - Tan pronto como el servidor atacante envía la referencia CNAME, comienza a transmitir respuestas DNS falsificadas que incluyen una respuesta adicional (por ejemplo, '
security.debian.org' apuntando a la dirección IP de 'badguy.com'). - Si el ID de transacción en la respuesta se adivina correctamente, el servidor detrás del firewall ahora piensa que "
security.debian.orgse resuelve en la dirección del malo".
Hay muchas formas de hacer que el servidor detrás del firewall busque una dirección IP, solicitudes de clientes internos, resuelva direcciones IP en los registros del servidor, etc.bortzmeyermenciona que el firewall es en gran medida irrelevante en este ataque.
Respuesta2
Como menciona Mark Johnson, la autoridad de un servidor DNS es el conjunto de dominios para los que tiene autoridad. En un momento, los servidores de nombres recursivos aceptaban datos fuera de la jurisdicción de servidores de nombres autorizados. Entonces, el servidor de nombres autorizado para foo.example podría agregar datos adicionales en su respuesta indicando la dirección IP de www.bar.example y se le creyó. Esta fue la base de laAtaque de Kashpureff. Desde hace mucho tiempo, los servidores de nombres ya no creen en los datos fuera de la bailía, según las instrucciones deRFC 2181, sección 5.4.1.
El ataque de Kaminsky nonoutiliza datos fuera de la bailía y, por lo tanto, también trabajó con servidores de nombres recientes. El Diario de LinuxEl artículo mencionado por Luke Quinane lo explica muy bien (pero el resto de la publicación de Luke Quinane, especialmente sobre firewalls, es cuestionable).
En cuanto a los cortafuegos, se trata principalmente de un problema no relacionado. Si un servidor de nombres quiere recibir respuestas a sus consultas, tiene que ser accesible, por lo que no importa si tiene o no un firewall delante: el ataque Kaminsky sólo necesita un canal, el DNS.
Dado que el ataque Kaminsky se produce en el servidor de nombres que utilizarán las máquinas cliente, no importa si estas máquinas están protegidas o no por el firewall. (Un buen ejemplo de por qué un firewall no es un dispositivo mágico y no lo protege todo).