Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
DNS как средство преодоления защиты 01.08.04 14:12
Publisher: dl <Dmitry Leonov>
|
DNS как средство преодоления защиты
CNet http://news.com.com/DNS+opens+networks+to+data+attacks/2100-1002_3-5291874.html?part=rss&tag=5291874&subj=news.1002.5
На последнем Defcon'е Дэн Камински представил доклад, посвященный передаче информации из защищенной сети с помощью даных, инкапсулированных в DNS-пакеты. Пакеты эти спокойно обходили файрволлы, поскольку выглядели вполне невинным взаимодействием DNS-серверов. Инкапсуляция пакетов одного протокола в другой давно и широко используется (достаточно вспомнить те же VPN), и, по большому счету, в качестве внешнего можно использовать любой протокол - хоть http, хоть протокол передачи данных на дискетах в архивах (лишь бы с таймаутами разобраться :). Опасность использования DNS - в том, что он есть везде, и его практически не замечают и не ограничивают. Соответственно, прозвучал призыв к системным администраторам уделять больше внимания DNS.
Единственное, не совсем понятно, почему эта техника работы подается как новая - если не ошибаюсь, первые широко известные...
Полный текст
|
|
> http 02.08.04 09:55
Автор: void <Grebnev Valery> Статус: Elderman
|
>в качестве внешнего можно использовать любой протокол - хоть
> http
1) Совершенно верно. Лично мне представляется http ещё более опасным. Вот его попробуй не разреши. ;))
В месте с тем, многое реальное, а не мифическое spyware сегодня работает именно по http. Это может быть настоящей головной болью для админов в сетках, где нет проф. антиспай проги. Легко делается "upload" данныхвинтернет по http. При этом даже паковать ничего не надо. всё совершенно легально - данные передаются при помощи команды PUT.
Особенно забавно использование фаревольных решений M$ с http. Там вдинамическихфильтрах поддерживвется только заданание прикладных протоколов. Это, конечно, хорошо. Но легко видеть вполне легальный трафик http с клиентского порта xxx, на серверные порты 12200, и т.п.;))) Если же пользоваться статическими фильтрами и задавать порт 80, то теряется вся прелесть контроля трафика по прикладным протоколам.
Таким образом единственный способ использовать эти продукты M$- сочетать их дополнительным "фареволом", стоящим впереди изделия M$. Думаю, достаточно поставить BSD c ipfw, где трафик будет пермититься только по портам, а не протоколам. Кстати, об этом говорил ещё сам M$ в доке для MS Proxy. Сам видел. Только ссылку не вспомню. Для ISA Server они уже об этом молчат, хотя проблема всё таже осталась.
2) Конечно, опытные товарищи могут меня поправить, мол, покупай майм свиппер. На это я отвечу -разумно, конечно. Но лучше я куплю нормальный фаревол ;)))
> Опасность
> использования DNS - в том, что он есть везде, и его
> практически не замечают и не ограничивают. Соответственно,
> прозвучал призыв к системным администраторам уделять больше
> внимания DNS.
1) Здесь импортный гуру ошибается. В отпуск его, либо к нам в Магадан. Роль DNS, конечно, особая c точки зрения снижения безопасности, но автор статьи не понял в чём она ;))) А дело (и опасность) вот в чём.... Помимо TCP (для передачи зон первичным серверам) DNS сервера и резольверы используют UDP. В этом-то и косяк. Для UDP нет понятия "текущая последовательность байт", а значит под видом легального трафика вполне можно хачить с 53 -го удалённого порталюбыеUDP порты клиента. Другими словами, невозможно обычными средвами определить - идёт ли разговор о трафике внешнего DNS сервера, или на 53-порту в интернете "сидит" ложный DNS-сервер, которому spyware на клиенте отдаёт непонятно что.
2) В целом опасность слегка надумана, т.к. во-первых параноики могут использовать майм свиперы (чтобы удостовериться, что UDP-трафик действительно включает DNS запросы и ответы), а во-вторых надо использовать нормальные решения, когда в горле сетки(сеток) разрешается DNS трафик только для корпоративных DNS. А уж клиентыв конторе должны обращаться только к своим корпоративным кеширующим DNS серверам, а не DNS-серверам в инет. По крайней мере, надо будет концентрироваться только на небольшом числе хостов в ДМЗ.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
