информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Все любят медПортрет посетителяЗа кого нас держат?
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / RSN / архив / 2004 / август
2004
главная
январь
февраль
март
апрель
май
июнь
июль
август
сентябрь
октябрь
ноябрь
декабрь
предложить новость





DNS как средство преодоления защиты
dl // 01.08.04 14:12
На последнем Defcon'е Дэн Камински представил доклад, посвященный передаче информации из защищенной сети с помощью даных, инкапсулированных в DNS-пакеты.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2004/08/01.html]
Пакеты эти спокойно обходили файрволлы, поскольку выглядели вполне невинным взаимодействием DNS-серверов. Инкапсуляция пакетов одного протокола в другой давно и широко используется (достаточно вспомнить те же VPN), и, по большому счету, в качестве внешнего можно использовать любой протокол - хоть http, хоть протокол передачи данных на дискетах в архивах (лишь бы с таймаутами разобраться :). Опасность использования DNS - в том, что он есть везде, и его практически не замечают и не ограничивают. Соответственно, прозвучал призыв к системным администраторам уделять больше внимания DNS.

Единственное, не совсем понятно, почему эта техника работы подается как новая - если не ошибаюсь, первые широко известные программы, использующие DNS-пакеты в качестве транспорта, появились леть пять назад, не меньше.

Источник: CNet    
теги: vpn  |  предложить новость  |  обсудить  |  все отзывы (1) [9461]
назад «  » вперед

аналогичные материалы
Tailscale окончательно забанила российские адреса // 02.10.24 18:54
Блокировка Opera VPN // 17.06.21 17:16
Простое пробивание рабочего/провайдерского NAT с помощью Tailscale // 20.08.20 03:02
Opera VPN закрывается // 15.04.18 18:54
McAfee прикупила TunnelBear // 08.03.18 19:54
Opera обзавелась VPN // 21.04.16 13:05
The Pirate Bay запустила бесплатный VPN // 27.08.12 21:58
 
последние новости
Microsoft обещает радикально усилить безопасность Windows в следующем году // 19.11.24 17:09
Ядро Linux избавляется от российских мейнтейнеров // 23.10.24 23:10
20 лет Ubuntu // 20.10.24 19:11
Tailscale окончательно забанила российские адреса // 02.10.24 18:54
Прекращение работы антивируса Касперского в США // 30.09.24 17:30
Microsoft Authenticator теряет пользовательские аккаунты // 05.08.24 22:21
Облачнолазурное // 31.07.24 17:34

Комментарии:

> http 02.08.04 09:55  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
>в качестве внешнего можно использовать любой протокол - хоть
> http

1) Совершенно верно. Лично мне представляется http ещё более опасным. Вот его попробуй не разреши. ;))
В месте с тем, многое реальное, а не мифическое spyware сегодня работает именно по http. Это может быть настоящей головной болью для админов в сетках, где нет проф. антиспай проги. Легко делается "upload" данныхвинтернет по http. При этом даже паковать ничего не надо. всё совершенно легально - данные передаются при помощи команды PUT.
Особенно забавно использование фаревольных решений M$ с http. Там вдинамическихфильтрах поддерживвется только заданание прикладных протоколов. Это, конечно, хорошо. Но легко видеть вполне легальный трафик http с клиентского порта xxx, на серверные порты 12200, и т.п.;))) Если же пользоваться статическими фильтрами и задавать порт 80, то теряется вся прелесть контроля трафика по прикладным протоколам.
Таким образом единственный способ использовать эти продукты M$- сочетать их дополнительным "фареволом", стоящим впереди изделия M$. Думаю, достаточно поставить BSD c ipfw, где трафик будет пермититься только по портам, а не протоколам. Кстати, об этом говорил ещё сам M$ в доке для MS Proxy. Сам видел. Только ссылку не вспомню. Для ISA Server они уже об этом молчат, хотя проблема всё таже осталась.

2) Конечно, опытные товарищи могут меня поправить, мол, покупай майм свиппер. На это я отвечу -разумно, конечно. Но лучше я куплю нормальный фаревол ;)))

> Опасность
> использования DNS - в том, что он есть везде, и его
> практически не замечают и не ограничивают. Соответственно,
> прозвучал призыв к системным администраторам уделять больше
> внимания DNS.

1) Здесь импортный гуру ошибается. В отпуск его, либо к нам в Магадан. Роль DNS, конечно, особая c точки зрения снижения безопасности, но автор статьи не понял в чём она ;))) А дело (и опасность) вот в чём.... Помимо TCP (для передачи зон первичным серверам) DNS сервера и резольверы используют UDP. В этом-то и косяк. Для UDP нет понятия "текущая последовательность байт", а значит под видом легального трафика вполне можно хачить с 53 -го удалённого порталюбыеUDP порты клиента. Другими словами, невозможно обычными средвами определить - идёт ли разговор о трафике внешнего DNS сервера, или на 53-порту в интернете "сидит" ложный DNS-сервер, которому spyware на клиенте отдаёт непонятно что.

2) В целом опасность слегка надумана, т.к. во-первых параноики могут использовать майм свиперы (чтобы удостовериться, что UDP-трафик действительно включает DNS запросы и ответы), а во-вторых надо использовать нормальные решения, когда в горле сетки(сеток) разрешается DNS трафик только для корпоративных DNS. А уж клиентыв конторе должны обращаться только к своим корпоративным кеширующим DNS серверам, а не DNS-серверам в инет. По крайней мере, надо будет концентрироваться только на небольшом числе хостов в ДМЗ.
<добавить комментарий>


анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd fsf github gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint programming pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssh ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach