информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100За кого нас держат?Страшный баг в WindowsАтака на Internet
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Простое пробивание рабочего/провайдерского... 
 400 уязвимостей в процессорах Snapdragon 
 Яндекс неуклюже оправдался за установку... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / RSN / архив / 2004 / август
2004
главная
январь
февраль
март
апрель
май
июнь
июль
август
сентябрь
октябрь
ноябрь
декабрь
предложить новость




The Bat!

DNS как средство преодоления защиты
dl // 01.08.04 14:12
На последнем Defcon'е Дэн Камински представил доклад, посвященный передаче информации из защищенной сети с помощью даных, инкапсулированных в DNS-пакеты.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2004/08/01.html]
Пакеты эти спокойно обходили файрволлы, поскольку выглядели вполне невинным взаимодействием DNS-серверов. Инкапсуляция пакетов одного протокола в другой давно и широко используется (достаточно вспомнить те же VPN), и, по большому счету, в качестве внешнего можно использовать любой протокол - хоть http, хоть протокол передачи данных на дискетах в архивах (лишь бы с таймаутами разобраться :). Опасность использования DNS - в том, что он есть везде, и его практически не замечают и не ограничивают. Соответственно, прозвучал призыв к системным администраторам уделять больше внимания DNS.

Единственное, не совсем понятно, почему эта техника работы подается как новая - если не ошибаюсь, первые широко известные программы, использующие DNS-пакеты в качестве транспорта, появились леть пять назад, не меньше.

Источник: CNet      
теги: vpn  |  предложить новость  |  обсудить  |  все отзывы (1) [8780]
назад «  » вперед

аналогичные материалы
Простое пробивание рабочего/провайдерского NAT с помощью Tailscale // 20.08.20 03:02
Opera VPN закрывается // 15.04.18 18:54
McAfee прикупила TunnelBear // 08.03.18 19:54
Opera обзавелась VPN // 21.04.16 13:05
The Pirate Bay запустила бесплатный VPN // 27.08.12 21:58
Скандал вокруг закладок в OpenBSD // 15.12.10 17:02
Windows 7 - что новенького с точки зрения безопасности // 21.04.09 21:57
 
последние новости
Простое пробивание рабочего/провайдерского NAT с помощью Tailscale // 20.08.20 03:02
400 уязвимостей в процессорах Snapdragon // 08.08.20 08:08
Яндекс неуклюже оправдался за установку Теледиска // 29.07.20 17:09
Infosec-сообщество не поддержало отказ от термина black hat // 04.07.20 18:50
Расово верная чистка IT-терминологии // 16.06.20 18:03
ГПБ vs TV // 06.06.20 21:47
Число обнародованных уязвимостей упало на 20% // 30.05.20 02:21

Комментарии:

> http 02.08.04 09:55  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
>в качестве внешнего можно использовать любой протокол - хоть
> http

1) Совершенно верно. Лично мне представляется http ещё более опасным. Вот его попробуй не разреши. ;))
В месте с тем, многое реальное, а не мифическое spyware сегодня работает именно по http. Это может быть настоящей головной болью для админов в сетках, где нет проф. антиспай проги. Легко делается "upload" данныхвинтернет по http. При этом даже паковать ничего не надо. всё совершенно легально - данные передаются при помощи команды PUT.
Особенно забавно использование фаревольных решений M$ с http. Там вдинамическихфильтрах поддерживвется только заданание прикладных протоколов. Это, конечно, хорошо. Но легко видеть вполне легальный трафик http с клиентского порта xxx, на серверные порты 12200, и т.п.;))) Если же пользоваться статическими фильтрами и задавать порт 80, то теряется вся прелесть контроля трафика по прикладным протоколам.
Таким образом единственный способ использовать эти продукты M$- сочетать их дополнительным "фареволом", стоящим впереди изделия M$. Думаю, достаточно поставить BSD c ipfw, где трафик будет пермититься только по портам, а не протоколам. Кстати, об этом говорил ещё сам M$ в доке для MS Proxy. Сам видел. Только ссылку не вспомню. Для ISA Server они уже об этом молчат, хотя проблема всё таже осталась.

2) Конечно, опытные товарищи могут меня поправить, мол, покупай майм свиппер. На это я отвечу -разумно, конечно. Но лучше я куплю нормальный фаревол ;)))

> Опасность
> использования DNS - в том, что он есть везде, и его
> практически не замечают и не ограничивают. Соответственно,
> прозвучал призыв к системным администраторам уделять больше
> внимания DNS.

1) Здесь импортный гуру ошибается. В отпуск его, либо к нам в Магадан. Роль DNS, конечно, особая c точки зрения снижения безопасности, но автор статьи не понял в чём она ;))) А дело (и опасность) вот в чём.... Помимо TCP (для передачи зон первичным серверам) DNS сервера и резольверы используют UDP. В этом-то и косяк. Для UDP нет понятия "текущая последовательность байт", а значит под видом легального трафика вполне можно хачить с 53 -го удалённого порталюбыеUDP порты клиента. Другими словами, невозможно обычными средвами определить - идёт ли разговор о трафике внешнего DNS сервера, или на 53-порту в интернете "сидит" ложный DNS-сервер, которому spyware на клиенте отдаёт непонятно что.

2) В целом опасность слегка надумана, т.к. во-первых параноики могут использовать майм свиперы (чтобы удостовериться, что UDP-трафик действительно включает DNS запросы и ответы), а во-вторых надо использовать нормальные решения, когда в горле сетки(сеток) разрешается DNS трафик только для корпоративных DNS. А уж клиентыв конторе должны обращаться только к своим корпоративным кеширующим DNS серверам, а не DNS-серверам в инет. По крайней мере, надо будет концентрироваться только на небольшом числе хостов в ДМЗ.
<добавить комментарий>


анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



  Copyright © 2001-2020 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach