BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/rsn/archive/2004/08/01.html

DNS как средство преодоления защиты
dl // 01.08.04 14:12
На последнем Defcon'е Дэн Камински представил доклад, посвященный передаче информации из защищенной сети с помощью даных, инкапсулированных в DNS-пакеты.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2004/08/01.html]
Пакеты эти спокойно обходили файрволлы, поскольку выглядели вполне невинным взаимодействием DNS-серверов. Инкапсуляция пакетов одного протокола в другой давно и широко используется (достаточно вспомнить те же VPN), и, по большому счету, в качестве внешнего можно использовать любой протокол - хоть http, хоть протокол передачи данных на дискетах в архивах (лишь бы с таймаутами разобраться :). Опасность использования DNS - в том, что он есть везде, и его практически не замечают и не ограничивают. Соответственно, прозвучал призыв к системным администраторам уделять больше внимания DNS.

Единственное, не совсем понятно, почему эта техника работы подается как новая - если не ошибаюсь, первые широко известные программы, использующие DNS-пакеты в качестве транспорта, появились леть пять назад, не меньше.

Источник: CNet      
теги: vpn  |  предложить новость  |  обсудить  |  все отзывы (1) [8977]
назад «  » вперед

аналогичные материалы
Блокировка Opera VPN // 17.06.21 17:16
Простое пробивание рабочего/провайдерского NAT с помощью Tailscale // 20.08.20 03:02
Opera VPN закрывается // 15.04.18 18:54
McAfee прикупила TunnelBear // 08.03.18 19:54
Opera обзавелась VPN // 21.04.16 13:05
The Pirate Bay запустила бесплатный VPN // 27.08.12 21:58
Скандал вокруг закладок в OpenBSD // 15.12.10 17:02
 
последние новости
Phrack #70/0x46 // 07.10.21 02:46
Возможно, Facebook наступил на те же грабли с BGP, что и Яндекс десять лет назад // 04.10.21 23:36
50 лет электронной почте // 02.10.21 00:00
Заканчивается действие одного из корневых сертификатов Let’s Encrypt // 30.09.21 17:01
Очередной юбилей Linux // 25.08.21 14:56
HP закрыла 16-летнюю уязвимость в драйверах принтеров // 20.07.21 15:14
Microsoft советует пользователям отключить службу печати // 17.07.21 03:22

Комментарии:

> http 02.08.04 09:55  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
>в качестве внешнего можно использовать любой протокол - хоть
> http

1) Совершенно верно. Лично мне представляется http ещё более опасным. Вот его попробуй не разреши. ;))
В месте с тем, многое реальное, а не мифическое spyware сегодня работает именно по http. Это может быть настоящей головной болью для админов в сетках, где нет проф. антиспай проги. Легко делается "upload" данныхвинтернет по http. При этом даже паковать ничего не надо. всё совершенно легально - данные передаются при помощи команды PUT.
Особенно забавно использование фаревольных решений M$ с http. Там вдинамическихфильтрах поддерживвется только заданание прикладных протоколов. Это, конечно, хорошо. Но легко видеть вполне легальный трафик http с клиентского порта xxx, на серверные порты 12200, и т.п.;))) Если же пользоваться статическими фильтрами и задавать порт 80, то теряется вся прелесть контроля трафика по прикладным протоколам.
Таким образом единственный способ использовать эти продукты M$- сочетать их дополнительным "фареволом", стоящим впереди изделия M$. Думаю, достаточно поставить BSD c ipfw, где трафик будет пермититься только по портам, а не протоколам. Кстати, об этом говорил ещё сам M$ в доке для MS Proxy. Сам видел. Только ссылку не вспомню. Для ISA Server они уже об этом молчат, хотя проблема всё таже осталась.

2) Конечно, опытные товарищи могут меня поправить, мол, покупай майм свиппер. На это я отвечу -разумно, конечно. Но лучше я куплю нормальный фаревол ;)))

> Опасность
> использования DNS - в том, что он есть везде, и его
> практически не замечают и не ограничивают. Соответственно,
> прозвучал призыв к системным администраторам уделять больше
> внимания DNS.

1) Здесь импортный гуру ошибается. В отпуск его, либо к нам в Магадан. Роль DNS, конечно, особая c точки зрения снижения безопасности, но автор статьи не понял в чём она ;))) А дело (и опасность) вот в чём.... Помимо TCP (для передачи зон первичным серверам) DNS сервера и резольверы используют UDP. В этом-то и косяк. Для UDP нет понятия "текущая последовательность байт", а значит под видом легального трафика вполне можно хачить с 53 -го удалённого порталюбыеUDP порты клиента. Другими словами, невозможно обычными средвами определить - идёт ли разговор о трафике внешнего DNS сервера, или на 53-порту в интернете "сидит" ложный DNS-сервер, которому spyware на клиенте отдаёт непонятно что.

2) В целом опасность слегка надумана, т.к. во-первых параноики могут использовать майм свиперы (чтобы удостовериться, что UDP-трафик действительно включает DNS запросы и ответы), а во-вторых надо использовать нормальные решения, когда в горле сетки(сеток) разрешается DNS трафик только для корпоративных DNS. А уж клиентыв конторе должны обращаться только к своим корпоративным кеширующим DNS серверам, а не DNS-серверам в инет. По крайней мере, надо будет концентрироваться только на небольшом числе хостов в ДМЗ.
<добавить комментарий>



  Copyright © 2001-2021 Dmitry Leonov Design: Vadim Derkach