Microsoft-DNS-Server-Sicherheitsanfälligkeit für Snooping-Angriffe auf DNS-Server Cache

Problembeschreibung

//www.simpledns.com/KB.aspx?kbid=1250 beschreibt den DNS-Cache-Snooping wie folgt:

Der DNS-Cache-Snooping ist der Fall, wenn jemand einen DNS-Server abfragt, um (Snoop) zu ermitteln, ob der DNS-Server einen bestimmten DNS-Eintrag zwischengespeichert hat, und damit ableiten, ob der Besitzer des DNS-Servers (oder seine Benutzer) kürzlich eine bestimmte Website besucht haben. Dadurch werden möglicherweise Informationen zum Besitzer des DNS-Servers, beispielsweise zu dem Anbieter, der Bank, dem Dienstanbieter usw., verwendet. Besonders, wenn dies mehrmals über einen Zeitraum bestätigt (snooped) wird. Diese Methode kann sogar verwendet werden, um statistische Informationen zu sammeln, beispielsweise zu dem Zeitpunkt, zu dem der Besitzer des DNS-Servers normalerweise auf seine Netto Bank usw. zugreift. Der verbleibende TTL-Wert des zwischengespeicherten DNS-Eintrags kann sehr genaue Daten enthalten.

Der DNS-Cache-Snooping ist auch dann möglich, wenn der DNS-Server nicht für die Aufhebung der rekursiven Lösung für 3rd-Partys konfiguriert ist, sofern er Datensätze aus dem Cache auch an Dritte weiter gibt (a.k.a. "lahme Anfragen").

Sicherheitsüberprüfungen können melden, dass verschiedene DNS-Server Implementierungen anfällig für Cache-Snooping-Angriffe sind, mit denen ein Remoteangreifer erkennen kann, welche Domänen und Hosts von einem bestimmten Namen Server aufgelöst wurden.

Sobald ein derartiger Cache-Snooping-Sicherheitsrisikobericht lautet:

DNS-Server Cache Snooping Remote Informationen Offenlegung

Zusammenfassung: der Remote-DNS-Server ist anfällig für Angriffe auf Cache-Snooping.

Beschreibung: der Remote-DNS-Server antwortet auf Abfragen für Domänen von Drittanbietern, für die das Rekursions-Bit nicht festgesetzt wurde. Auf diese Weise kann ein Remoteangreifer ermitteln, welche Domänen kürzlich über diesen Namenserver aufgelöst wurden und welche Hosts zuletzt besucht wurden. Wenn beispielsweise ein Angreifer Interesse daran hat, ob Ihr Unternehmen die Onlinedienste eines bestimmten Finanzinstituts nutzt, könnten Sie diesen Angriff verwenden, um ein statistisches Modell für die Unternehmens Nutzung dieses Finanzinstituts zu erstellen. Der Angriff kann natürlich auch dazu verwendet werden, B2B-Partner, Web-Surf-Muster, externe e-Mail-Server und vieles mehr zu finden. Hinweis: Wenn es sich um einen internen DNS-Server handelt, der nicht auf externe Netzwerke zugreifen kann, sind Angriffe auf das interne Netzwerk begrenzt. Dies kann Mitarbeiter, Berater und potenziell Benutzer in einem Gastnetzwerk oder einer WLAN-Verbindung umfassen, wenn diese unterstützt werden.

Risikofaktor: Mittelwert

CVSS Base Score: 5.0 cvss2 # AV: n/AC: L/au: n/C: P/I: n/A: n

Siehe auch: http://www.rootsecure.NET/Content/Downloads/PDF/dns_cache_snooping. PDF

Lösung: wenden Sie sich zur Behebung an den Anbieter der DNS-Software.

Ursache

Dieser Fehler wird in der Regel für DNS-Server gemeldet, die Rekursionen durchführen.

Fehlerbehebung

Da es sich um eine Konfigurationswahl handelt, gibt es keine Codekorrektur. Optionen sind

  1. Lassen Sie die Rekursion aktiviert, wenn sich der DNS-Server in einem Unternehmensnetzwerk befindet, das nicht von nicht vertrauenswürdigen Clients erreicht werden kann.

  2. Keinen öffentlichen Zugriff auf DNS-Server zulassen, die Rekursion ausführen

  3. Deaktivieren der Rekursion

Weitere Informationen

Standardmäßig sind Microsoft-DNS-Server so konfiguriert, dass die Rekursion zulässig ist. Die namens Rekursion kann auf einem Microsoft-DNS-Server global deaktiviert werden, kann jedoch nicht pro Client oder pro Schnittstelle deaktiviert werden. Die Mehrzahl der Microsoft-DNS-Server wird mit der Serverrolle des Domänencontrollers gemeinsam installiert. Solche Server hosten in der Regelzonen und beheben DNS-Namen für Geräte | Appliances, Mitglieds Clients, Mitgliedsserver und Domänencontroller in einer Active Directory-Gesamtstruktur, können aber auch Namen für größere Teile eines Unternehmensnetzwerks auflösen.  Da Microsoft-DNS-Server in der Regel hinter Firewalls in Unternehmensnetzwerken bereitgestellt werden, sind Sie für nicht vertrauenswürdige Clients im Allgemeinen nicht zugänglich.  Administratoren von Servern in dieser Einstellung sollten berücksichtigen, ob eine Deaktivierung oder Einschränkung der DNS-Rekursion erforderlich ist. Die globale Deaktivierung von Rekursionen ist keine Konfigurationsänderung, die leicht zu berücksichtigen ist, da der DNS-Server keine DNS-Namen in Zonen auflösen kann, die nicht lokal gespeichert werden. Dies erfordert eine sorgfältige DNS-Planung. Beispielsweise können Clients in der Regel nicht direkt auf solche Server verweisen.  Die Entscheidung, die Rekursion zu deaktivieren (oder nicht), muss auf der Grundlage der Rolle erfolgen, die der DNS-Server innerhalb der Bereitstellung ausführen soll. Wenn der Servernamen für seine Clients wiedergeben soll, kann die Rekursion nicht deaktiviert werden. Wenn der Server nur Daten aus lokalen Zonen zurückgeben soll und nie im Auftrag von Clients rekursiv oder weitergeleitet werden soll, ist die Rekursion möglicherweise deaktiviert. Verwandte Links Deaktivieren der Rekursion auf dem DNS-Server (W2K8 R2)-http://technet.Microsoft.com/en-US/Library/cc771738.aspx Deaktivieren der Rekursion auf dem DNS-Server (W2K3 und W2K3 R2)- http://technet.Microsoft.com/en-US/Library/cc787602 (v = WS. 10). aspx Funktionsweise der DNS-Abfrage – http://technet.Microsoft.com/en-US/Library/cc775637 (v = WS. 10). aspx Rekursive und iterative Abfragen – http://technet.Microsoft.com/en-US/Library/cc961401.aspx Rekursive Namensauflösung- http://technet.Microsoft.com/en-US/Library/cc755941 (v = WS. 10). aspx

Benötigen Sie weitere Hilfe?

Ihre Office-Fähigkeiten erweitern
Schulungen erkunden
Neue Funktionen als Erster erhalten
Microsoft Insider beitreten

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×