Nieuws
image

DNSSEC maakt .BIZ domeinen onveilig

maandag 20 september 2010, 09:35 door Redactie, 6 reacties

DNSSEC dat juist bedoeld is om domeinen te beschermen, zorgt er in sommige gevallen voor dat aanvallers alle domeinen van een .TLD kunnen enumereren. Dat zegt de Nederlandse beveiligingsonderzoeker Christiaan Ottow. De afgelopen jaren kreeg DNS cache poisoning veel aandacht, zeker na het werk van Dan Kaminsky, die aantoonde hoe aanvallers aanvallen op DNS kunnen uitvoeren.

Als oplossing voor het probleem werd DNSSEC als protocol naar voren geschoven. De implementatie van DNSSEC heeft aardig wat voeten in de aarde. "Het is een complex protocol en het verandert vaak", laat Ottow tegenover Security.nl weten. In 2008 werd er een belangrijke wijziging doorgevoerd in RFC 5155. Tot die tijd werd het NSEC record gebruikt om het niet bestaan van een record aan te geven. In RFC 5155 is dit veranderd naar NSEC3.

NSEC
Het NSEC record wordt gebruikt wanneer een client een query doet naar een niet-bestaande hostname. In ouderwets DNS werd er dan een lege response teruggestuurd, maar in DNSSEC gaat dat niet. Alle responses moeten worden getekend, dus een lege response is uitgesloten. Als oplossing stuurt men een NSEC record. In dit record zitten de records voor en na het opgevraagde record, om te laten zien dat daar niets tussen zit. Een aanvaller kan door steeds niet-bestaande domeinen op te vragen, aan de hand van de NSEC responses de hele zone enumereren.

Dit probleem is met NSEC3 opgelost, toch is er een aantal TLDs die nog steeds NSEC gebruiken. Onder hen onder andere .biz en .se. Ottow ontwikkelde een proof-of-concept die laat zien dat men alle domeinen in de .biz TLD via NSEC kan downloaden. In totaal gaat het om 1.973.058 domeinen, waarvoor Ottow zijn script 16 uur liet draaien.

Reacties (6)
20-09-2010, 09:39 door Anoniem
Het is dus niet DNSSEC dat .biz onveilig maakt, maar de manier waarop .biz en .se het implementeren. Dat NSEC de mogelijkheid biedt om een TLD te enumereren is al sinds het begin bekend. Het is op die manier mogelijk om ieder domein te enumereren, dus ook security.nl, zolang er gebruik gemaakt wordt van NSEC i.p.v. NSEC3.

Peter
20-09-2010, 10:58 door dmace
inderdaad. De titel had moeten zijn "Toplevel .BIZ loopt ver achter met implementatie DNSSEC"
20-09-2010, 12:18 door Anoniem
Het achterhalen van de biz domeinen is niet zo moeilijk, dat is namelijk geen geheim. Op zich is dit dus ook geen beveiligingslek.
20-09-2010, 12:56 door Anoniem
Ik begrijp eigenlijk niet wat nu precies het security probleem is als iemand alle bestaande url's heeft van een bepaalde TLD. Welke risico brengt dat nu met zich mee?
20-09-2010, 13:36 door Commentator
Door Anoniem: Het achterhalen van de biz domeinen is niet zo moeilijk, dat is namelijk geen geheim. Op zich is dit dus ook geen beveiligingslek.

Ik begrijp eigenlijk niet wat nu precies het security probleem is als iemand alle bestaande url's heeft van een bepaalde TLD. Welke risico brengt dat nu met zich mee?

Het enumereren van een zone wordt als beveiligingslek gezien, omdat het inzicht verschaft in de netwerk layout van een organisatie. Een hacker is heel blij als hij via AXFR een compleet domein kan downloaden van een DNS server, zodat hij een idee heeft welke servers er allemaal zijn.

Bij .biz is dit minder interessant, zoals opgemerkt kan je die ook gewoon downloaden. Daarom is het een PoC: een organisatie die geen up-to-date DNSSEC implementatie heeft is dus gevoelig voor dit lek. That's all; het is redelijk oud nieuws en al verholpen, maar toch kwalijk dat zelfs sommige TLD's nog niet geupdate zijn.
20-09-2010, 15:17 door Anoniem
Ook NSEC3 biedt geen volledige bescherming tegen het achterhalen van alle domeinen in een zone. Maar los daarvan is het toch veel gemakkelijker om dagelijks de zone file via FTP op te halen dan de hele tree door te wandelen? (Tenzij je bezwaar hebt tegen het agreement natuurlijk.)
http://www.neustarregistry.biz/?q=support/faqs#ct
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search