Bedrijfsnetwerken via DNS hack wijd open
Dezelfde technologie waardoor websurfers computers op het internet kunnen vinden en verbinding mee kunnen maken, kan gebruikt worden om geheime communicatie kanalen op te zetten, die beveiligingsmaatregelen weten te omzeilen, aldus een security onderzoeker. De security hack gebruikt data die door de domain name service (DNS) servers wordt verstuurd om extra informatie in de netwerk communicatie te verbergen. Securitymaatregelen, zoals firewalls, negeren meestal DNS data, omdat aangenomen wordt dat het niet schadelijk is. Via het lek in de netwerksecurity van de meeste bedrijven kan een hacker intellectueel eigendom stelen, met een gecompromitteerde server binnen het bedrijf communiceren, of toegang krijgen tot wireless en internet services, aldus security onderzoeker Dan Kaminsky in dit artikel.
SSH tunnel over port 53 of port 80 naar buiten en daarover
routeren
Dan kan je gewoon prima naar buiten in 'secure' environments..
Sterker nog, een systeem zonder covert channel(s) bestaat
eigenlijk niet. Er is een speciaal boek in de rainbow series
dat over het onderwerp covert channel analysis gaat.
Wat Kaminski stelt is waar... we weten dat het bestaat, nu
moeten we er op gaan letten. Gelukkig is DNS een extreem
straightforward protocol, en is het dus niet zo moeilijk om
een IDS zodanig te modificeren dat het IDS in staat is om
"goede" en "slechte" DNS pakketten van elkaar te scheiden.
En port 80 wordt vaak gerouteerd via een proxy server.
DNS 'hacking' geeft je tenminste de mogelijkheid om echt het protocol te
gebruiken, daar heeft een firewall rule dus geen zin en zul je echt naar de
packet content moeten kijken.
direct 'wide open' willen noemen.
Even context voor diegenen die te lui zijn het artikel zelf
te lezen: als een cracker eenmaal op je netwerk zit, kan hij
met een covert channel informatie naar buiten sluizen zonder
dat je het (waarschijnlijk) merkt.
Er zijn massa's covert channels, en ik denk dat het een
illusie is dat het mogelijk is ze allemaal te dichten. Denk
aan: het data-segment van PING-pakketten, genegeerde velden
van TCP/IP of andere protocollen (zoals DNS), de timing van
HTTP-requests, headers van HTTP-requests, et cetera et cetera.
Tsja, het bestaan van een covert channel zou ik nu niet
direct 'wide open' willen noemen.
Even context voor diegenen die te lui zijn het artikel zelf
te lezen: als een cracker eenmaal op je netwerk zit, kan hij
met een covert channel informatie naar buiten sluizen zonder
dat je het (waarschijnlijk) merkt.
Er zijn massa's covert channels, en ik denk dat het een
illusie is dat het mogelijk is ze allemaal te dichten. Denk
aan: het data-segment van PING-pakketten, genegeerde velden
van TCP/IP of andere protocollen (zoals DNS), de timing van
HTTP-requests, headers van HTTP-requests, et cetera et cetera.
Op dit moment testen wij de Intrushield oplossing met Mcafee. Deze kan ook
gewoon in de tunnels kijken naar vreemde content. Kijk maar eens op
http://www.networkassociates.com/us/products/mcafee/network_ips/2600.ht
m
Tsja, het bestaan van een covert channel zou ik nu niet
direct 'wide open' willen noemen.
Even context voor diegenen die te lui zijn het artikel zelf
te lezen: als een cracker eenmaal op je netwerk zit, kan hij
met een covert channel informatie naar buiten sluizen zonder
dat je het (waarschijnlijk) merkt.
Er zijn massa's covert channels, en ik denk dat het een
illusie is dat het mogelijk is ze allemaal te dichten. Denk
aan: het data-segment van PING-pakketten, genegeerde velden
van TCP/IP of andere protocollen (zoals DNS), de timing van
HTTP-requests, headers van HTTP-requests, et cetera et cetera.
Op dit moment testen wij de Intrushield oplossing met Mcafee. Deze kan ook
gewoon in de tunnels kijken naar vreemde content. Kijk maar eens op
http://www.networkassociates.com/us/products/mcafee/network_ips/2600.ht
m
niet als de data encrypted vervoerd wordt ;)
dat zo een tunnel door een split dns komt (dns daemon buitenkant en
binnenkant).
Via een http-proxy wellicht wel, hangt ervan af hoe die zijn data checkt.
Die zal wel ssh over poort 80 tegenhouden. Maar een ssl tunnel wellicht
weer niet. In ieder geval zal die rare payloads in tcp/ip paketten negeren en
niet doorzetten.
Maar als de hacker al binnen is komt hij natuurlijk naar buiten. Ssl is dan de
bekendste weg lijkt mij.
proxies)? Ik denk niet dat zo een tunnel door een split dns
komt (dns daemon buitenkant en binnenkant).
Ik kan nu niet bij het artikel, maar het punt was geloof ik
juist dat de attack daartegen bestand was.
naar buiten. Ssl is dan de bekendste weg lijkt mij.
Tsja, als ssl naar buiten toegestaan is is deze attack
natuurlijk ueberhaupt niet nodig :).
overtrokken.
DNS-verkeer vanuit het interne net worden en kan alleen
worden gericht aan de interne DNS, als je het als rule
hanteerd tenminste op je gateway/firewall/NAT/bridge/filter.
Verkeer gericht aan een ander adres dan dat van de interne
DNS: drop.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.