Verfasser:mastamorphixx Email:mastamorphixx@web.de Dieser Text soll auf eventuelle Sicherheitsluecken hinweisen.Ihr seid fuer alles was ihr macht selber Verantwortlich. DNS-Spoofing Um im Internet mit andern Rechnern kommunizieren zu koennen,benoetigt man eine IP-Adresse(Internet-Adresse). Sie setzt sich aus einer 32Bit grossen Zahl zusammen.Die IP-Adresse wird bei der Einwahl vom ISP (Internet-Service-Provider)zugewiesen,und kann nicht geandert werden und kann nicht 2 mal gleich- zeitig exestieren.Ein beispiel fuer eine IP-Addresse ist zb:217.226.112.136 Aber um dem Durchschnittsuser das Surfen noch etwas komfortabler zu gestallen,wurden die sogenannten DNS-Server ins Leben gerufen.DNS steht fuer Domain-Name-System(wird auch Domain-Name-Service genannt). Diese DNS-Server stehen zu hunderten, wenn nicht sogar zu tausenden auf der ganzen Welt verteilt.Diese Server kommunizieren untereinander ohne Authentifizierung bzw. Autorisierung,um unnoetigen traffic zu vermeiden. Was macht ein DNS-Server? Ein DNS-Server weist einer IP-Adresse http://xxx.xxx.xxx.xxx/ einen Namen zu,wie zum beispiel http://www.google.de.Das laesst sich doch auch viel leichter merken,oder? Also ist http://www.google.de im prinzip nichts anderes als als http://xxx.xxx.xxx.xxx. Woher weiss der DNS-Server den nun welcher IP-Adresse er welche Domain(zb:www.google.de) zuordnen soll? Er besitzt 4 Datenbanken,die Forward Zone,die Reverse Zone,Localhost,und Reverse Localhost.Diese Datenbanken werden benoetigt um der IP-Adresse den Namen zuzuordenen und dem Namen die IP-Adresse. Vergleichbar einem Telefonbuch.Diese Datenbanken muessen nicht konsistent sein. Wenn es einem Angreifer gelingt,diese Tabellen zu manipullieren,kann dies ein sehr hohes Sicherheitsrisiko darstellen. Da nicht alle Tabellen auf einem DNS-Server gespeichert werden koennen,kann es sein das ein Nameserver eine Adresse nicht kennt bzw. er hat keinen Eintrag von Name zu IP-Adresse in seinem Cache. Wenn der Fall eintritt,fragt er einfach einen anderen Nameserver nach einer Antwort.Auf den ersten Blick scheint dieses System im grossen und ganzen Sicher zu sein. Ist es aber nicht.Was ist wenn der Nameserver einen anderen, nicht Vertrauenswuerdigen Nameserver nach einer Adresse fragt? Dann waere es moeglich,den Nameserver ,der die Anfrage gesendet hat,hinters Licht zu fuehren.Das ist auch nur moeglich,weil die DNS-Server untereinander ohne Autorisierung bzw. Authentifizierung kommunizieren.Das bedeutet das jede Antwort,die von einem anderen DNS-Server kommt, automatisch als wahr angesehen wird und somit einen Eintrag in der Datenbank erhaellt. Das kann dazu fuehren das ein Angreifer einen Falschen Eintrag erzeugen kann. Hier ein Beispiel wie man einen Falschen Eintrag erzeugen kann: Was benoetigt ein Potenzieler Angreifer: *Eine Domain unter seiner Kontrolle(zb. www.angreifer.de) *Einen Nameserver unter seiner Kontrolle(zb. ns.angreifer.de) Vorgehensweise: Bei dem hier beschriebenen Beispiel wird die Funktion ausgenutzt,das Nameserver Ergebnisse zwischenspeichern um Mehrfachanfragen zu vermeiden. Der Angreifer fragt einen beliebigen Nameserver(zb.ns.provider.de) nach der IP-Adresse von www.angreifer.de. Da er sie nicht kennt,fragt er brav beim nameserver ns.angreifer.de nach.Dieser gibt ihm nicht nur die Information, das www.angreifer.de die IP-Adresse xxx.xxx.xxx.xxx hat,sondern er fuegt noch eine Information hinzu,wie etwa:"Uebrigens, www.victim.de hat die IP-Adresse 232.133.157.211".Wenn Anfragende Nameserver noch keinen Eintrag fuer www.victim.de haben,uebernehmen sie die Information das www.victim.de die IP-Adresse 232.133.157.211 hat.So wird der Cache der anfragenden Nameserver "verschmutzt".Dieser Methode wird auch Cache pollution genannt. Jeder User dessen Nameserver durch Cache pollution verschmutzt wurde,landet nun statt auf www.victim.de, auf 232.133.157.211. In den neusten BIND(Berkley Internet Name Domain) Versionen ist dieser Angriff nicht mehr moeglich. Es laufen allerdings sehr viele DNS-Server noch mit aelteren Versionen und sind daher evt. noch fuer cache pollution anfaellig. Was ist noch ein eventuelles Sicherheitsloch? mail.victim.de Auch der Mail-Verkehr kann ausgetrixt werden,indem man ihn von mail.victim.de auf 0.0.0.0 umleitet. In diesem Fall wird der Mail-Verkehr sozusagen ins Leere geleitet. rlogin,rsh,rcp,rdist(r-dienste) Auch diese Dienste koennen durch Spoofing Angegriffen werden.Die einfachste Gegenmasnahme ist,die r-dienste durch die secure-shell(ssh) zu ersetzen.So wird die Gefahr,das Ihr Passwort bei einem unautorisierten User ueber den Bildschirm wandert,erheblich minimiert,da ssh verschluesselt durch die Leitung geht. Folgende kryptoverfahren stehen bei der Benutzung von ssh zur auswahl:AES128,AES192,AES256,3DES, und Blowfish. Dadurch koennen IP-Spoofing,DNS- und Routing-Angriffe fast ausgeschlossen werden. Wie kann man sich noch schuetzen? *Erweiterung des DNS-Protokolls um Digitale-Unterschriften *Server und Client Query-IDs auf 32Bit erweitern *Informieren sie sich regelmaessig auf Security-Portalen ob neue Exploits aufgetaucht sind *Bleiben Sie mit Ihrem System immer auf dem neusten Stand!ts aufgetaucht sind *Bleiben Sie mit Ihrem System immer auf dem neusten Stand!