Поставщики межсетевых экранов Скремблирование для устранения проблемы DNS

Примерно через месяц после того, как был впервые обнаружен критический недостаток в системе доменных имен в Интернете, производители некоторых из наиболее широко используемых программ брандмауэра пытаются скремблировать проблему, которая может существенно отменить часть исправлений, которые устраняют эту ошибку.

Недостаток DNS влияет на серверное программное обеспечение, созданное многими поставщиками, в том числе Microsoft, Cisco Systems и консорциумом Internet Systems.

Некоторые брандмауэры устраняют функцию рандомизации исходного порта, которая была введена в патчах DNS. Несмотря на то, что это изменение не полностью отрицает патч DNS, это может облегчить для злоумышленников снятие атаки с использованием кэша с DNS-сервером, считают эксперты по безопасности.

[Читать дальше: Лучшие NAS-боксы для потоковой передачи мультимедиа и backup]

Это может привести к практически необнаружимым фишинговым атакам пользователей этих DNS-серверов.

Брандмауэры, которые выполняют преобразование адресов IP (Интернет-протокол), - преобразование IP-адресов, используемых компьютерами в их внутренних сетях, на разные IP-адреса которые используются другими компьютерами в Интернете, могут иногда отменить рандомизацию исходного порта, считают эксперты по безопасности.

Сфера охвата проблемы первоначально вызвала удивление у экспертов DNS, сказал Дэн Камински, исследователь IOActive, который впервые обнаружил ошибка DNS. «Это в какой-то степени наша вина», - сказал он в интервью по электронной почте. «Мы недооценили количество брандмауэров, которые были развернуты перед DNS-серверами».

«Cisco, Juniper, Citrix и ряд других производителей брандмауэров абсолютно скремблировали, чтобы обновить свое оборудование», - добавил он.

Эти поставщики заявили, что все еще могут быть за несколько недель до того, как все продукты будут исправлены.

В среду Cisco обновила свою рекомендацию по безопасности по проблеме DNS, чтобы дать клиентам рекомендации относительно того, как справиться с этой проблемой, сказал Русс Смоак, директор Cisco Группа реагирования на инциденты с безопасностью продукта. По его словам, проблема затрагивает клиентов Cisco, которые используют брандмауэр для перевода адресов портов (PAT). «Если у вас есть брандмауэр PAT, самое лучшее, что вы можете сделать, это просмотреть наш документ, понять, как настроена наша сеть, и если вам нужно исправление, которое предоставляется, а затем установите исправление».

В то же время сеть администраторы могут перенаправлять свои DNS-запросы на серверы, адреса портов которых не переводится, или просто перенастраивать брандмауэр, сказал Камински.

Juniper Networks ожидает, что в ближайшие недели будет поставляться случайный вариант порта для своих продуктов, сказала пресс-секретарь Juniper Синди Та, по электронной почте.

Однако не все производители брандмауэров затронуты. Программное обеспечение Check Point Software, например, говорит, что у его брандмауэров нет этой проблемы.

Недостаток DNS Kaminsky влияет на такой широкий спектр продуктов, что неудивительно, что в процессе исправления были некоторые сбои. Ранее на этой неделе эксперты DNS сообщили, что созданный ими патч замедлял производительность на некоторых серверах с высоким трафиком - те, которые пострадали более чем с 10 000 запросов в секунду. В пятницу поставщик безопасности nCircle сообщил, что исправление Apple для проблемы DNS не работает должным образом.

Президент консорциума Internet Systems Пол Викси назвал проблему перевода порта «большой сделкой», но он сказал, что, несмотря на некоторый ранний скептицизм, пользователи начиная понимать серьезность ситуации. Когда Камински впервые обсудил эту проблему, некоторые эксперты по безопасности заявили, что проблема, по-видимому, просто перефразирует известную проблему.

Но после того, как на прошлой неделе ошибка была непреднамеренно раскрыта, некоторые скептики изменили свою мелодию.

«Это продолжает быть беспорядком », - сказал он по электронной почте. «Но, по крайней мере, нет больше отрицателей, которые смешивают воды с« раздутым, не срочным »сообщением».

(Всемирная воля Уилла Шульца внесла свой вклад в эту историю.)