Komponen

Perompak Penjejak Firewall untuk Membaiki Masalah DNS

Cara Mengatasi DNS Not Responding

Cara Mengatasi DNS Not Responding
Anonim

Hampir sebulan selepas kecacatan kritikal dalam Sistem Nama Domain Internet pertama kali dilaporkan, vendor beberapa perisian firewall yang paling banyak digunakan berebut untuk menyelesaikan masalah yang pada dasarnya boleh membatalkan sebahagian daripada patch yang menangani bug ini.

Kecacatan DNS menjejaskan perisian pelayan yang dibuat oleh banyak vendor, termasuk Microsoft, Cisco Systems, dan Konsortium Sistem Internet.

Sesetengah perisian firewall membatalkan ciri rawak sumber pelabuhan yang diperkenalkan di patch DNS. Walaupun perubahan ini tidak benar-benar meniadakan patch DNS, ia dapat memudahkan penyerang untuk mengeluarkan serangan keracunan cache terhadap pelayan DNS, kata pakar keselamatan.

[Bacaan lanjut: Kotak NAS terbaik untuk streaming media dan

Ini boleh membawa kepada serangan phishing yang tidak dapat dikesan ke pengguna dari pelayan DNS.

Firewall yang melakukan terjemahan alamat IP (Internet Protocol) - menukarkan alamat IP yang digunakan oleh komputer pada rangkaian dalaman mereka ke alamat IP yang berbeza yang digunakan oleh komputer lain di Internet - kadang-kadang boleh mengesahkan rawak pelabuhan sumber, kata pakar keselamatan.

Skop masalah pada mulanya mengambil beberapa pakar DNS dengan kejutan, kata Dan Kaminsky, penyelidik IOActive yang pertama kali ditemui bug DNS. "Ini adalah salah satu kesalahan kita," katanya dalam temu bual e-mel. "Kami meremehkan jumlah firewall di luar sana yang digunakan di hadapan pelayan DNS."

"Cisco, Juniper, Citrix, dan beberapa vendor firewall lain telah benar-benar berani untuk mengemas kini peralatan mereka," katanya.

Pada hari Rabu, Cisco mengemas kini Penasihat Keamanannya dalam masalah DNS untuk memberi nasihat kepada para pelanggan tentang bagaimana menangani masalah ini, kata Russ Smoak, pengarah dengan Cisco's Pasukan Tindakan Insiden Keselamatan Produk. Isu ini menjejaskan pelanggan Cisco yang menggunakan firewall untuk melakukan terjemahan alamat pelabuhan (PAT), katanya. "Jika anda mempunyai firewall PAT, perkara terbaik yang boleh anda lakukan ialah melihat dokumen kami, memahami bagaimana rangkaian kami dikonfigurasikan, dan jika anda memerlukan pembetulan yang diberikan, kemudian pasang tetapannya."

Dalam rangkaian sementara, Pentadbir boleh memajukan pemeriksaan DNS mereka ke pelayan yang alamat portnya tidak diterjemahkan atau hanya mengkonfigurasi semula firewall, kata Kaminsky.

Juniper Networks mengharapkan untuk menghantar pilihan pelabuhan sumber rawak untuk produknya dalam beberapa minggu akan datang, kata jurubicara Juniper, Cindy Ta, melalui e-mel.

Walau bagaimanapun, tidak semua vendor firewall terjejas. Perisian Check Point, sebagai contoh, mengatakan firewallnya tidak mempunyai masalah ini.

Kecacatan DNS Kaminsky memberi kesan kepada pelbagai jenis produk yang tidak mengejutkan bahawa terdapat beberapa gangguan dalam proses patch. Awal minggu ini, pakar-pakar DNS melaporkan bahawa patch yang mereka buat telah memperlahankan prestasi pada beberapa pelayan trafik tinggi - yang telah dipukul dengan lebih daripada 10,000 pertanyaan sesaat. Pada hari Jumaat, penjual keselamatan nCircle melaporkan bahawa masalah Apple untuk masalah DNS tidak berfungsi dengan baik.

Konsortium Sistem Internet Presiden Paul Vixie memanggil masalah penterjemahan pelabuhan sebagai "masalah besar," tetapi dia mengatakan bahawa meskipun ada keraguan awal, pengguna mula memahami keseriusan keadaan. Apabila Kaminsky pertama kali membincangkan masalah itu, beberapa pakar keselamatan mengatakan bahawa masalah itu kelihatan seperti masalah yang diketahui.

Tetapi selepas bug itu secara tidak sengaja diungkapkan pada minggu lalu, sesetengah skeptis mengubah lagu mereka.

"Ini terus menjadi kacau, "katanya melalui e-mel. "Tetapi sekurang-kurangnya tidak ada lagi orang yang mendustakan di luar sana yang mendidih air dengan mesej 'overblown, not urgent'."

(Will World Schultz menyumbang kepada kisah ini.)