Jul 9, 2008

Jul 9, 2008

Öryggi nafnaþjóna

Lengi hefur verið þekktur veikleiki í DNS samskiptaaðferðum sem getur valdið því að rangt eða illa uppsettir nafnaþjónar svara með röngum upplýsingum (vísvitandi eða óvart) þegar í þeim er flett ákveðnum lénum. Þann 8. júlí sl. sendi US-CERT (US Government Computer Emergency Readiness Team) frá sér tilkynningu sem varar sterklega við að fram séu komnar öflugar aðferðir sem nýta þennan veikleika til að breyta DNS svörun léna, sem vistuð eru á nafnaþjónum sem innihalda gallann. Sjá https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1447

Handhafar .is léna ættu í ljósi þessa að fullvissa sig um að þeirra lén séu vistuð á öruggum nafnaþjónum. Ákveðnar aðferðir eru notaðar til að lágmarka þessa hættu, helst sú að rekstaraðilar nafnaþjóna aðskilja uppruna-nafnaþjóna "authorative nameservers" (þ.e. þá sem vista lén) og endurkvæma nafnaþjóna "recursive nameservers" (þ.e. nafnaþjóna sem þeirra notendur nota til að fletta upp lénum víðs vegar um heim). Síðan er aðgengi að endurkvæmu nafnaþjónunum lokað öðrum en viðskiptavinum viðkomandi þjónustuaðila.

Slíkur aðskilnaður gerir það að verkum að óprúttnir aðilar geta ekki breytt svörun fyrir lén sem vistuð eru á upprunanafnaþjóni, þar sem slökkt er á endurkvæmni hans ("non-recursive") og þeir fá ekki aðgang að endurkvæmum nafnaþjónunum þjónustuaðilans. Flestir seljendur lénavistunar hafa þennan háttinn á uppsetningu nafnaþjóna sinna, en því miður ekki allir.

Leave a message and we will reply as soon as we can.
1+3:

Message received