Leveranciers van firewalls versleutelen om DNS te repareren Probleem

Bijna een maand nadat een kritieke fout in het Domain Name System op het internet voor het eerst werd gemeld, proberen verkopers van enkele van de meest gebruikte firewallsoftware een probleem op te lossen dat in wezen een deel van de patches die deze bug aanpakken, ongedaan kan maken.

De DNS-fout is van invloed op serversoftware gemaakt door vele leveranciers, waaronder Microsoft, Cisco Systems en het Internet Systems Consortium.

Sommige firewallsoftware maakt een willekeurige bronpoort-randomisatiefunctie ongedaan die in de DNS-patches is geïntroduceerd. Hoewel deze wijziging de DNS-patch niet volledig tenietdoet, kan het het voor aanvallers gemakkelijker maken om een ​​cache-vergiftigingsaanval op de DNS-server uit te voeren, zeggen beveiligingsdeskundigen.

[Meer lezen: de beste NAS-boxen voor mediastreaming en back-up]

Dit kan leiden tot virtueel niet-detecteerbare phishing-aanvallen op gebruikers van die DNS-servers.

Firewalls die IP-adresomzetting (Internet Protocol) uitvoeren - de IP-adressen die worden gebruikt door computers op hun interne netwerken omzetten naar verschillende IP-adressen die worden gebruikt door de andere computers op internet - kunnen soms de bronpoort-randomisatie ongedaan maken, zeggen beveiligingsdeskundigen.

De omvang van het probleem leidde aanvankelijk tot enkele DNS-experts, zei Dan Kaminsky, de IOActive-onderzoeker die voor het eerst ontdekte de DNS-bug. "Dit is tot op zekere hoogte onze schuld", zei hij in een e-mailinterview. "We hebben het aantal firewalls dat voor DNS-servers werd ingezet onderschat."

"Cisco, Juniper, Citrix en een aantal andere leveranciers van firewalls hebben absoluut hun best gedaan om hun apparatuur bij te werken," voegde hij eraan toe.

Deze leveranciers zeggen dat het nog weken kan duren voordat alle producten zijn opgelost.

Op woensdag heeft Cisco zijn beveiligingsadvies over het DNS-probleem bijgewerkt om klanten advies te geven over hoe het probleem moet worden opgelost, zei Russ Smoak, een directeur van Cisco Productveiligheid Incident Response Team. Het probleem is van invloed op Cisco-klanten die de firewall gebruiken voor de vertaling van het poortadres (PAT), zei hij. "Als je een PAT-firewall hebt, kun je het beste kijken door ons document, begrijpen hoe ons netwerk is geconfigureerd en als je de oplossing nodig hebt die is meegeleverd, installeer dan de fix."

Ondertussen, netwerk Beheerders kunnen hun DNS-lookups doorsturen naar servers waarvan de poortadressen niet worden vertaald of eenvoudig de firewall herconfigureren, zei Kaminsky.

Juniper Networks verwacht de komende weken een willekeurige bronpoortoptie voor haar producten te leveren, zei Juniper-woordvoerster Cindy Ta, via e-mail.

Niet alle firewall-leveranciers zijn echter getroffen. Check Point Software, bijvoorbeeld, zegt dat de firewalls dit probleem niet hebben. <> Kaminsky's DNS-tekort heeft zo'n grote verscheidenheid aan producten dat het niet verrassend is dat er enige problemen zijn in het patchproces. Eerder deze week meldden DNS-experts dat de patch die ze hadden gemaakt de prestaties vertraagde op sommige high-traffic servers - die werden geraakt met meer dan 10.000 query's per seconde. Vrijdag meldde beveiligingsleverancier nCircle dat de oplossing van Apple voor het DNS-probleem niet goed werkte.

Internet Systems Consortium President Paul Vixie noemt het havenvertalingsprobleem een ​​'big deal', maar hij zei dat ondanks enkele vroege scepticisme, gebruikers om de ernst van de situatie te begrijpen. Toen Kaminsky het probleem voor het eerst besprak, zeiden sommige beveiligingsdeskundigen dat het probleem simpelweg een herkansing van een bekend probleem leek te zijn.

"Dit blijft een puinhoop, "zei hij via e-mail. "Maar er zijn tenminste geen ontkenners meer die de wateren modderen met de 'overdreven, niet urgente' boodschap."

(Will Scultz van PC World heeft aan dit verhaal bijgedragen)