Faille DNS Poisoning : Il n'est pas encore trop tard pour se protéger

Comme précisé dans mon post d'hier, les détails sur la faille de DNS poisoning sont désormais connus. Des experts dans le domaine de la sécurité comme Dave Aitel d'Immunity ou de HD Moore estiment [1] que le développement d'un outil est une tâche peu complexe et son temps de mise au point de l'ordre de la journée.

Le SANS Internet Storm Center (SANS ISC) recommande un "PATCH NOW" dans son bulletin d'information intitulé "SANS ISC, Dan Kaminsky's DNS bug: revealed? - Patch!".

Dans ce contexte, comment réagir rapidement pour protéger votre organisation et ses activités ?

Votre fournisseur d'accès Internet (ISP) peut-il vous aider ?

Pour commencer, il n'est jamais trop tard pour bien faire : Patchez vos serveurs DNS configurés en resolvers. Les patchs sont disponibles depuis maintenant quelques semaines, toutes les informations utiles et liens sont disponibles dans les bulletins du CERT US (US-CERT Vulnerability Note VU#800113) ou du CERT-IST (CERT-IST/AV-2008.310, Vulnérabilité DNS).

Si, pour diverses raisons, vous ne pouvez patcher vos serveurs, ou si vous manquez de temps pour vérifier la non-régression des correctifs, la configuration de vos serveurs en des "forwarders" vous permet de déléguer la résolution des noms à un ou plusieurs DNS qui eux sont patchés : En procédant de la sorte, vos serveurs sont protégés car plus en communication directe avec l'Internet.

Des guides de configuration "DNS forwarders" pour les serveurs ISC Bind sont disponibles à cette page [2] ou pour les serveurs DNS en environnement Microsoft ICI [3].

Quels serveurs "fiables" utiliser ? Ceux de votre fournisseur d'accès Internet (ISP) qui devraient être sécurisés ou ceux d'acteurs spécialisés dans le domaine (par exemple www.opendns.com).

Pour les clients d'Orange Business :

Ils peuvent reconfigurer leurs serveurs DNS privés afin de renvoyer (ou "forwarder") leurs requêtes de résolution DNS vers les serveurs DNS des plateformes de service. En procédant de la sorte vous protégez automatiquement vos serveurs DNS des attaques en poisoning. Ceci fait, vous pouvez plus sereinement procéder à leur mise à jour pour ensuite désactiver ce renvoi ou "forward".

Ces serveurs DNS, aussi connus sous le nom de "Serveurs DNS Oléane" sont accessibles via les adresses IP 194.2.0.20 et 194.2.0.50. Ils sont réservés à l'usage exclusif des clients d'Orange Business.

Ces serveurs DNS sont bien évidemment à jour des derniers patchs de sécurité et implémentent des mécanismes évolués pour contrer les attaques de "DNS poisoning". Cela pourra d'ailleurs peut-être faire l'objet d'un futur bulletin.

[1] NetworkWorld, With DNS flaw now public, attack code imminent, July 23, 2008 http://www.networkworld.com/news/2008/072308-with-dns-flaw-now-public.html?hpg1=bn

[2] ISC, Setting up BIND to forward to patched name server
ttp://www.isc.org/index.pl?/sw/bind/index.php

[3] Microsoft, COMMENT FAIRE : Configuration de DNS pour l'accès à Internet dans Windows Server 2003
http://support.microsoft.com/kb/323380

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens