29-07-2008 12:01:16

De afgelopen weken is een nieuw gat in DNS bekend gemaakt, wat eenvoudig te misbruiken is als een caching nameserver geen random source-poorten gebruikt. Bij BIT waren geen updates nodig omdat we PowerDNS Recursor (3.1.7) draaien, welke random source-poorten gebruikt vanaf versie 3.0 (2006).

Een ander belangrijk aspect van DNS beveiliging is het afschermen van caching nameservers. Een caching nameserver zonder IP-restricties is te misbruiken als DDOS Amplifier, tevens is het recente gat een stuk eenvoudiger te misbruiken.

Bij BIT gebuiken we de allow-from-file feature van PowerDNS Recursor (geschreven door een van onze medewerkers) om een lijst van adressen te configureren welke de caching nameservers mogen gebruiken. BIT krijgt, net zoals alle andere Europese LIR‘s, adressen van RIPE. Via de RIPE Whois server is het mogelijk om alle adressen (route en route6 objecten) van een AS op te vragen.

Het ripe-ranges script (beschikbaar in BIT’s source code repository) gebruikt de Net::Whois::RIPE perl module om alle route/route6 objecten van het BIT AS (12859) op te halen, en maakt daarmee een allow-from file voor PowerDNS Recursor.