Problemas de secuestro y craqueo de nombres de dominio

Johannes, director de investigación de SANS, cree: "Hay algunos problemas fundamentales con el DNS actual. La medida principal es seguir parcheando el servidor DNS para mantenerlo actualizado.

Nominum Paul Mockapetris, científico jefe de la compañía y autor original del protocolo DNS, dijo que actualizar a BIND 9.2.5 o implementar DNSSec eliminará el riesgo de envenenamiento de la caché. Sin embargo, sin equipos de administración de DNS de proveedores como BlueCat. Networks, Cisco, F5 Networks, Lucent y Nortel. Esta migración es difícil y requiere mucho tiempo dada la interfaz proporcionada. Algunas empresas, como Hushmail, han optado por reemplazar BIND con el código abierto TinyDNS. estas mejores prácticas:

1. Ejecute diferentes servidores de nombres en diferentes redes para lograr redundancia.

2. Separe los servidores de nombres externos e internos (separe físicamente o ejecute BIND View externamente). consultas desde casi cualquier dirección, pero los reenviadores no deberían configurarse para aceptar consultas únicamente desde direcciones internas. Desactive la recursividad (el proceso de buscar registros DNS desde el servidor raíz).

3. Limite las actualizaciones dinámicas de DNS solo a dispositivos autorizados.

5. Firme digitalmente las transferencias de zona y las actualizaciones de zona mediante firmas de transacciones.

6. BIND ejecutándose en el servidor

7. Elimine los servicios innecesarios que se ejecutan en el servidor DNS, como FTP, telnet y HTTP

8. servidores para restringir el acceso a los puertos/servicios necesarios para la funcionalidad DNS

Buscar el registro

El problema del secuestro de nombres de dominio también debe resolverse organizativamente. , un hacker engañó a un representante de servicio al cliente para que cambiara la dirección IP del servidor de nombres de dominio principal de Hushmail. Brian Smith es el director técnico de Hushmail. "Esto es realmente malo para nosotros", dijo Smith. Me gustaría que los registradores crearan y publicaran mejores políticas de seguridad. Pero no puedo encontrar un registrador que haga esto y he estado buscando uno desde que sucedió.

El presidente de Panix, Alex Resin, sintió lo mismo cuando los nombres de dominio de Panix fueron secuestrados en enero debido a problemas con su registrador. Primero, su registrador vendió el registro de su nombre de dominio a un revendedor sin previo aviso. Luego, el revendedor transfirió el dominio a un ingeniero social, nuevamente sin notificar a Resin.

Resin dijo: "Los nombres de dominio necesitan una reforma sistémica y fundamental. Hay muchas propuestas, pero el progreso no es lo suficientemente rápido.

Esperando que la demanda del mercado y el liderazgo de la ICANN obliguen a los registradores a implementar políticas de transferencia segura Lleva mucho tiempo, por lo que Resin, Smith y el Director de Enlace de Registradores de ICANN, Tim Cole, ofrecen las siguientes sugerencias para minimizar el riesgo:

1. declaración requiere que se comuniquen con usted de inmediato si es necesario transferir un nombre de dominio.

Esto requiere que el registrador obtenga una contraseña de desbloqueo u otra información de identificación antes de permitir la transferencia. su información de contacto oficial almacenada en el registrador.

4. Elija un registrador que ofrezca servicio 24 horas al día, 7 días a la semana para que pueda actuar rápidamente si se produce una infracción.

5. Si se produce una transferencia no autorizada, comuníquese con el registrador correspondiente de inmediato.

6. Si su problema no se resuelve, comuníquese con su registrador de nombres de dominio (por ejemplo, para .com y .net, comuníquese con VeriSign).

7. Si aún tiene problemas para recuperar su nombre de dominio, comuníquese con ICANN (transfererslt; atgt; ICANN.org).

8. Si posee una gran cantidad de nombres de dominio, conviértase en su propio registrador o revendedor como Google y utilice la API abierta OpenSRS de TuCows.com para controlar todos sus nombres de dominio.

Dirigida a las vulnerabilidades del propio sistema DNS, la solución del sistema PacketScout GenieProDNS contra el secuestro de DNS y los ataques de envenenamiento de la caché de DNS

Comprobación de coherencia

Cada nodo Geniepro tendrá otros los nodos del grupo envían sus propios registros DNS, solicitando una verificación de coherencia

Cada nodo Geniepro compara sus propios registros para comparar

El nodo coordinador de comunicación en cada grupo de trabajo Geniepro envía el registro DNS obtenido actualizaciones de los nodos de coordinación de comunicaciones en otros grupos para solicitar verificaciones de coherencia

Los nodos de coordinación de comunicaciones en cada grupo de trabajo de Genipro solicitan al servidor DNS de nivel superior que proporcione actualizaciones de registros y las compare con Comparar actualizaciones de registros en el nivel superior Servidor DNS

Cada trabajo de Geniepro decidirá si envía el registro a los nodos de coordinación de comunicación en otros grupos si la verificación de coherencia encuentra inconsistencias en el registro

, decidirá si acepta cambios en el registro basado en la política (mayoría, veto, etc.).

Según los resultados, cada nodo Geniepro coordina sus propios registros

Elección del nodo de coordinación de comunicaciones

Elección del nodo de coordinación de comunicaciones

Coordinación de comunicaciones Elección de nodo

Elección del nodo de coordinación de comunicaciones

El nodo de coordinación de comunicaciones elegido tiene derecho a actualizar los nodos del grupo durante su mandato

El proceso de elección es impredecible y Requisitos no repetibles