Fallo crítico en DNS obliga a parchear toda Internet

Enviado por admin el 9. Julio 2008 - 18:07.

Actualización [22:10]: Diferentes fabricantes están reaccionando al problema con parches e instrucciones concretas: Debian, Cisco, Infoblox, ISC, Juniper, Microsoft, Red Hat, Sun (Solaris)...

Esta vez, quien esté libre de fallo que tire el primer parche: desde Debian a Microsoft, y desde Cisco a Sun, todos han lanzado -o están a punto de hacerlo- el parche correspondiente para resolver un grave problema de diseño en el sistema de servidores de nombre de dominio (DNS), que permitiría a un atacante desviar todas las peticiones a kriptopolis.org a una imitación del sitio original, o a cualquier otro sitio que no tenga nada que ver con él.

Pese a lo que digan hoy la mayoría de los medios, el fallo es antiguo (probablemente tanto como la propia Internet) y en diversas variantes ya había sido anticipado por varios autores, aunque ahora sea Kaminsky quien parece llevarse toda la "gloria" mediática. Entre esos trabajos anticipatorios merece quizás la pena citar los de D.J. Bernstein o el presentado por Ian Green hace tres años sobre la resolución de nombres de dominio en Windows XP...

En mi modesta opinión, la nota técnica que mejor describe la vulnerabilidad es la del US CERT, pero quien prefiera un resumen técnico más comprensible puede encontrarlo en esta otra nota del SANS Institute.

Aunque los detalles exactos de este "exploit" concreto no se han revelado, se avecinan días (o semanas) de intenso parcheo para los administradores (añado: y también para los usuarios que utilizan bind y similares para cachear sus resoluciones de nombres). Mientras tanto, el propio Kaminsky ha publicado en su blog un comprobador de servidores DNS (botón "Check my DNS") que os permite comprobar si el vuestro (o en la mayoría de casos el de vuestro proveedor) sigue estando afectado y -sobre todo- cuándo deja de estarlo.

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

Una buena solución...

Enviado por Fernando Acero el 9. Julio 2008 - 18:56.

Hola:

Acabo de comprobar los servidores de DNS de mi empresa proveedora de Internet y son vulnerables en este momento. Una buena solución, que además, mejora otras cosas como la velocidad y demás, es usar OpenDNS.

Basta con poner como servidores de DNS primario y secundario:

nameserver 208.67.222.222
nameserver 208.64.222.220

Nota del Editor:

nameserver 208.67.222.222
nameserver 208.67.220.220

En linux, hay que editar como root /etc/resolv.conf, comentando o borrando cualquier entrada distinta de estas dos y salvarlo.

Después de usar el famoso botón "Check my DNS" de este blog se obtiene:

Your name server, at 208.69.34.4, appears to be safe.

Requests seen for 0ccb858d4078.toorrr.com:
208.69.34.4:11427 TXID=10722
208.69.34.4:5645 TXID=6584
208.69.34.4:8983 TXID=7597
208.69.34.4:7348 TXID=1514
208.69.34.4:63252 TXID=12976

Yo además, uso un caché local de DNS, para lo que he instalado y configurado en mi sistema el paquete dnsmasq

por lo que también he añadido a mi archivo /etc/resolv.conf una línea (la primera de la lista).

nameserver localhost

Con independencia de que tenga o no activo dnsmasq, el resultado siempre es el mismo, un tranquilizador:

Your name server, at 208.69.34.4, appears to be safe.

Así que animo a todo el mundo a abandonar los servidores de DNS de su compañía proveedora de acceso a Internet y usen estos, que además de ser más seguros, en la mayoría de los casos, también son más rápidos y un rayo si además, usamos un caché de DNS como es mi caso.

Un saludo, Fernando Acero

"Copyleft 2008 Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

Muy agradecidos

Enviado por anónimo el 9. Julio 2008 - 20:09.

Así da gusto :)

Muchas gracias por la rauda info y por compartirla con tod@s. Aportaciones como ésta son las que vuelven a reconciliarnos con la necesidad de mantener una red abierta donde el conocimiento fluya sin trabas.

OpenDNS

Enviado por admin el 9. Julio 2008 - 21:45.

Sólo un detalle, Fernando:

Los servidores a poner son:

208.67.222.222
208.67.220.220

Por cierto, que yo también llevo tiempos usándolos sin problemas (por eso me los sé ya de memoria ;), mientras los de mi proveedor tienen bastantes fallos y -por cierto- a día de hoy también parecen vulnerables.

Con tu permiso, lo corrijo en tu comentario para que haya confusiones.

Perdonad...

Enviado por Fernando Acero el 10. Julio 2008 - 7:56.

Hola:

Perdonad, los escribí a toda prisa ayer en casa, mientras mi señora me decía otra cosa ya al final, metí la pata :-(. Pido mis disculpas, efectivamente los servidores de OpenDNS son los que se indican en este post:

208.67.222.222
208.67.220.220

Y que amablemente ha corregido Jose Manuel en mi comentario, ojo, si alguien está usando los que puse yo inicialmente, puesto que como el que está mal es el secundario, funcionará perfectamente hasta que el primario no esté disponible.

Por supuesto y en contestación a algunas preguntas que he recibido en mi correo, estos servidores se pueden usar con cualquier sistema operativo que tengamos, yo puse la solución para Linux, pero como he dicho, vale para cualquier sistema.

Un saludo, Fernando Acero

"Copyleft 2008 Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

Dnsmasq

Enviado por admin el 10. Julio 2008 - 9:28.

Atención Fernando y otros usuarios de Dnsmasq:

http://lists.thekelleys.org.uk/pipermail/dnsmasq-discuss/200...

Gracias por la info...

Enviado por Fernando Acero el 10. Julio 2008 - 12:11.

Esto es deformación profesional, daba por sentado que la gente actualiza sus sistemas a la última versión disponible en los repositorios, al menos, para los programas críticos para la seguridad.

De hecho, ayer tuve desactivado dnsmasq durante unas horas hasta comprobar que estaba solucionado el problema con dnsmasq, pero ojo, estamos hablando de una Release Candidate 3, con todo lo que ello puede suponer.

Bueno en mi caso no me afecta demasiado ya que cada ordenador de casa tiene su propio dnsmasq y con el cortafuegos por delante adecuadamente configurado, por lo que si no me autoenveneno mis cachés de DNS no tengo nada que temer.

Otro apunte, repito que hay que actualizar todos los elementos internos o externos que hagan de servidores de DNS o tengan caché de nombres de dominio, pero se me olvidó decir, que dicha resolución podía ser directa o inversa, lo que es un matiz a tener en cuenta.

Un saludo, Fernando Acero

"Copyleft 2008 Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

Procedimiento...

Enviado por Fernando Acero el 10. Julio 2008 - 19:15.

Procedimiento para actualizar instalar dnsmasq:

1) Te lo bajas del repositorio oficial de candidate releases

2) Lo descomprimes con el mandato tar xzvf dnsmasq-2.43rc3.tar.gz

3) Vas al directorio en el que lo has descomprimido y como root escribes make install

4) Si ya lo tenías instalado, no has de hacer nada más que arrancarlo, para ello vas a /etc/init.d y escribes ./dnsmasq restart.

5) Si no lo tienes instalado, desde el directorio en el que has descomprimido dnsmasq debes escribir cp dnsmasq.conf.example /etc/dnsmasq.conf

6) Luego edita las opciones de este archivo /etc/dnsmasq.conf y vuelve a arrancar dnsmasq usando el procedimiento del punto 4.

Para que todo funcione, debes tener en /etc/resolv.conf algo así:

domain localhost
search localhost
nameserver 127.0.0.1
nameserver 208.67.222.222
nameserver 208.67.220.220

Creo que esta vez no me he equivocado.

Un saludo, Fernando Acero

"Copyleft 2008 Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

¿Porque utilizas el DNS de tu ISP?

Enviado por anónimo el 10. Julio 2008 - 9:50.

Si tienes Linux (o Windows Server), ¿porqué depender de un DNS externo como el de tu ISP?

Yo tengo BIND con los root hints y no dependo de que mi ISP tenga actualizados sus DNS. De hecho, hace años que no tengo idea de cuales son.

Mi /etc/resolv.conf pone:
nameserver 127.0.0.1

Saludos,
Andy

SIN los root hints es mejor

Enviado por Envite el 10. Julio 2008 - 21:01.

Mi /etc/resolv.conf pone lo mismo, pero lo importante es que NO uso los "hints", por dos razones:

a) La mayoría están en EE.UU. por lo que usarlos carga innecesariamente la red
b) La mayoría están en EE.UU. con lo que tendrían que cumplir las órdenes del DoD y el DoC

La solución es ORSN ( http://european.ch.orsn.net/index.php ) que son servidores en Europa y que no seguirían en su caso a los servidores de ICANN en un posible "apagón" ordenado por el "Gov".

ORSN no son servidores pirata. Al contrario, es una iniciativa seria en la que toma parte Paul Vixie y no soportan dominios pirata.

No estoy de acuerdo con lo que dices, pero defendería con mi vida tu derecho a decirlo.
- Voltaire -

Querras decir con OTROS root hints

Enviado por anónimo el 10. Julio 2008 - 23:23.

Lo que yo quería decir es que no tienes porqué depender del DNS de tu ISP.

Lo que tú sugieres es utilizar otros root hints. El efecto es el mismo: no depender de los DNS de tu ISP.

Tampoco es que todos los root servers de ICANN estén en EEUU: el I, el K y el M están Europa y Japón (los otros 10 si que estan en EEUU).

Dicho ésto, el proyecto ORSN sería el análogo a la red de satélites europeos Galileo, que está destinado a reemplazar o al menos a suplementar los satélites GPS que actualmente son operados por el pentágono en EEUU.

Lo que pasa es que en el caso de los GPS, puedes pasar de los satélites americanos y utilizar los europeos sin más. Sin embargo con los DNS esto no es exactamente asi.

Puedes reemplazar los root servers por otros, pero en general TODA la operación de Internet depende muchísimo de EEUU. Si mañana dejaran de funcionar todos los equipos informáticos de EEUU, perderíamos mucho más que el acceso a los servidores americanos. No es justo, pero asi es la vida.

Saludos,
Andy

123456siguientefinal

Opinar

Los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Como norma general, en este sitio no se publican comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales, así como comentarios que no aportan nada, fuera de tema o que no se ajustan a la netiqueta, la ortografía o la educación.

Para poder enviar tus comentarios has de permitir las cookies del sitio.

  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...

CAPTCHA
Esta prueba busca evitar la entrada de mensajes basura automatizados. Muchas gracias por tu colaboración.
17 + 0 =
Resuelve esta sencilla operación e introduce el resultado.