Problemy z zaporą sieciową dostawców zapór sieciowych

Prawie miesiąc po pierwszej krytycznej usterce w Internetowym Systemie Nazw Domenowych, dostawcy niektórych z najczęściej używanych programów zapory sieciowej próbują rozwiązać problem, który może zasadniczo cofnąć część łat, które rozwiązują ten błąd.

Usterka DNS wpływa na oprogramowanie serwera wykonane przez wielu dostawców, w tym Microsoft, Cisco Systems i konsorcjum systemów internetowych.

Niektóre programy zapory sieciowej cofają funkcję losowania portów źródłowych wprowadzoną w łatach DNS. Mimo że ta zmiana nie całkowicie neguje łatę DNS, może ułatwić atakującym wykonanie ataku polegającego na zatruwaniu pamięci podręcznej na serwer DNS, mówią eksperci ds. Bezpieczeństwa.

[Więcej informacji: Najlepsze pudełka NAS do strumieniowego przesyłania multimediów i backup]

Może to prowadzić do praktycznie niewykrywalnych ataków phishingowych na użytkowników tych serwerów DNS.

Firewalle, które tłumaczą adresy IP (Internet Protocol) - konwertowanie adresów IP używanych przez komputery w ich sieciach wewnętrznych na różne adresy IP które są używane przez inne komputery w Internecie - mogą czasem cofnąć losowanie portu źródłowego, mówią eksperci ds. bezpieczeństwa.

Zaskoczył nas zakres problemu, który początkowo zaskoczył niektórych ekspertów DNS, powiedział Dan Kaminsky, badacz IOActive, który pierwszy odkrył błąd DNS. "To w pewnym stopniu nasza wina", powiedział w wywiadzie mailowym. "Nie doceniliśmy liczby zapór firewall, które zostały rozmieszczone przed serwerami DNS."

"Cisco, Juniper, Citrix i wielu innych dostawców zapór ogniowych absolutnie próbowało zaktualizować swój sprzęt," dodał.

Ci dostawcy twierdzą, że może to potrwać jeszcze kilka tygodni, zanim wszystkie produkty zostaną naprawione.

W środę Cisco zaktualizowało swoje Poradnictwo zabezpieczeń dotyczące problemu DNS, aby dać klientom wskazówki, jak sobie z tym poradzić, powiedział Russ Smoak, dyrektor firmy Cisco. Zespół reagowania na incydenty bezpieczeństwa produktu. Problem ten dotyczy klientów firmy Cisco, którzy używają zapory do wykonywania translacji adresów portów (PAT), powiedział. "Jeśli masz zaporę ogniową PAT, najlepszą rzeczą, którą możesz zrobić, to przejrzeć nasz dokument, zrozumieć, jak konfigurowana jest nasza sieć, a jeśli potrzebujesz dostarczonej poprawki, zainstaluj poprawkę."

W międzyczasie, sieć administratorzy mogą przekazywać swoje zapytania DNS do serwerów, których adresy portów nie są tłumaczone, lub po prostu zmienić konfigurację zapory, powiedział Kaminsky.

Juniper Networks spodziewa się dostarczyć opcję losowego portu źródłowego dla swoich produktów w nadchodzących tygodniach, powiedziała rzeczniczka firmy Juniper, Cindy Ta, za pośrednictwem poczty e-mail.

Nie dotyczy to jednak wszystkich dostawców zapór ogniowych. Na przykład oprogramowanie Check Point mówi, że jego firewalle nie mają tego problemu.

Usterka DNS Kaminsky'ego wpływa na tak szeroką gamę produktów, że nie jest zaskakujące, że wystąpiły pewne problemy w procesie łatania. Na początku tego tygodnia eksperci DNS donoszą, że łata, którą stworzyli, spowalniała wydajność na niektórych serwerach o wysokim natężeniu ruchu - tych, które zostały trafione ponad 10 000 zapytań na sekundę. W piątek sprzedawca bezpieczeństwa nCircle poinformował, że poprawka Apple dotycząca problemu z DNS nie działa prawidłowo.

Prezes konsorcjum ds. Systemów internetowych Paul Vixie nazywa problem tłumaczenia portowego "wielką sprawą", ale powiedział, że pomimo pewnego sceptycyzmu, użytkownicy zaczyna rozumieć powagę sytuacji. Kiedy Kaminsky po raz pierwszy omawiał problem, niektórzy eksperci bezpieczeństwa powiedzieli, że problem wydaje się po prostu powtórnym odkryciem znanego problemu.

Ale po tym, jak błąd został nieumyślnie ujawniony w zeszłym tygodniu, niektórzy sceptycy zmienili swoją melodię.

"To nadal jest bałagan ", powiedział przez e-mail. "Ale przynajmniej nie ma już żadnych denarów, które mącą wodę za pomocą" przesadzonego, nie pilnego "przesłania."

(PC World's Will Schultz przyczynił się do tej historii.)