10. Considerazioni di sicurezza
10.1 Valutazione complessiva
Gli autori ritengono che questo RR non introduca nuovi problemi di sicurezza, ma renda più evidenti alcuni problemi già esistenti.
10.2 Impatto sul filtraggio basato sulle porte
10.2.1 Specificazione dettagliata delle porte
La possibilità di specificare le porte con un elevato livello di dettaglio modifica evidentemente il modo in cui un router può filtrare i pacchetti.
Implicazioni:
-
Blocco dei servizi esterni
- diventa impossibile impedire ai client interni di accedere a specifici servizi esterni.
-
Servizi non autorizzati
- è leggermente più difficile impedire agli utenti interni di eseguire servizi non autorizzati.
-
Cooperazione operativa
- diventa più importante la collaborazione tra il personale che gestisce i router e quello che gestisce il DNS.
10.3 Denial of service
Non esiste un modo per impedire che gli host di un sito siano indicati come server. Ciò può condurre a un denial of service.
Scenario di attacco:
- un attaccante crea record SRV che puntano agli host della vittima;
- un gran numero di client tenta di collegarsi;
- la vittima riceve traffico indesiderato.
10.4 Estensione dello spoofing DNS
10.4.1 Numeri di porta falsi
Con SRV, chi effettua spoofing DNS può fornire numeri di porta falsi, oltre a nomi host e indirizzi falsi.
10.4.2 Valutazione del rischio
Poiché questa vulnerabilità esiste già per nomi e indirizzi, non si tratta di una nuova vulnerabilità, ma soltanto di una sua lieve estensione con scarso effetto pratico.
Analisi:
- il problema fondamentale è l'autenticità del DNS;
- l'aggiunta dei numeri di porta estende solo minimamente la superficie di attacco;
- la soluzione effettiva è DNSSEC.
10.5 Strategie di mitigazione
Difese raccomandate:
-
DNSSEC
- firmare crittograficamente i record DNS;
- verificare l'autenticità dei record.
-
Sicurezza del livello applicativo
- usare TLS/SSL per le connessioni ai servizi;
- verificare i certificati del server.
-
Segmentazione della rete
- isolare i servizi interni;
- implementare una difesa in profondità.
-
Monitoraggio
- registrare le query DNS;
- monitorare i tentativi di connessione;
- rilevare schemi anomali.
Navigazione
- Precedente: 9. Modifiche rispetto a RFC 2052
- Successivo: 11. Riferimenti