Passa al contenuto principale

10. Considerazioni di sicurezza

10.1 Valutazione complessiva

Prospettiva degli autori

Gli autori ritengono che questo RR non introduca nuovi problemi di sicurezza, ma renda più evidenti alcuni problemi già esistenti.


10.2 Impatto sul filtraggio basato sulle porte

10.2.1 Specificazione dettagliata delle porte

La possibilità di specificare le porte con un elevato livello di dettaglio modifica evidentemente il modo in cui un router può filtrare i pacchetti.

Implicazioni:

  1. Blocco dei servizi esterni

    • diventa impossibile impedire ai client interni di accedere a specifici servizi esterni.
  2. Servizi non autorizzati

    • è leggermente più difficile impedire agli utenti interni di eseguire servizi non autorizzati.
  3. Cooperazione operativa

    • diventa più importante la collaborazione tra il personale che gestisce i router e quello che gestisce il DNS.

10.3 Denial of service

Rischio DoS

Non esiste un modo per impedire che gli host di un sito siano indicati come server. Ciò può condurre a un denial of service.

Scenario di attacco:

  • un attaccante crea record SRV che puntano agli host della vittima;
  • un gran numero di client tenta di collegarsi;
  • la vittima riceve traffico indesiderato.

10.4 Estensione dello spoofing DNS

10.4.1 Numeri di porta falsi

Con SRV, chi effettua spoofing DNS può fornire numeri di porta falsi, oltre a nomi host e indirizzi falsi.


10.4.2 Valutazione del rischio

Non è una nuova vulnerabilità

Poiché questa vulnerabilità esiste già per nomi e indirizzi, non si tratta di una nuova vulnerabilità, ma soltanto di una sua lieve estensione con scarso effetto pratico.

Analisi:

  • il problema fondamentale è l'autenticità del DNS;
  • l'aggiunta dei numeri di porta estende solo minimamente la superficie di attacco;
  • la soluzione effettiva è DNSSEC.

10.5 Strategie di mitigazione

Difese raccomandate:

  1. DNSSEC

    • firmare crittograficamente i record DNS;
    • verificare l'autenticità dei record.
  2. Sicurezza del livello applicativo

    • usare TLS/SSL per le connessioni ai servizi;
    • verificare i certificati del server.
  3. Segmentazione della rete

    • isolare i servizi interni;
    • implementare una difesa in profondità.
  4. Monitoraggio

    • registrare le query DNS;
    • monitorare i tentativi di connessione;
    • rilevare schemi anomali.