Furnizorii de firewall se ciocnesc pentru a remedia problema DNS

Aproape o luna dupa ce un defect critic al Sistemului de Nume de Domeniu al Internetului a fost raportat pentru prima data, vanzatorii unor programe de firewall cele mai folosite se lupta pentru a rezolva o problema care poate anula in mod esential o parte din patch-urile care rezolva acest bug. > Defectele DNS afectează software-ul de servere realizat de mai mulți furnizori, inclusiv Microsoft, Cisco Systems și Consorțiul de sisteme Internet.

Unele programe de firewall anulează o caracteristică de randomizare a portului sursă introdusă în patch-urile DNS. În timp ce această modificare nu anulează complet patch-urile DNS, ar putea fi mai ușor pentru atacatori să elimine un atac de cache-otrăvire împotriva serverului DNS, spun experții în securitate.

[Citirea suplimentară: Cele mai bune casete NAS pentru streaming media

Firewall-urile care fac IP (Internet Protocol) traduceri de adrese - convertesc adresele IP folosite de calculatoare in retelele interne catre diferite adrese IP

Acest lucru ar putea duce la atacuri phishing aproape nedetectabile impotriva utilizatorilor acelor servere DNS. care sunt folosite de celelalte computere de pe Internet - uneori pot anula randomizarea portului sursă, spun experții în domeniul securității.

Sfera problemei a luat inițial unii experți DNS prin surprindere, a declarat Dan Kaminsky, cercetătorul IOActive, care a descoperit pentru prima dată bug-ul DNS. "Aceasta este într-o oarecare măsură vina noastră", a spus el într-un interviu prin e-mail. "Am subestimat numărul de firewall-uri care erau instalate în fața serverelor DNS."

"Cisco, Juniper, Citrix și alți furnizori de firewall s-au grăbit să-și actualizeze echipamentele", a adăugat el.

Acești furnizori declară că ar putea fi încă săptămâni înainte ca toate produsele să fie fixate.

Cisco a actualizat, miercuri, consultanța de securitate privind problema DNS pentru a oferi clienților îndrumări cu privire la modul de abordare a problemei, a declarat Russ Smoak, Echipa de răspuns la incidentele de securitate a produselor. Problema afectează clienții Cisco care folosesc paravanul de protecție pentru a face traducerea adreselor de port (PAT), a spus el. "Dacă aveți un paravan de protecție PAT, cel mai bun lucru pe care îl puteți face este să examinați documentul nostru, să înțelegeți configurarea rețelei noastre și dacă aveți nevoie de remedierea furnizată, apoi instalați remedierea."

Între timp, administratorii pot transmite propriile căutări DNS către servere ale căror adrese de port nu sunt traduse sau pur și simplu reconfigura firewall-ul, a spus Kaminsky.

Juniper Networks se așteaptă să furnizeze o opțiune sursă aleatoare pentru produsele sale în următoarele săptămâni, a declarat purtătorul de cuvânt al Juniper Cindy Ta, prin e-mail.

Totuși nu toți furnizorii de firewall sunt afectați. Check Point Software, de exemplu, spune că firewall-urile sale nu au această problemă.

Defectele DNS ale Kaminsky afectează o varietate atât de mare de produse, încât nu este surprinzător faptul că au existat unele erori în procesul de patch-uri. La începutul acestei săptămâni, experții DNS au raportat că plasturele pe care îl creaseră încetini performanța pe unele servere cu trafic ridicat - cele care au fost lovite cu mai mult de 10.000 de interogări pe secundă. Vineri, vânzătorul de securitate nCircle a raportat că soluția Apple pentru problema DNS nu a funcționat corect.

Președintele consorțiului pentru sistemele de Internet Paul Vixie numește problema de traducere a portului "o afacere mare", dar a spus că, în pofida unui scepticism timpuriu, începând să înțeleagă gravitatea situației. Când Kaminsky a discutat prima dată despre problemă, unii experți în securitate au spus că problema pare să fie pur și simplu o rechemare a unei probleme cunoscute.

Dar după ce bug-ul a fost dezvăluit neașteptat săptămâna trecută, unii sceptici și-au schimbat tonul. continuă să fie un dezastru ", a spus el prin e-mail. "Dar cel puțin nu mai există nici un fel de neglijenți care să umble apele cu mesajul" suprasolicitat, nu urgent ".

(PC World Will Schultz a contribuit la această poveste.)