Firewall-Anbieter versuchen DNS-Problem zu beheben

Fast einen Monat, nachdem ein kritischer Fehler im Domain Name System des Internets zum ersten Mal gemeldet wurde, versuchen Anbieter einer der am weitesten verbreiteten Firewall-Software, ein Problem zu beheben, das einen Teil der Patches, die diesen Fehler beheben, rückgängig machen kann > Der DNS-Fehler betrifft Server-Software von vielen Herstellern, einschließlich Microsoft, Cisco Systems und dem Internet Systems Consortium.

Einige Firewall-Software macht eine Quell-Port-Randomisierungsfunktion rückgängig, die in den DNS-Patches eingeführt wurde. Während diese Änderung den DNS-Patch nicht vollständig negiert, könnte es Angreifern die Durchführung eines Cache-Poisoning-Angriffs gegen den DNS-Server erleichtern, sagen Sicherheitsexperten.

[Weiterführende Literatur: Beste NAS-Boxen für Media-Streaming und backup]

Dies kann zu praktisch nicht mehr nachweisbaren Phishing-Angriffen gegen Benutzer dieser DNS-Server führen.

Firewalls, die IP (Internet Protocol) -Adressenumsetzung durchführen - die von Computern in ihren internen Netzwerken verwendeten IP-Adressen werden in unterschiedliche IP-Adressen umgewandelt die von den anderen Computern im Internet verwendet werden - können manchmal die Quell-Port-Randomisierung rückgängig machen, sagen Sicherheitsexperten.

Der Umfang des Problems hat zunächst einige DNS-Experten überrascht, sagte Dan Kaminsky, der IOActive-Forscher, der zuerst entdeckte der DNS-Fehler. "Das ist zu einem gewissen Grad unsere Schuld", sagte er in einem E-Mail-Interview. "Wir haben die Anzahl der Firewalls, die vor den DNS-Servern installiert wurden, unterschätzt."

"Cisco, Juniper, Citrix und eine Reihe anderer Firewall-Hersteller haben sich gerade darum gekümmert, ihre Geräte zu aktualisieren", fügte er hinzu

Diese Anbieter sagen, es könnte noch Wochen dauern, bis alle Produkte repariert sind.

Am Mittwoch aktualisierte Cisco seine Sicherheitsempfehlung zum DNS-Problem, um den Kunden eine Anleitung zur Handhabung des Problems zu geben, sagte Russ Smoak, Director bei Cisco Produktsicherheits-Reaktionsteam. Das Problem betrifft Cisco-Kunden, die die Firewall verwenden, um Port-Adress-Übersetzung (PAT) zu tun, sagte er. "Wenn Sie über eine PAT-Firewall verfügen, sollten Sie unser Dokument durchsehen, verstehen, wie unser Netzwerk konfiguriert ist, und falls Sie das bereitgestellte Update benötigen, dann installieren Sie das Update."

In der Zwischenzeit Netzwerk Administratoren können ihre DNS-Lookups an Server weiterleiten, deren Port-Adressen nicht übersetzt werden, oder einfach die Firewall neu konfigurieren, sagte Kaminsky.

Juniper Networks erwartet in den kommenden Wochen eine zufällige Source-Port-Option für seine Produkte, sagte Juniper-Sprecherin Cindy Ta per E-Mail.

Betroffen sind jedoch nicht alle Firewall-Anbieter. Check Point Software zum Beispiel sagt, dass seine Firewalls dieses Problem nicht haben.

Kaminskys DNS-Fehler betrifft eine so große Vielfalt von Produkten, dass es nicht überraschend ist, dass es im Patch-Prozess einige Störungen gab. Anfang dieser Woche berichteten DNS-Experten, dass der Patch, den sie erstellt hatten, die Leistung einiger Server mit hohem Datenverkehr verlangsamte - jene, die mit mehr als 10.000 Abfragen pro Sekunde betroffen waren. Am Freitag meldete der Sicherheitsanbieter nCircle, dass Apples Lösung für das DNS-Problem nicht korrekt funktionierte.

Paul Vixie, der Präsident des Internet Systems Consortium, nennt das Port-Übersetzungsproblem eine "große Sache", aber trotz anfänglicher Skepsis beginnen, den Ernst der Situation zu verstehen. Als Kaminsky das Problem zum ersten Mal diskutierte, hatten einige Sicherheitsexperten gesagt, dass das Problem einfach eine Neuaufbereitung eines bekannten Problems zu sein schien.

Aber nachdem der Fehler letzte Woche versehentlich bekannt wurde, änderten einige Skeptiker ihre Meinung.

"This ist weiterhin ein Durcheinander ", sagte er per E-Mail. "Aber zumindest gibt es keine Leugner mehr, die mit der 'übertriebenen, nicht dringenden' Botschaft die Gewässer verdüstern."

(Will Will Schultz von PC World hat zu dieser Geschichte beigetragen.)