Bug im DNS-Server

[Muffel 11]

Sowohl auf einem Echt-System (Windows Server 2003 R2, hostet ausschließlich sekundäre Zonen) als auch auf einer Virtual Machine (Small Business Server 2003 R2, er ist DC udn sein eigener DNS-Server) macht der DNS-Server-Dienst jeweils irrsinnig viele Ports auf. Die beiden Server sind in verschiedenen Netzwerken, haben verschiedene Domains und haben absolut NICHTS miteinander zu tun. Ein kleiner Ausschnitt (NETSTAT -A):

 

 UDP    v-sbs2003r2:58458      *:*
 UDP    v-sbs2003r2:58459      *:*
 UDP    v-sbs2003r2:58511      *:*
 UDP    v-sbs2003r2:58549      *:*
 UDP    v-sbs2003r2:58561      *:*
 UDP    v-sbs2003r2:58598      *:*
 UDP    v-sbs2003r2:58623      *:*
 UDP    v-sbs2003r2:58683      *:*
 UDP    v-sbs2003r2:58727      *:*
 UDP    v-sbs2003r2:58754      *:*
 UDP    v-sbs2003r2:58775      *:*
 UDP    v-sbs2003r2:58818      *:*
 UDP    v-sbs2003r2:58847      *:*
 UDP    v-sbs2003r2:58861      *:*
 UDP    v-sbs2003r2:58866      *:*
 UDP    v-sbs2003r2:58875      *:*
 UDP    v-sbs2003r2:58894      *:*
 UDP    v-sbs2003r2:58902      *:*
 UDP    v-sbs2003r2:58930      *:*
 UDP    v-sbs2003r2:58965      *:*
 UDP    v-sbs2003r2:58982      *:*
 UDP    v-sbs2003r2:58985      *:*
 UDP    v-sbs2003r2:59032      *:*
 UDP    v-sbs2003r2:59058      *:*
 UDP    v-sbs2003r2:59097      *:*
 UDP    v-sbs2003r2:59110      *:*
 UDP    v-sbs2003r2:59111      *:*
 UDP    v-sbs2003r2:59174      *:*
 UDP    v-sbs2003r2:59191      *:*
 UDP    v-sbs2003r2:59236      *:*
 UDP    v-sbs2003r2:59251      *:*
 UDP    v-sbs2003r2:59299      *:*
 UDP    v-sbs2003r2:59345      *:*
 UDP    v-sbs2003r2:59367      *:*
 UDP    v-sbs2003r2:59386      *:*
 UDP    v-sbs2003r2:59424      *:*
 UDP    v-sbs2003r2:59443      *:*
 UDP    v-sbs2003r2:59454      *:*
 UDP    v-sbs2003r2:59505      *:*
 UDP    v-sbs2003r2:59551      *:*

 

Davon sind zehntausende zu sehen! Ist das ein Bug? Woran könnte es liegen?

 

Sobald man den DNS-Server-Dienst beendet werden nach und nach alle Ports geschlossen, sobald man den Dienst wieder statet rennt er wieder von vorn los und öffnet neue Ports in nahezu unendlicher Vielfalt.

[LukasB 10]

Das ist kein Bug, das ist By Design.

 

Microsoft Security Bulletin MS08-037 – Important: Vulnerabilities in DNS Could Allow Spoofing (953230)

[Gulp 269]

Ist kein Bug, sondern der Fix für den vor Kurzem veröffentlichten DNS Exploit:

 

Microsoft Security Bulletin MS08-037 – Hoch

Sicherheitsanfälligkeiten in DNS können Spoofing ermöglichen (953230)

 

Grüsse

 

Gulp

[Muffel 11]

Und jetzt erklärt ihr mir bitte noch, wie man Spoofing umgeht, indem man 10.000 weitere Ports eröffnet, denn auf den Technet-Seiten wird dazu kein Pieps nichts erwähnt.

 

Also mal logisch nachgefragt. Wenn ich auf UDP-Port 53 ein Problem habe, warum sollte dann das Öffnen tausender anderer UDP-Ports das Problem beheben? Wenn ich ein offenes Fenster im Haus habe, welches kein richtiges Gitter für den Schutz vor Einbrechern hat, dann verbessere ich doch die Sicherheit nicht dadurch, dass ich dem Einbrecher tausende zusätzliche Fenster öffne. Das wäre doch totaler Unsinn!

 

Gibts hier Firewall-Spezialisten, die mir das erklären können?

[olc 18]

Hi,

 

das Verhalten ist im Grunde nicht die Lösung, sondern ein Provisorium. Das Problem ist das DNS Design, da kann auch kein (kurzfistiger) Hotfix helfen. Anbei eine kurze Erläuterung, warum das Öffnen weiterer UDP Ports das Problem entschärft:

 

Administratoren sollen nun nicht mehr zögern und die für ihren Nameserver verfügbaren Patches installieren. Die sorgen dafür, dass durch die Zufälligkeit des Source-Ports einer DNS-Anfrage der Angreifer nicht nur die Transaktion-ID erraten muss, sondern zusätzlich den UDP-Port. Letztlich löst dies das Problem nicht wirklich, sondern sorgt nur für einen Aufschub.

 

Viele Grüße

olc