Re: [FUG-BR] Bind cache poisoning
o meu fica dano esse erro..sera que o meu esta seguro.. Jul 30 08:21:19 liu named[3162]: client 149.20.56.10#10053: query (cache) 'not-an-attack.dan-kaminsky.browse-deluvian.doxpara.com/ANY/IN' denied Jul 30 08:22:26 liu named[3162]: client 149.20.56.10#10053: query (cache) 'not-an-attack.dan-kaminsky.browse-deluvian.doxpara.com/ANY/IN' denied Jul 30 08:24:50 liu named[3162]: client 149.20.56.10#10053: query (cache) 'not-an-attack.dan-kaminsky.browse-deluvian.doxpara.com/ANY/IN' denied > >> Date: Mon, 28 Jul 2008 11:19:20 -0300 >> From: [EMAIL PROTECTED] >> To: freebsd@fug.com.br >> Subject: [FUG-BR] Bind cache poisoning >> >> Bom dia a todos, >> >> Atualizei o bind, mas mesmo assim ele continua vulnerável >> conforme teste online que fiz no site abaixo: >> >> https://www.dns-oarc.net/oarc/services/dnsentropy > > Verifique no named.conf se você está usando a opção "query source port". > Se sim, remova. > >> >> Já testei as versões 9.4.2 e 9.5.0 aplicando os respectivos patches, >> porém >> sem sucesso, aparentemente ele continua vulnerável a ataques do tipo >> cache >> poisoning. Já tentei também instalar via ports (depois de atualizado >> com >> portsnap), e até mesmo um "make installworld" (depois de atualizar >> /usr/src >> com csup). A única solução mesmo é o DNSSEC? > > A randomização da porta de origem da consulta dificulta a ação do > atancante, já que ele precisaria acertar a porta de origem + query id, > além do spoofing do ip do servidor autoritativo. > Como isso apenas dificulta, e não impede alguém de forjar uma resposta e > seu servidor recursivo "engolir", a única solução hoje é o dnssec. > >> >> Obrigado a todos pela atenção >> >> Samuel Peres >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > _ > Instale a Barra de Ferramentas com Desktop Search e ganhe EMOTICONS para o > Messenger! É GRÁTIS! > http://www.msn.com.br/emoticonpack > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Bind cache poisoning
On Tuesday 29 July 2008, João Paulo Just wrote: > samuel peres wrote: > | Boa noite, > | > |Removi "query source port" do meu named.conf e "resolveu" > | o problema. > | > | Obrigado! > > No meu bind, essa opção já estava comentada, mas continua fazendo > pedidos de DNS pela mesma porta. > > -- > João Paulo Just > Diretor Executivo - Justsoft Informática Ltda. > http://www.justsoft.com.br/ Tem que aplicar o patch e recompilar o bind -- Mario Lobo Segurança de Redes - Desenvolvimento e Análise IPAD - Instituto de Pesquisa e Apoio ao Desenvolvimento Tecnológico e Científico - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Bind cache poisoning
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 TIsOrA TAIUVA wrote: |> Tenha certeza de que você está usando uma das versões do bind que ramdomizam a porta de origem (9.5.0-P1, 9.4.2-P1, 9.3.5-P1). Para saber execute /named -v | |> Outra questão é se seu servidor está atrás de um NAT. Se o NAT não implementar também a ramdomização das portas de origem quando ele "monta" os pacotes do seu servidor DNS para enviar para fora, a solução do patch do bind foi por água abaixo. Desculpem minha "cabacisse", mas eu havia atualizado já o named há alguns dias mas havia esquecido de dar um restart no serviço :( Depois do restart, funcionou. - -- João Paulo Just Diretor Executivo - Justsoft Informática Ltda. http://www.justsoft.com.br/ - -- Feira de Santana, BA, Brasil. +55 75 8104 8473 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFIjy8HXL+vuN2d7ZwRAk3sAJ9IzQCKsVeWzkF3rREUGx4gQG7lLQCgqeR+ xbHyMiBbM5y7p6TAUtC2jh0= =aLuw -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Bind cache poisoning
> Date: Tue, 29 Jul 2008 12:04:32 + > From: [EMAIL PROTECTED] > To: freebsd@fug.com.br > Subject: Re: [FUG-BR] Bind cache poisoning > > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA1 > > samuel peres wrote: > | Boa noite, > | > | Removi "query source port" do meu named.conf e "resolveu" o > | problema. > | > | Obrigado! > > No meu bind, essa opção já estava comentada, mas continua fazendo > pedidos de DNS pela mesma porta. Tenha certeza de que você está usando uma das versões do bind que ramdomizam a porta de origem (9.5.0-P1, 9.4.2-P1, 9.3.5-P1). Para saber execute /named -v Outra questão é se seu servidor está atrás de um NAT. Se o NAT não implementar também a ramdomização das portas de origem quando ele "monta" os pacotes do seu servidor DNS para enviar para fora, a solução do patch do bind foi por água abaixo. > > - -- > João Paulo Just > Diretor Executivo - Justsoft Informática Ltda. > http://www.justsoft.com.br/ > - -- > Feira de Santana, BA, Brasil. > +55 75 8104 8473 > -BEGIN PGP SIGNATURE- > Version: GnuPG v1.4.6 (GNU/Linux) > Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org > > iD8DBQFIjwdQXL+vuN2d7ZwRAvv2AKCH9dR1jX99XXvZPi4i7K7939AeEQCdHv7X > enbzGv0/kRw9Z4oo/IvpCaA= > =SuSy > -END PGP SIGNATURE- > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd _ Cansado de espaço para só 50 fotos? Conheça o Spaces, o site de relacionamentos com até 6,000 fotos! http://www.amigosdomessenger.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Bind cache poisoning
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 samuel peres wrote: | Boa noite, | |Removi "query source port" do meu named.conf e "resolveu" o | problema. | | Obrigado! No meu bind, essa opção já estava comentada, mas continua fazendo pedidos de DNS pela mesma porta. - -- João Paulo Just Diretor Executivo - Justsoft Informática Ltda. http://www.justsoft.com.br/ - -- Feira de Santana, BA, Brasil. +55 75 8104 8473 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFIjwdQXL+vuN2d7ZwRAvv2AKCH9dR1jX99XXvZPi4i7K7939AeEQCdHv7X enbzGv0/kRw9Z4oo/IvpCaA= =SuSy -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Bind cache poisoning
2008/7/28 TIsOrA TAIUVA <[EMAIL PROTECTED]> > > > > > Date: Mon, 28 Jul 2008 11:19:20 -0300 > > From: [EMAIL PROTECTED] > > To: freebsd@fug.com.br > > Subject: [FUG-BR] Bind cache poisoning > > > > Bom dia a todos, > > > > Atualizei o bind, mas mesmo assim ele continua vulnerável > > conforme teste online que fiz no site abaixo: > > > > https://www.dns-oarc.net/oarc/services/dnsentropy > > Verifique no named.conf se você está usando a opção "query source port". Se > sim, remova. > > > > > Já testei as versões 9.4.2 e 9.5.0 aplicando os respectivos patches, > porém > > sem sucesso, aparentemente ele continua vulnerável a ataques do tipo > cache > > poisoning. Já tentei também instalar via ports (depois de atualizado com > > portsnap), e até mesmo um "make installworld" (depois de atualizar > /usr/src > > com csup). A única solução mesmo é o DNSSEC? > > A randomização da porta de origem da consulta dificulta a ação do > atancante, já que ele precisaria acertar a porta de origem + query id, além > do spoofing do ip do servidor autoritativo. > Como isso apenas dificulta, e não impede alguém de forjar uma resposta e > seu servidor recursivo "engolir", a única solução hoje é o dnssec. > > > > > Obrigado a todos pela atenção > > > > Samuel Peres > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > Boa noite, Removi "query source port" do meu named.conf e "resolveu" o problema. Obrigado! -- Samuel Peres - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Bind cache poisoning
ou use djbdns :) vou pedir comissão 2008/7/28 TIsOrA TAIUVA <[EMAIL PROTECTED]> > > > > > Date: Mon, 28 Jul 2008 11:19:20 -0300 > > From: [EMAIL PROTECTED] > > To: freebsd@fug.com.br > > Subject: [FUG-BR] Bind cache poisoning > > > > Bom dia a todos, > > > > Atualizei o bind, mas mesmo assim ele continua vulnerável > > conforme teste online que fiz no site abaixo: > > > > https://www.dns-oarc.net/oarc/services/dnsentropy > > Verifique no named.conf se você está usando a opção "query source port". Se > sim, remova. > > > > > Já testei as versões 9.4.2 e 9.5.0 aplicando os respectivos patches, > porém > > sem sucesso, aparentemente ele continua vulnerável a ataques do tipo > cache > > poisoning. Já tentei também instalar via ports (depois de atualizado com > > portsnap), e até mesmo um "make installworld" (depois de atualizar > /usr/src > > com csup). A única solução mesmo é o DNSSEC? > > A randomização da porta de origem da consulta dificulta a ação do > atancante, já que ele precisaria acertar a porta de origem + query id, além > do spoofing do ip do servidor autoritativo. > Como isso apenas dificulta, e não impede alguém de forjar uma resposta e > seu servidor recursivo "engolir", a única solução hoje é o dnssec. > > > > > Obrigado a todos pela atenção > > > > Samuel Peres > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > _ > Instale a Barra de Ferramentas com Desktop Search e ganhe EMOTICONS para o > Messenger! É GRÁTIS! > http://www.msn.com.br/emoticonpack > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Luiz Gustavo - BSD/Linux User <===\ <===|=== www.luizgustavo.pro.br === <===/ ICQ: 2890831 / MSN: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Bind cache poisoning
> Date: Mon, 28 Jul 2008 11:19:20 -0300 > From: [EMAIL PROTECTED] > To: freebsd@fug.com.br > Subject: [FUG-BR] Bind cache poisoning > > Bom dia a todos, > > Atualizei o bind, mas mesmo assim ele continua vulnerável > conforme teste online que fiz no site abaixo: > > https://www.dns-oarc.net/oarc/services/dnsentropy Verifique no named.conf se você está usando a opção "query source port". Se sim, remova. > > Já testei as versões 9.4.2 e 9.5.0 aplicando os respectivos patches, porém > sem sucesso, aparentemente ele continua vulnerável a ataques do tipo cache > poisoning. Já tentei também instalar via ports (depois de atualizado com > portsnap), e até mesmo um "make installworld" (depois de atualizar /usr/src > com csup). A única solução mesmo é o DNSSEC? A randomização da porta de origem da consulta dificulta a ação do atancante, já que ele precisaria acertar a porta de origem + query id, além do spoofing do ip do servidor autoritativo. Como isso apenas dificulta, e não impede alguém de forjar uma resposta e seu servidor recursivo "engolir", a única solução hoje é o dnssec. > > Obrigado a todos pela atenção > > Samuel Peres > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd _ Instale a Barra de Ferramentas com Desktop Search e ganhe EMOTICONS para o Messenger! É GRÁTIS! http://www.msn.com.br/emoticonpack - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Bind cache poisoning
Bom dia a todos, Atualizei o bind, mas mesmo assim ele continua vulnerável conforme teste online que fiz no site abaixo: https://www.dns-oarc.net/oarc/services/dnsentropy Já testei as versões 9.4.2 e 9.5.0 aplicando os respectivos patches, porém sem sucesso, aparentemente ele continua vulnerável a ataques do tipo cache poisoning. Já tentei também instalar via ports (depois de atualizado com portsnap), e até mesmo um "make installworld" (depois de atualizar /usr/src com csup). A única solução mesmo é o DNSSEC? Obrigado a todos pela atenção Samuel Peres - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd