* Estás vendo os posts etiquetados como ‘dns’

DNS Cache poisoning

Adrián Chapela Xullo 29, 2008 Artigos Técnicos, Internet Sen Comentarios

Tags: ,

Envenenando a cache DNS. Recentemente (relativamente), 07/07/2008 detectouse unha vulnerabilidade do DNS que se ven arrastrando dende a creación do protocolo. A vulnerabilidade pode provocar que as respostas que dan os servidores DNS sexan incorrectas.

Dan Kaminsky (www.doxpara.com) sacou á luz o tremendo bug que tiña o protocolo DNS. Na súa web (www.doxpara.com) dispón de un botón para comprobar que os DNS que temos configurados non son vulnerables.

Actualmente todavía continuan algúns servidores de nomes ca vulnerabilidade. En BandaAncha.eu podedes comprobar unha lista. Aquí tedes o enlace: http://bandaancha.eu/analizador-dns. Esa lista non é fiable o 100% xa que, as consultas non teñen por qué ser satisfeitas polo servidor ó que consultamos e pouco a pouco todos os servidores van aplicando os parches de seguridade, polo que pode que nos toque un que teña a vulnerabilidade e outro que non.

Para estar completamente seguros eu recomendo usar OpenDNS. Dende o primeiro momento non estiveron afectados e incluso dicen que nunca estiveron afectados. Os servidores DNS de OpenDNS son:

208.67.222.222
208.67.220.220

Para comprobar se un servidor está afectado podemos usar:

dig @IP_SERVIDOR +short porttest.dns-oarc.net TXT

So temos que substituir IP_SERVIDOR pola dirección IP do servidor IP a consultar.

Rexistros SPF DNS

Adrián Chapela Xullo 28, 2008 Artigos Técnicos, Internet Sen Comentarios

Tags: ,

Para evitar que se envíen correos dende un dominio de forma fraudulenta, inventouse o SPF (Sender Policy Framework). Con isto veríficase o servidor dende onde se envía o correo, faise por IP e nome de dominio.  Algúns dos servizos máis comunmente usados como Gmail, Yahoo ou Hotmail implementan este tipo de políticas, ademáis de que nalgúns casos rechazan ou marcan como SPAM correos, se o dominio non implementa a política SPF. Polo tanto é recomendable ter configurado unha política SPF para asegurarse de cumplir os máximos requisitos dos servidores de correo máis exixentes.

Por exemplo, se usamos as IP’s 10.1.1.1 e 10.2.2.2 para enviar correo electrónico, e temos un rexistro smtp.omeudominio.com que apunta a un servidor SMTP, podemos xerar o seguinte rexistro SPF(exemplo de configuración para o servidor BIND):

omeudominio.com. IN TXT “v=spf1 ip4:10.1.1.1 ip4:10.2.2.2 a:smtp.omeudominio.com -all”

En OpenSPF podedes atopar máis información de como configurar este rexistro de tipo TXT.