+ Responder ao Tópico



  1. #1
    makwanza
    Visitante

    Padrão Grande vulnerabilidade no bind e ninguem ta aí?

    Hoje estava discutindo com meu professor da faculdade sobre uma grande vulnerabilidade que o BIND tem em geral. Na verdade não é uma vulnerabilidade do BIND e sim falta de cuidado dos administradores de sistemas.
    O que acontece é que facilmente podemos pegar uma transferencia de zona de MUITOS servidores por aí. O que eu vou mostrar a vocês, provavelmente vocês já sabem mas é informação preciosa para hackers.

    Vamos usar um domínio qualquer para fazer um teste:
    No caso, um site famoso no brasil cocadaboa.com ( na verdade grande parte dos dominios tem esse problema )

    Utilizando-se de uma ferramenta como a do site http://www.samspade.org podemos achar os servidores DNS do site (até aí tudo normal):

    Código :
    Domain servers in listed order: 
    ns1.adiungo.com 
    ns2.adiungo.com



    Utilizando-se de nslookup:
    http://www.makwanza.com/mostra.jpg

    E acabamos de fazer uma transferencia de zonas do dominio. Parece que não é muito, mas como já disse, um hacker pode se aproveitar e muito de um tipo de informação como essa: ex. ftp,mail e www no mesmo servidor, etc..

    E porque isso?
    Alguns administradores esquecem que no BIND, por default o servidor DNS pode transferir zonas para qualquer host.
    O concerto é SIMPLES:
    basta adicionar a linha allow-transfer { none; }; ou allow-transfer{ ip;}; onde o ip seria o endereço do seu servidor secundário.
    Não há porque dar de graça esse tipo de informação.
    Repitam o mesmo experimento com até grande empresas que vocês ficaram surpresos como eles estão vulneráveis a estar dando informação de graça como essa.

    Só gostaria de dizer que nada do que fiz é ilegal, apenas fiz uma transferencia de zona, o que é legítimo porém pode ser informação que não deve estar em mãos de todos assim.
    Estou contactando os responsaveis pelo servidor de DNS do cocadaboa para notificar sobre o problema.
    O que vocês acham? Será que não é algo tão importante assim para se preocupar?

  2. #2
    flycode
    Visitante

    Padrão Grande vulnerabilidade no bind e ninguem ta aí?

    Poxa, que vunerabilidade hein. Me desculpe a ignorancia, mas onde que eu colocaria allow-transfer { none; }; ? Vlw



  3. #3
    DEBIANCCO
    Visitante

    Padrão BIND FALHA

    VC DEVE COLOCAR ESTAS INFORMACOES, NO NAMED.CONF, LOGO ABAIXO DAS CONFIGURACOES DO DOMINIO

  4. #4
    flycode
    Visitante

    Padrão Grande vulnerabilidade no bind e ninguem ta aí?

    Ah blz, vlw DEBIANCCO.



  5. #5

    Padrão Grande vulnerabilidade no bind e ninguem ta aí?

    poe:

    allow-transfer { none; };

    dentro do options {}; que fica no começo do named.conf

    ficaria tipo assim:

    options {
    allow-transfer { none; };

    };

    :P :good:

  6. #6
    flycode
    Visitante

    Padrão Grande vulnerabilidade no bind e ninguem ta aí?

    Opa DropALL,


    NO maned.conf do meu server não tem a opção options, eu poderia estar acrescentando na 1º linha, ou teria quer abaixo de key "rndc-key"?

    Tu saberia como eu fazeria para ocultar a versão do Bind? Pois acho que seria interessante tb, pois se algum intruso chegar a ver a versão do bind, ele pode procurar por falhas de segurança conhecidas e divulgadas na Internet para realizar uma invasão bem sucedida.


    Abraços.



  7. #7

    Padrão Grande vulnerabilidade no bind e ninguem ta aí?

    Ocultar a versão do BIND?! Simples... acrescente dentro de options a seguinte linha:

    version "MinhaVersao";

    Se não tem a opção options acrescente ela também, pra mim é a primeira coisa que aparece no named.conf

    options {
    directory "/var/named";
    version "MinhaVersao";
    allow-transfer{ none; };
    /*
    * E o que mais vc quiser colocar, é só procurar na documentação
    */

    };

  8. #8
    flycode
    Visitante

    Padrão Grande vulnerabilidade no bind e ninguem ta aí?

    Vlw nod3vic3. Ja coloquei la no named.conf


    Abraços



  9. #9
    Mr_Mind
    Visitante

    Padrão Grande vulnerabilidade no bind e ninguem ta aí?

    isso não é nenhuma VULNERABILIDADE... mas sim azelhice dos admins. aliás... quem não percebe do que está a fazer, não é admin. eu não estou nem aí pra esta "falha", uma vez que também nem sequer uso bind :-)

  10. #10

    Padrão Grande vulnerabilidade no bind e ninguem ta aí?

    Pô Mr_Mind, sem querer ofender, mas se não vai ajudar não atrapalha...

    isso não é nenhuma VULNERABILIDADE... mas sim azelhice dos admins. aliás... quem não percebe do que está a fazer, não é admin. eu não estou nem aí pra esta "falha", uma vez que também nem sequer uso bind



  11. #11
    bouncer
    Visitante

    Padrão ixix

    usa chroot com named

  12. #12
    Mr_Mind
    Visitante

    Padrão Grande vulnerabilidade no bind e ninguem ta aí?

    Citação Postado originalmente por nod3vic3
    Pô Mr_Mind, sem querer ofender, mas se não vai ajudar não atrapalha...
    ajudar não é dar peixe para quem tem fome, mas sim dar-lhe a cana e ensiná-lo a pescar! é o que vos faz falta neste fórum! :@:



  13. #13

    Padrão Grande vulnerabilidade no bind e ninguem ta aí?

    Concordo com o mr_mind, não adianta dar o peixe pq toda hora que vc tiver com fome vc vai ter que ficar no peh de alguem pra te ajudar
    Jah existem varios artigos aqui no site e em outro lugares sobre o assunto, inclusive passo-a-passo e ainda assim o pessoal acha que nao ta bom....

    O forum serve para esclarecimento de duvidas e não como area de help-desk

    configurar para vc e de graça ninguem vai fazer :P

  14. #14
    flycode
    Visitante

    Padrão Grande vulnerabilidade no bind e ninguem ta aí?

    Primeiramente gostaria de agradecer aos usuários que tiraram minhas duvidas, como o DropALL, nod3vic3, ao makwanza que mostrou essa falha, e com certeza servirá para outras pessoas tb.

    Ae 1c3_m4n, eu num to achando que isso aqui é helpdesk não, apenas quiz tirar minhas duvidas, e pessoas de bom senso as postaram aqui, assim como alguem tiver alguma dúvida, irei postar com maior prazer, pois isso aqui é pra se ajudar e ser ajudado.