Grande vulnerabilidade no bind e ninguem ta aí?

[makwanza]

Hoje estava discutindo com meu professor da faculdade sobre uma grande vulnerabilidade que o BIND tem em geral. Na verdade não é uma vulnerabilidade do BIND e sim falta de cuidado dos administradores de sistemas.
O que acontece é que facilmente podemos pegar uma transferencia de zona de MUITOS servidores por aí. O que eu vou mostrar a vocês, provavelmente vocês já sabem mas é informação preciosa para hackers.

Vamos usar um domínio qualquer para fazer um teste:
No caso, um site famoso no brasil cocadaboa.com ( na verdade grande parte dos dominios tem esse problema )

Utilizando-se de uma ferramenta como a do site http://www.samspade.org podemos achar os servidores DNS do site (até aí tudo normal):

Código :

Domain servers in listed order: 
ns1.adiungo.com 
ns2.adiungo.com

Utilizando-se de nslookup:
http://www.makwanza.com/mostra.jpg

E acabamos de fazer uma transferencia de zonas do dominio. Parece que não é muito, mas como já disse, um hacker pode se aproveitar e muito de um tipo de informação como essa: ex. ftp,mail e www no mesmo servidor, etc..

E porque isso?
Alguns administradores esquecem que no BIND, por default o servidor DNS pode transferir zonas para qualquer host.
O concerto é SIMPLES:
basta adicionar a linha allow-transfer { none; }; ou allow-transfer{ ip;}; onde o ip seria o endereço do seu servidor secundário.
Não há porque dar de graça esse tipo de informação.
Repitam o mesmo experimento com até grande empresas que vocês ficaram surpresos como eles estão vulneráveis a estar dando informação de graça como essa.

Só gostaria de dizer que nada do que fiz é ilegal, apenas fiz uma transferencia de zona, o que é legítimo porém pode ser informação que não deve estar em mãos de todos assim.
Estou contactando os responsaveis pelo servidor de DNS do cocadaboa para notificar sobre o problema.
O que vocês acham? Será que não é algo tão importante assim para se preocupar?

[flycode]

Poxa, que vunerabilidade hein. Me desculpe a ignorancia, mas onde que eu colocaria allow-transfer { none; }; ? Vlw

[DEBIANCCO]

VC DEVE COLOCAR ESTAS INFORMACOES, NO NAMED.CONF, LOGO ABAIXO DAS CONFIGURACOES DO DOMINIO

[flycode]

Ah blz, vlw DEBIANCCO.

[DropALL]

poe:

allow-transfer { none; };

dentro do options {}; que fica no começo do named.conf

ficaria tipo assim:

options {
allow-transfer { none; };

};

:P :good:

[flycode]

Opa DropALL,


NO maned.conf do meu server não tem a opção options, eu poderia estar acrescentando na 1º linha, ou teria quer abaixo de key "rndc-key"?

Tu saberia como eu fazeria para ocultar a versão do Bind? Pois acho que seria interessante tb, pois se algum intruso chegar a ver a versão do bind, ele pode procurar por falhas de segurança conhecidas e divulgadas na Internet para realizar uma invasão bem sucedida.


Abraços.

[nod3vic3]

Ocultar a versão do BIND?! Simples... acrescente dentro de options a seguinte linha:

version "MinhaVersao";

Se não tem a opção options acrescente ela também, pra mim é a primeira coisa que aparece no named.conf

options {
directory "/var/named";
version "MinhaVersao";
allow-transfer{ none; };
/*
* E o que mais vc quiser colocar, é só procurar na documentação
*/

};

[flycode]

Vlw nod3vic3. Ja coloquei la no named.conf


Abraços

[Mr_Mind]

isso não é nenhuma VULNERABILIDADE... mas sim azelhice dos admins. aliás... quem não percebe do que está a fazer, não é admin. eu não estou nem aí pra esta "falha", uma vez que também nem sequer uso bind :-)

[nod3vic3]

Pô Mr_Mind, sem querer ofender, mas se não vai ajudar não atrapalha...

isso não é nenhuma VULNERABILIDADE... mas sim azelhice dos admins. aliás... quem não percebe do que está a fazer, não é admin. eu não estou nem aí pra esta "falha", uma vez que também nem sequer uso bind

[bouncer]

usa chroot com named

[Mr_Mind]

Pô Mr_Mind, sem querer ofender, mas se não vai ajudar não atrapalha...

ajudar não é dar peixe para quem tem fome, mas sim dar-lhe a cana e ensiná-lo a pescar! é o que vos faz falta neste fórum! :@:

[1c3m4n]

Concordo com o mr_mind, não adianta dar o peixe pq toda hora que vc tiver com fome vc vai ter que ficar no peh de alguem pra te ajudar
Jah existem varios artigos aqui no site e em outro lugares sobre o assunto, inclusive passo-a-passo e ainda assim o pessoal acha que nao ta bom....

O forum serve para esclarecimento de duvidas e não como area de help-desk

configurar para vc e de graça ninguem vai fazer :P

[flycode]

Primeiramente gostaria de agradecer aos usuários que tiraram minhas duvidas, como o DropALL, nod3vic3, ao makwanza que mostrou essa falha, e com certeza servirá para outras pessoas tb.

Ae 1c3_m4n, eu num to achando que isso aqui é helpdesk não, apenas quiz tirar minhas duvidas, e pessoas de bom senso as postaram aqui, assim como alguem tiver alguma dúvida, irei postar com maior prazer, pois isso aqui é pra se ajudar e ser ajudado.