Descripción: El servidor DNS remoto responde a cualquier solicitud. Es posible consultar los servidores de nombres (NS) de la zona raíz (‘.’) y obtienen una respuesta que es más grande que la solicitud original. Al suplantar la fuente IP dirección, un atacante remoto puede aprovechar esta ‘amplificación’ para lanzar un ataque de denegación de servicio contra un host de terceros que usa el control remoto Servidor DNS

 

CVE: CVE-2006-0987
Factor de Riesgo: Medio
Valor CVSS Base: 5

 

Solución:

Primero se deben detectar si los DNS de la organización estan abiertos para resolver DNS de manera recursiva. Para ello se puede validar por medio de los siguientes sitios:

Open DNS Resolver Project
http://openresolverproject.org

The Measurement Factory
http://dns.measurement-factory.com

DNSInspect
http://www.dnsinspect.com

Si se recibe una respuesta de consulta sin una solicitud que coincida, el servicio se encuentra vulnerable.

Para mitigar esta vulnerabilidad se debe:

  1. Habilitar la verificación de origen de IPSe debe solicitar a la ISP que filtre el trafico de red en sus redes para que rechacen paquetes donde la dirección de origen no se pueda alcanzar mediante la actual ruta del paquete.
    Adicional a lo anterior, de ser posible se debe habilitar el filtrado de ingreso a la red.
  2. Deshabilitar la recursividad en los Authoritative Name Servers.Para reconfigurar la recursividad, se deben aplicar las siguientes configuraciones dependiendo del sistema:

    Linux:
    Añadir en el archivo /etc/bind/named.conf del servicio bind9,en la sección de configuraciones globales:
    options {
    allow-query-cache { none; };
    recursion no;
    };

    Windows:

    En la consola de administracion DNS de Microsoft:

    * Dar click derecho sobre el servidor DNS y seleccionar la opcion propiedades
    * Seleccionar la pestaña “Avanzado”
    * En las opciones de servidor, seleccionar la opción “Deshabilitar recursión”, y luego dar click en Aceptar.

  3. Limitar la recursión a clientes autorizadosPara permitir la recursividad solo a clientes autorizados, se deben aplicar las siguientes configuraciones dependiendo del sistema:Linux:
    Añadir en el archivo /etc/bind/named.conf del servicio bind9,en la sección de configuraciones globales:
    acl corpnets { 192.168.1.0/24; 192.168.2.0/24; };
    options {
    allow-query { any; };
    allow-recursion { corpnets; };
    };

    Windows:

    Windows Server 2012R2 y anteriores:

    Se debe configurar un servidor unicamente para el almacenamiento cache de nombres diferente al servidor DNS, esto para proveer resolución recursiva de DNS para la red interna. Adicional a esto se debe establecer una regla en el firewall para bloquear el acceso de entrada desde redes externas al servidor de unicamente cache .

    Windows Server 2016 y superior:

    Se deben ejecutar en powershell los siguientes comandos:

    Add-DnsServerResponseRateLimitingExceptionlist -Name “SafeList1” -Fqdn “EQ,*.contoso.com”

    Add-DnsServerResponseRateLimitingExceptionlist -Name “SafeInterface” -ServerInterface “EQ,20.0.0.1”

  4. Limitar la tasa de respuesta (RRL)

    Linux
    :
    En versiones superiores a bind9 9.8, añadir en el archivo /etc/bind/named.conf del servicio ,en la sección de authorative views:
    acl corpnets { 192.168.1.0/24; 192.168.2.0/24; };
    rate-limit {
    responses-per-second 5;
    window 5;
    };Windows:

    Windows Server 2012R2 y anterior:

    Se debe configurar un servidor unicamente para el almacenamiento cache de nombres diferente al servidor DNS, esto para proveer resolución recursiva de DNS para la red interna. Adicional a esto se debe establecer una regla en el firewall para bloquear el acceso de entrada desde redes externas al servidor de unicamente cache

    Windows Server 2016 y superior:

    Se debe ejecutar en powershell el siguiente comando :Set-DnsServerResponseRateLimiting -WindowInSec 7 -LeakRate 4 -TruncateRate 3 -ErrorsPerSec 8 -ResponsesPerSec 8

Referencias:
https://www.us-cert.gov/ncas/alerts/TA13-088A
http://ziyaadramdianee.com/enable-response-rate-limiting-in-windows-server-2016/
https://blogs.technet.microsoft.com/teamdhcp/2015/08/28/response-rate-limiting-in-windows-dns-server
https://www.tenable.com/plugins/nessus/35450

1 Response Comment

  • John04/09/2018 at 9:18 pm

    Buena tarde, pregunta, ¿el certificado que solicita puede ser auto firmado?

    Reply

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like