---

Kære alle.

Jeg har x-postet til dk.edb.sikkerhed,dk.edb.netvaerk,dk.edb.netvaerk.stort
for at forøge målgruppen.
FUT til dk.edb.sikkerhed.

Baggrund:
Indlægget udspringer af en tråd vi har kørende ovre i sslug.misc.
Der er en, der blev chokeret over at opdage så meget ad/spy/mal-ware osv,
der ligger på en(måske kun hans) windowsmaskine.

Indlæg:
Mit spørgsmål er:
Hvor mange blokerer for port 53 for andre end sine 'egne' dsn servere.
Forlklaring:
Med egne mener jeg her f.eks. ns1.tele.dk,ns2.tele.dk,
og med andre f.eks. www1.microsoft.com.
Med hvor mange mener jeg:
Er det reglen eller undtagelsen, at man kun åbner for port 53 for udvalgte
servere, eller er der generelt åbnet for port 53 mod alle?

Jeg kunne godt tænke mig lidt statistisk baggrund fra 'jer ude i marken',
der *ved* noget om forholdene.

--
Med venlig hilsen
Stig Johansen

---

Stig Johansen wrote:
> Med hvor mange mener jeg:
> Er det reglen eller undtagelsen, at man kun åbner for port 53 for udvalgte
> servere, eller er der generelt åbnet for port 53 mod alle?

Det er desvaerre de faerreste der opdeler deres DNS service paa den
maade - og det er en skam.

Jeg tror, at de steder som goer, er rimeligt store, og har bare
implementeret det netwaerk design de fik udleveret af deres
netvaerkspusher. Det er meget faa steder man har taget den beslutning at
opdele DNS, som man f.eks. tager en beslutning om at have en proxy
server af forskellige aarsager.

Benytter spyware ofte 53/udp til at sende data hjem, siden du spoerger?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Alex Holst wrote:

> Jeg tror, at de steder som goer, er rimeligt store, og har bare
> implementeret det netwaerk design de fik udleveret af deres
> netvaerkspusher.

Du må undskylde, men jeg har lidt svært ved at fortolke din sætning (gør ct.
bare)
Skal det forstås som, 'Hvis de overhovedet opdeler DNS, er de rimiligt
store, men implementeringen er bare osv..'

> Benytter spyware ofte 53/udp til at sende data hjem, siden du spoerger?

Måske, men jeg tænker ligeså meget på *muligheden* for at udnytte det, altså
hvordan tilstanden er pt. kombineret med: 'er det issue man bør forholde
sig til?'

Her er lidt baggrundsinformation for spørgsmålet.
I den tråd, jeg henviste til, snakkede vi også om autoupdate ting, windows
diskmanager, der ønskede at ringe hjem osv. 53/udp er mere det /obskure/
aspekt af diskussionen.
<religionskrig off>
Jeg bruger selv en PFW, fordi det i min hverdag er en højrisiko, *ikke* at
have en.
</religionskrig off>
Det er lang tid siden(bruger primært Linux), men jeg observerede følgende
DNS sekvens:
<glemt>.microsoft.com
ns1.tele.dk
I dette tilfælde er der tale Microsoft IE, men det kan være et hvilket som
helst program, der ønsker at 'ringe hjem'.

En af de muligheder jeg ser, er 'discovery' af internt LAN. Det vil medføre,
at der er mulighed for at identificere brugermasse og adfærd, bag en given
IP.

Det vil nok være OT, at diskutere evt. markedsmæssig be/ud-nyttelse, så jeg
tror jeg stopper her.

--
Med venlig hilsen
Stig Johansen

---

Stig Johansen wrote:
>
> Alex Holst wrote:
>
> > Benytter spyware ofte 53/udp til at sende data hjem, siden du spoerger?
>
> Måske, men jeg tænker ligeså meget på *muligheden* for at udnytte det, altså
> hvordan tilstanden er pt. kombineret med: 'er det issue man bør forholde
> sig til?'

Muligheden er stadig til stede selvom du kun tillader
adgang til dine egne DNS servere.

>
> Jeg bruger selv en PFW, fordi det i min hverdag er en højrisiko, *ikke* at
> have en.

Der er også en stor risiko ved at bruge en.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Kasper Dupont wrote:

> Muligheden er stadig til stede selvom du kun tillader
> adgang til dine egne DNS servere.

Jeg er ikke sikker på, vi snakker om det samme. Det eneste, jeg oprindeligt
syntes var interessant, jfr. min OP var, om man generelt slap al(ukritisk)
udp/53 igennem, eller om man forholder sig til en risikovurdering på dette
issue.
Altså *ikke* om personerne, der sidder her i gruppen gør det, men om små og
mellemstore, og måske store, virksomheder generelt gør det.

Når jeg snakker om muligheden, er meningen *muligheden*, eller måske for at
sende, undskyld udtrykket, en helvedes masse data *uopdaget* hjem til
'opdragsgiver', og ikke til egen DNS server.

Mindsettet er:
Tænk på, hvor mange dejlige data - email/brugerid /password/opsnappede
betalingskort oplysninger, ja endda en kopi af (OCES)certificat, der kan
sendes camoufleret som et DNS-opslag. Der kan jo trods alt være rimelig
mange KB i een enkelt af sådan nogle sataner - pr. stk.
Altså baseret på, eksempelvis, følgende tænkte hændelsesforløb:
Send udp/53 to <insert open proxy here> containing <insert your sensitive
data here> to open proxy forwarding <the same sensitive data here> to
<insert open proxy here> containing ........ - repeat until trace
disappeared.

>> Jeg bruger selv en PFW, fordi det i min hverdag er en højrisiko, *ikke*
>> at have en.
>
> Der er også en stor risiko ved at bruge en.

<facts on>
<religion war off>
Da mit verdensbillede konformer med O'Reilly's klassiker, kan jeg ikke
sige andet end: 'vi er fuldstændig enige'.
</religion war off>
</facts on>

--
Med venlig hilsen
Stig Johansen

---

Stig Johansen wrote:
>
> Kasper Dupont wrote:
>
> > Muligheden er stadig til stede selvom du kun tillader
> > adgang til dine egne DNS servere.
>
> Jeg er ikke sikker på, vi snakker om det samme. Det eneste, jeg oprindeligt
> syntes var interessant, jfr. min OP var, om man generelt slap al(ukritisk)
> udp/53 igennem, eller om man forholder sig til en risikovurdering på dette
> issue.
> Altså *ikke* om personerne, der sidder her i gruppen gør det, men om små og
> mellemstore, og måske store, virksomheder generelt gør det.

Jeg ved det ikke, men jeg tror ikke mange små og mellemstore
virksomheder laver så specifik filtrering af udgående trafik.

>
> Når jeg snakker om muligheden, er meningen *muligheden*, eller måske for at
> sende, undskyld udtrykket, en helvedes masse data *uopdaget* hjem til
> 'opdragsgiver', og ikke til egen DNS server.

Ikke forstået.

>
> Mindsettet er:
> Tænk på, hvor mange dejlige data - email/brugerid /password/opsnappede
> betalingskort oplysninger, ja endda en kopi af (OCES)certificat, der kan
> sendes camoufleret som et DNS-opslag. Der kan jo trods alt være rimelig
> mange KB i een enkelt af sådan nogle sataner - pr. stk.

Jeg mener grænsen er omkring 512 bytes per pakke, hvis vi
snakker om DNS over UDP. Men man kan jo køre DNS over TCP
eller bare sende flere pakker. Så det er nok i sidste ende
et spørgsmål om båndbredde. Jeg har ikke lige studeret
detaljer i DNS protokollen, men jeg vil tro man effektivt
kan udnytte i størelsesordenen 50% af kapaciteten til de
data, man vil skjule.

> Altså baseret på, eksempelvis, følgende tænkte hændelsesforløb:
> Send udp/53 to <insert open proxy here> containing <insert your sensitive
> data here> to open proxy forwarding <the same sensitive data here> to
> <insert open proxy here> containing ........ - repeat until trace
> disappeared.

Ikke forstået. Mener du at data ud af huset skal sendes
via en række proxies? Hvorfor? Man kan vel stadig se på
pakken, hvor den i sidste ende vil blive sendt til.

Jeg vil give dig ret i, at DNS kan bruges til at smugle
data ud fra netværket. Det er måske ikke oplagt før man
begynder at tænke over det, men faktisk tror jeg ikke du
har indset, hvor praktisk DNS er til det formål. Uanset
om det gøres via autoriserede eller uautoriserede DNS
servere.

Antag nu, at jeg vil skrive et program, som jeg på en
eller anden måde får ind på dit system. Derfra skal mit
program have data ud igen. Jeg har selv en DNS server
stående parat til at logge forespørgslerne fra dit
system og sende passende svar tilbage (svarene har kun
til formål at forhindre forespørgslerne i at blive
retransmiteret).

Jeg indkoder data i et hostnavn, man kan nemt indkode
4-5 bits per karakter. Så sender jeg en forespørgsel
med hostnavnet til en DNS server. Der er ligegyldigt,
om jeg kan sende det direkte til min egen DNS server.
Hvis jeg sender forespørgslen til din DNS server vil
den alligevel før eller siden nå frem til min DNS
server. For min DNS server er nemlig den eneste
autoritative for domænet.

Der er et hav af måder jeg kan få det her hostnavn
sendt ud i DNS systemet. Og DNS systemet er indrettet
så smart, at hvis det først når frem til en fungerende
DNS server, så skal det nok nå videre til min.

Jeg har i øvrigt skitseret metoden her i gruppen for
to år siden.

Den eneste måde at sikre, at et program ikke smugler
data ud fra dit system er ved at forhindre programmet
i at komme ind.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

In article <4069DCB0.6BE350E1@daimi.au.dk>, Kasper Dupont wrote:
> Jeg ved det ikke, men jeg tror ikke mange små og mellemstore
> virksomheder laver så specifik filtrering af udgående trafik.

Nogle produkter tvinger brugeren til det, fx Raptor firewallen.
Også kaldet Symantec Enterprise Firewall.

> Den eneste måde at sikre, at et program ikke smugler
> data ud fra dit system er ved at forhindre programmet
> i at komme ind.

En Raptor firewall bygger et score system bla. til hver
enkelt DNS forspørgelse og svar, dette kan
fx være længden af forspørgelsen, antal af "."/"-",
om NS record peger på en IP addresse, etcetera.

Selvfølgelig er ovenstående nemt at omgåes.


--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Christian E. Lysel" wrote:
>
> En Raptor firewall bygger et score system bla. til hver
> enkelt DNS forspørgelse og svar, dette kan
> fx være længden af forspørgelsen, antal af "."/"-",

Hvis ikke de har været omhyggelige vil de sikkert få
nogen falske positiver. Hvad mon den ville sige til
et opslag af domænet:
www.llanfairpwllgwyngyllgogerychwyrndrobwyll-llantysiliogogogoch.com

> om NS record peger på en IP addresse, etcetera.

Hvad mener du med det?

> Selvfølgelig er ovenstående nemt at omgåes.

Utvivlsomt. Hvis man kender firewallens score system
kan man jo gå lige til grænsen.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

In article <406A57E4.49388AD0@daimi.au.dk>, Kasper Dupont wrote:
> Hvis ikke de har været omhyggelige vil de sikkert få
> nogen falske positiver. Hvad mon den ville sige til
> et opslag af domænet:
> www.llanfairpwllgwyngyllgogerychwyrndrobwyll-llantysiliogogogoch.com

#dig www.llanfairpwllgwyngyllgogerychwyrndrobwyll-llantysiliogogogoch.com

www.llanfairpwllgwyngyllgogerychwyrndrobwyll-llantysiliogogogoch.com. 1D IN A 209.81.157.200


Dette generere ikke nogle fejl, men kan evt. sætte grænsen for score
systemmet ned.

>> om NS record peger på en IP addresse, etcetera.
>
> Hvad mener du med det?

En NS record peger ikke på en IP adresse.


--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Christian E. Lysel" wrote:
>
> In article <406A57E4.49388AD0@daimi.au.dk>, Kasper Dupont wrote:
> > Hvis ikke de har været omhyggelige vil de sikkert få
> > nogen falske positiver. Hvad mon den ville sige til
> > et opslag af domænet:
> > www.llanfairpwllgwyngyllgogerychwyrndrobwyll-llantysiliogogogoch.com
>
> #dig www.llanfairpwllgwyngyllgogerychwyrndrobwyll-llantysiliogogogoch.com
>
> www.llanfairpwllgwyngyllgogerychwyrndrobwyll-llantysiliogogogoch.com. 1D IN A 209.81.157.200
>
> Dette generere ikke nogle fejl,

Nej. Men hvorvidt det genererer en fejl eller ej
kan ikke bruges til at afgøre, om du vil tillade
forespørgslen. For beslutningen skal jo træffes
inden du sender forespørgslen ud, og dermed kan
du jo ikke vide, om du får en fejl.

>
> >> om NS record peger på en IP addresse, etcetera.
> >
> > Hvad mener du med det?
>
> En NS record peger ikke på en IP adresse.

For det første kan du ikke bruge den oplysning
til at filtrere på, da du først kender den, når
du har godkendt forespørgslen. For det andet kan
jeg give dig et fuldt ud gyldigt svar.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

In article <406AAA78.C79FAB8D@daimi.au.dk>, Kasper Dupont wrote:
>> Dette generere ikke nogle fejl,
>
> Nej. Men hvorvidt det genererer en fejl eller ej
> kan ikke bruges til at afgøre, om du vil tillade
> forespørgslen. For beslutningen skal jo træffes
> inden du sender forespørgslen ud, og dermed kan
> du jo ikke vide, om du får en fejl.

En klient sender sin førspørgelse til sin nærmeste
DNS. Den interne DNS serveren vidersender den videre
til Firewallen.

Firewallen kikker på forspørgelsen og afviser den
hvis forespørgelsen trigger en for høj score.
Dette bliver logget.

Hvis forspørgelsen er "godt nok" bliver den genereret og
sendt til de eksterne forward DNS server
eller root DNS serverne afhængig af opsætningen.

Den eksterne DNS server svarer og svaret modtages af
firewallen. Svaret bliver afvist hvis det trigger en
for høj score.
Dette bliver logget.

Hvis svaret er "godt nok" bliver den genereret og
sendt til de interne klient eller klientens DNS server.

>> >> om NS record peger på en IP addresse, etcetera.
>> >
>> > Hvad mener du med det?
>>
>> En NS record peger ikke på en IP adresse.
>
> For det første kan du ikke bruge den oplysning
> til at filtrere på, da du først kender den, når
> du har godkendt forespørgslen. For det andet kan

Forspørgelsen skal altid sendes hvis ikke scoren
bliver for høj.

> jeg give dig et fuldt ud gyldigt svar.

Ja.

Jeg pointeret blot at andre fejl i DNS standarden bliver
afvist af firewallens DNS proxy.


--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Christian E. Lysel" wrote:
>
> Den eksterne DNS server svarer og svaret modtages af
> firewallen. Svaret bliver afvist hvis det trigger en
> for høj score.

Hvad formål skulle det tjene. De data trojanen
ville sende ud er allerede blevet leveret. Svar
pakken er ligegyldig. Jeg kunne helt lade være
med at sende den.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

In article <406AE6ED.257EEB1@daimi.au.dk>, Kasper Dupont wrote:
> Hvad formål skulle det tjene. De data trojanen

I eksemplet med en troj, vil det ikke tjene
et formål, da man altid kan omgåes et score system,
eller ligende mekanismer.

Men generelt, antager jeg det ville kunne forhindre angreb via
implementations fejl, som fx
http://www.securityfocus.com/bid/5100/solution/

http://www.securiteam.com/unixfocus/6B00D150KI.html vil også
blivet forhindre da RR typen afvises.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Christian E. Lysel" wrote:
>
> In article <406AE6ED.257EEB1@daimi.au.dk>, Kasper Dupont wrote:
> > Hvad formål skulle det tjene. De data trojanen
>
> I eksemplet med en troj, vil det ikke tjene
> et formål, da man altid kan omgåes et score system,
> eller ligende mekanismer.

OK, så tror jeg vi er enige.

>
> Men generelt, antager jeg det ville kunne forhindre angreb via
> implementations fejl, som fx
> http://www.securityfocus.com/bid/5100/solution/
>
> http://www.securiteam.com/unixfocus/6B00D150KI.html vil også
> blivet forhindre da RR typen afvises.

Ja, det er da en udmærket pointe. Det har bare
ikke så meget med den her tråd at gøre.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Kasper Dupont wrote:

> Jeg mener grænsen er omkring 512 bytes per pakke, hvis vi
> snakker om DNS over UDP. Men man kan jo køre DNS over TCP
> eller bare sende flere pakker. Så det er nok i sidste ende
> et spørgsmål om båndbredde. Jeg har ikke lige studeret
> detaljer i DNS protokollen, men jeg vil tro man effektivt
> kan udnytte i størelsesordenen 50% af kapaciteten til de
> data, man vil skjule.

Jeg er heller ikke sikker på hvad max size er på en UDP pakke p.t., jeg
syntes selv at kunne huske noget med 256 bytes (laaang tid siden). På et
tidspunkt i sidste uge da jeg googlede lidt, så jeg nævnt, at max
størrelsen principielt er 65K, men typiske implementeringer 8K.
Men størrelsen var ikke pointen.
Årsagen til jeg nævner eksempelvis 53/UDP, er man (man = virksomheder,
brugere etc. ) nok ikke har forholdt sig til at begrænse denne lavpraktiske
protokol - og ja, jeg ved godt jeg blander begreberne.
Det jeg sidder og ruger over, er tiden der *kommer*, og ikke tiden der er
gået. Mere specifikt - spørgsmålet om hvilke forholdsregler, man bør
iagttage ved implementering af Personlige
certifikater,Medarbejdercertifikater samt Virksomhedscertifikater.
I hvert fald for mig, er det en helt ny problemstilling, da 'skaden sker
straks', og det er ligegyldigt om man 1 sek. efter opdager det via en eller
anden form for alert mekanisme. Altså skaden jeg taler om her er f.eks. at
'stjæle' et certifikat.

Prøv at stille det her sørgsmål:
Hvor mange af de virksomheder(svingende kompetanceniveau) vi besøger tror vi
opdager en evt. trojan? Og hvis/når de opdager det, kommer
følgespørgsmålet: Opdagede de også at deres certifikat var stjålet? En fil
kopiering sætter jo ingen spor.

Jeg ønsker personligt ikke at bruge ting, der er for statiske, men på et
tidspunkt bliver jeg nok tvunget til at bruge det, altså eksempelvis
digital signatur.

>
>> Altså baseret på, eksempelvis, følgende tænkte hændelsesforløb:
>> Send udp/53 to <insert open proxy here> containing <insert your
>> sensitive
>> data here> to open proxy forwarding <the same sensitive data here> to
>> <insert open proxy here> containing ........ - repeat until trace
>> disappeared.
>
> Ikke forstået. Mener du at data ud af huset skal sendes
> via en række proxies? Hvorfor? Man kan vel stadig se på
> pakken, hvor den i sidste ende vil blive sendt til.

Undskyld jeg snakkede lidt kryptisk, men hvis jeg blev for specifik,
risikerer jeg jo at blive anklaget for at give ideer til de kriminelle, men
de kloge (=kriminelle) kan nok udlede det allerede, så den skade er nok
sket, men den er nok begrænset i kraft af, at vi snakker dansk.
På den anden side synes jeg det er en god ide at gøre opmærksom på en
kommende problemstilling.

Det var ment som et eksempel på, at man (man = de kriminelle) kan lægge et
rimeligt stort røgslør ud, der tager *tid* at afdække, jfr. længere oppe.

> Der er et hav af måder jeg kan få det her hostnavn
> sendt ud i DNS systemet. Og DNS systemet er indrettet
> så smart, at hvis det først når frem til en fungerende
> DNS server, så skal det nok nå videre til min.

Jeg skal nok de-kryptere:
Når jeg sagde camoufleret som DNS, mente jeg ikke selve protokollen, men at
bruge udp/53, så folk ikke opdager det. Når jeg siger folk, er det generelt
ment, altså eksempelvis firewall manden i den store virksomhed, den
netværsansvarlige i den anden, den eksterne konsulent i den tredje type,
mig selv på mine egne pc'ere osv.

> Den eneste måde at sikre, at et program ikke smugler
> data ud fra dit system er ved at forhindre programmet
> i at komme ind.

Enig, du ved det, jeg ved det, vi ved det, men hvad med min kammerat , der
er automekaniker - min nabo, der er tømrer, de (dine mine vores) kunder,
der ikke har den fornødne kompetance in house - osv.?

Jeg synes vi begynder at bevæge os ret langt væk fra mit oprindelige indlæg,
så jeg kunne foreslå, at vi starter en ny tråd med emnet: 'Risikovurdering
ved implementering af digital signatur' eller noget i den stil.
Problemstilling igen er, at det er et offentligt forum, og vi skal afveje:
1) Ulempen ved at give gode ideer til kriminelle.
op imod
2) Fordelen ved at så mange som muligt tager de fornødne forholdsregler.

I denne tråd har jeg, til et vist niveau, valgt at 2) var vigtigere end 1).

Jeg læser ikke selv faq'en, men jeg kan forestille mig, der er plads til et
godt afsnit med overskriften: 'Hvordan behandler jeg min nye signatur?'
(altså hvis det ikke allerede er der)

--
Med venlig hilsen
Stig Johansen

---

"Stig Johansen" <aaa@bbb.com> wrote in message
news:c4g8vu$l5n$1@sunsite.dk...

>
> Prøv at stille det her sørgsmål:
> Hvor mange af de virksomheder(svingende kompetanceniveau) vi besøger tror
vi
> opdager en evt. trojan? Og hvis/når de opdager det, kommer
> følgespørgsmålet: Opdagede de også at deres certifikat var stjålet? En fil
> kopiering sætter jo ingen spor.
>
> Jeg ønsker personligt ikke at bruge ting, der er for statiske, men på et
> tidspunkt bliver jeg nok tvunget til at bruge det, altså eksempelvis
> digital signatur.

Det er nok derfor man skal bruge PIN koder og passwords til sine CERTs.

MVh
Martin Bilgrav

---

Martin Bilgrav wrote:

>>
>> Jeg ønsker personligt ikke at bruge ting, der er for statiske, men på et
>> tidspunkt bliver jeg nok tvunget til at bruge det, altså eksempelvis
>> digital signatur.
>
> Det er nok derfor man skal bruge PIN koder og passwords til sine CERTs.

Ja, men hvordan opdager man, at der sidder en med en kopi, og kører en eller
anden form for password cracker program?
- Nu?
- Om et år?
- Om 4 år?
- osv.

--
Med venlig hilsen
Stig Johansen

---

"Stig Johansen" <aaa@bbb.com> wrote in message
news:c4lkv6$ia8$1@sunsite.dk...
> Martin Bilgrav wrote:
>
> >>
> >> Jeg ønsker personligt ikke at bruge ting, der er for statiske, men på
et
> >> tidspunkt bliver jeg nok tvunget til at bruge det, altså eksempelvis
> >> digital signatur.
> >
> > Det er nok derfor man skal bruge PIN koder og passwords til sine CERTs.
>
> Ja, men hvordan opdager man, at der sidder en med en kopi, og kører en
eller
> anden form for password cracker program?
> - Nu?
> - Om et år?
> - Om 4 år?
> - osv.
>

sandt, men CERTs udløber jo også på et tidspunkt, så man kan ikke bare gemme
til senere brug.
Men er man blevet kompromiteret, så er det nok en god idé at få afmeldt sit
CERT og få et nyt.


> --
> Med venlig hilsen
> Stig Johansen

---

On Tue, 30 Mar 2004 20:21:14 +0200, Stig Johansen <aaa@bbb.com>
wrote:

> Når jeg snakker om muligheden, er meningen *muligheden*, eller
> måske for at sende, undskyld udtrykket, en helvedes masse data
> *uopdaget* hjem til 'opdragsgiver', og ikke til egen DNS server.

Hvis man har en firewall, der er konfigureret til at tillade
DNS-svar, så vil den ikke give sig til at tillade alt muligt
andet, der kommer på port 53. (I så fald er den i hvert fald
hjernedød og/eller dårligt konfigureret).

-A
--
http://www.hojmark.org/

---

Asbjorn Hojmark wrote:
> On Tue, 30 Mar 2004 20:21:14 +0200, Stig Johansen <aaa@bbb.com>
> wrote:
>
>> Når jeg snakker om muligheden, er meningen *muligheden*, eller
>> måske for at sende, undskyld udtrykket, en helvedes masse data
>> *uopdaget* hjem til 'opdragsgiver', og ikke til egen DNS server.
>
> Hvis man har en firewall, der er konfigureret til at tillade
> DNS-svar, så vil den ikke give sig til at tillade alt muligt
> andet, der kommer på port 53. (I så fald er den i hvert fald
> hjernedød og/eller dårligt konfigureret).

Meget enig, men jeg tror der menes den anden vej. Altså trojan/virus der
sender ting til evilhost.exampel.org port 53/udp.

--
Don't waste space

---

On Wed, 31 Mar 2004 06:18:31 +0000 (UTC), Thomas Corell
<nospamplease@corell.dk> wrote:

>> Hvis man har en firewall, der er konfigureret til at tillade
>> DNS-svar, så vil den ikke give sig til at tillade alt muligt
>> andet, der kommer på port 53.

> Meget enig, men jeg tror der menes den anden vej.

Læs ovenstående i sammenhæng med:
<news:cefg601pkes0l3hj27oahpbambcndtg1je@news.cybercity.dk>

> Altså trojan/virus der sender ting til evilhost.exampel.org
> port 53/udp.

Det gør den jo ikke, hvis man kun tillader egne interne servere
at sende spørgsmål ud. (Med mindre, selvfølgelig, serveren selv
har problemet).

-A
--
http://www.hojmark.org/

---

Stig Johansen wrote:
>
> Mit spørgsmål er:
> Hvor mange blokerer for port 53 for andre end sine 'egne' dsn servere.

Jeg gør ikke. Det er nok mest fordi, jeg aldrig har
overvejet muligheden. En blokering ville næppe give
mig nogen problemer.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

On Mon, 29 Mar 2004 06:26:44 +0200, Stig Johansen <aaa@bbb.com>
wrote:

> Hvor mange blokerer for port 53 for andre end sine 'egne' dsn servere.

Det mest almindelige setup er, at man har et par interne
DNS-servere, der svarer på alle navneopslag, og at det så kun er
de servere, der har lov til overhovedet at spørge DNS ud gennem
firewall'en.

Om man lukker eller åbner for at de interne servere kan snakke
med andre en et par ISP-servere afhænger primært af, om man har
en server, der forwarder alle requests eller selv resolver dem.
Begge dele er relativt almindelige, med en 'edge' til det med at
forwarde, hvis ikke der er tale om ret store netværk.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

---

"Stig Johansen" <aaa@bbb.com> wrote in message
news:c488i5$eeu$1@sunsite.dk...

> Mit spørgsmål er:
> Hvor mange blokerer for port 53 for andre end sine 'egne' dsn servere.
> Forlklaring:
> Med egne mener jeg her f.eks. ns1.tele.dk,ns2.tele.dk,
> og med andre f.eks. www1.microsoft.com.
> Med hvor mange mener jeg:
> Er det reglen eller undtagelsen, at man kun åbner for port 53 for udvalgte
> servere, eller er der generelt åbnet for port 53 mod alle?
>
> Jeg kunne godt tænke mig lidt statistisk baggrund fra 'jer ude i marken',
> der *ved* noget om forholdene.
'
Mener du om man blokere for klienters DNS opslag til andre public DNS og
således at det kun er de godkendte inside DNS der må lave opslag mod
internettet ?

Normalt vil jeg mene at man opsætter DNS lokalt med forwarders til internet
root DNS servers og da disse med mellemrum ændres, er det en midre god ide
at fastfryse dem. Der er nok at root DNS skal opdates på lokalt DNS.
(Med normalt mener jeg her i win2000 server miljøer)

Mvh
Martin Bilgrav

---

"Martin Bilgrav" <bilgravCUTTHISOUT@image.dk> wrote in message
news:GbHac.132055
> Mener du om man blokere for klienters DNS opslag til andre public DNS og
> således at det kun er de godkendte inside DNS der må lave opslag mod
> internettet ?
>
> Normalt vil jeg mene at man opsætter DNS lokalt med forwarders til
internet
> root DNS servers og da disse med mellemrum ændres, er det en midre god ide
> at fastfryse dem. Der er nok at root DNS skal opdates på lokalt DNS.
> (Med normalt mener jeg her i win2000 server miljøer)


oh i forgot:
Firewall vil lave SPI på DNS pakker, og dermed er indholdet inspiceret, så
med mindre man har en fejlkonfiguret firewall vil man ikke kunne sende andet
end DNS gennem TCP/53 (og/eller udp)

---

In article <egHac.132069$jf4.7138178@news000.worldonline.dk>, Martin Bilgrav wrote:
> oh i forgot:
> Firewall vil lave SPI på DNS pakker, og dermed er indholdet inspiceret, så
> med mindre man har en fejlkonfiguret firewall vil man ikke kunne sende andet
> end DNS gennem TCP/53 (og/eller udp)

Problemmet er blot at DNS laget, kan bruges til at sende og modtage
information, fx til en troj.

SPI eller en applikations firewall løser ikke problemmet.

Dette er selvfølgelig ej begrænset til DNS, blot holder man
af gode grunde ikke øje med DNS forspørgelser.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in message
news:slrnc6mgcl.b7r.chel@weebo.dmz.spindelnet.dk...
> In article <egHac.132069$jf4.7138178@news000.worldonline.dk>, Martin
Bilgrav wrote:
> > oh i forgot:
> > Firewall vil lave SPI på DNS pakker, og dermed er indholdet inspiceret,
så
> > med mindre man har en fejlkonfiguret firewall vil man ikke kunne sende
andet
> > end DNS gennem TCP/53 (og/eller udp)
>
> Problemmet er blot at DNS laget, kan bruges til at sende og modtage
> information, fx til en troj.
>
Hvis der er åbent udefra, så ja, men det samme ville jo gældende, hvis der
var åbnet andre porte udefra og ind. Men det er der typisk ikke for DNS.

hvordan vil du sende en trojan, eller informationer til en allerede
inficeret trojan-PC, ind gennem en firewall via tcp/53, hvor alt er lukket
udefra ?
Hvis der fx er ACL på indersiden, der kun tillader een IP at snakke DNS ud
på inet (Altså den DNS server der findes på et LAN)
og en trojan inficeret PC på indersiden kan dermed ikke sende nogetsomhelst
ud på tcp/53 (eller udp for den sagsskyld) og dermed ikke fortælle nogle
inet trojan-masters om sin eksistens.

Lad os gå videre og antage at en trojan-slave faktisk lykkedes at få sent en
pakke ud og dermed åbne en session, så skal man derefter kunne lave en
session highjack på denne session, før du kan sende noget brugbart retur til
trojan-slave.
De fleste firewalls har også mekanismer for at modvirke dette, så her ville
du også blive droppet.
Det anser jeg for ret usandsygligt at man overhovedet får nok info til at
kunne lave en session highjack.
Men det er da teoretisk muligt.


> SPI eller en applikations firewall løser ikke problemmet.

jeg vil mene at en SPI enablet FW kan se at din pakke på tcp/53 ikk er en
valid DNS pakke, og dermed enten logge og/eller droppe en pakke forsøgt
sendt ud gennem tcp/53 forkædt som DNS pakke.
Men dette er sikkert forskelligt fra FW til FW mærke.

>
> Dette er selvfølgelig ej begrænset til DNS, blot holder man
> af gode grunde ikke øje med DNS forspørgelser.

på en FW vil jeg altid opsætte SPI på DNS eller DNS-guards, eller hvad der
nu er af features til dette på den gældende FW.
plus opsætte maks pakkestørrelse for DNS, som jo typisk er ret små pakker.
Dermed begrænser jeg pakker som måske inderholder andet en DNS på tcp/53, så
en evt trojan skal ihvertfald sende data i meget små pakker også.


Mvh
Martin Bilgrav

>
> --
> Mvh.
> Christian E. Lysel
> http://www.spindelnet.dk/

---

In article <EAlbc.133027$jf4.7190648@news000.worldonline.dk>, Martin Bilgrav wrote:
>> SPI eller en applikations firewall løser ikke problemmet.
>
> jeg vil mene at en SPI enablet FW kan se at din pakke på tcp/53 ikk er en
> valid DNS pakke, og dermed enten logge og/eller droppe en pakke forsøgt
> sendt ud gennem tcp/53 forkædt som DNS pakke.
> Men dette er sikkert forskelligt fra FW til FW mærke.

Du forstår ikke problemstillingen.

Vi har en troj der er installeret på en maskine på dit lokale netværk.

Dit lokale netværk er adskilt Internet med en firewall, der har alle
sikkerhedsfeatures slået til.

Den lokale maskine kan lave DNS opslag.

Jeg er angriberen og har navneserveren ns.example.net der svarer
for domainet example.net

Min troj stiller DNS forspørgelsen session.1.whatnow.example.net denne
forspørgelse rammer på et eller andet tidspunkt ns.example.net
som nu kan svarer "IN CNAME exec.example.net" og "IN TXT ls /etc".

Herefter vil trojen lave systemkaldet exec med parameterne "ls /etc".

Svaret på "ls -alt" kan den sende via en ny forspørgelse
session.1.result.passwd.bla.bla.bla.bla.example.net, det
kan evt. også pakkes ind i flere forspørgelser.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Christian E. Lysel wrote:

> Svaret på "ls -alt" kan den sende via en ny forspørgelse
> session.1.result.passwd.bla.bla.bla.bla.example.net, det
> kan evt. også pakkes ind i flere forspørgelser.

Præcis, og indholdet i de næste 'forespørgsler' kan lige så godt være en
kopi af et virksomhedscertifikat.
* kopi af et virksomhedscertifikat = *meget* kort tid at sende 'hjem', og
potentiel adgang til *mange* penge.

--
Med venlig hilsen
Stig Johansen

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in message
news:slrnc6mgcl.b7r.chel@weebo.dmz.spindelnet.dk...

> Problemmet er blot at DNS laget, kan bruges til at sende og modtage
> information, fx til en troj.

Jeg faldt lige over denne:
http://www.glocksoft.com/trojan_port.htm

Sjovt nok er der ikke tidligere lavet nogle trojans til port 53...

8)

---

In article <KGlbc.133032$jf4.7190632@news000.worldonline.dk>, Martin Bilgrav wrote:
> Sjovt nok er der ikke tidligere lavet nogle trojans til port 53...

Er du sikker på det?

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Martin Bilgrav wrote:
>
> Normalt vil jeg mene at man opsætter DNS lokalt med forwarders til internet
> root DNS servers

Det lyder ikke rigtigt. Normalt vil du enten forwarde
til din udbyders DNS server eller gå direkte til root
DNS serverne og så tage hele stien ned selv. Men at
angive root DNS servere som forwarders betyder vel,
at alle dine forespørgsler sendes til root DNS
serverne. Det er i hvert fald ikke nogen god idé, og
jeg går ikke ud fra, at root DNS serverne vil
acceptere sådanne opslag.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:406B4F19.87314452@daimi.au.dk...
> Martin Bilgrav wrote:
> >
> > Normalt vil jeg mene at man opsætter DNS lokalt med forwarders til
internet
> > root DNS servers
>
> Det lyder ikke rigtigt. Normalt vil du enten forwarde
> til din udbyders DNS server eller gå direkte til root
> DNS serverne og så tage hele stien ned selv.
Det er dette jeg mener:

http://support.microsoft.com/default.aspx?scid=kb;en-us;300202

"Windows includes the ability to use root hints. The Root Hints resource
records can be stored in either Active Directory or text files
(%SystemRoot%\System32\DNS\Cache.dns files). Windows uses the standard
InterNIC root server. Also, when a Windows 2000-based server queries a root
server, it updates itself with the most recent list of root servers. "

Men ja, jeg tror vi mener det samme 8)


> Men at
> angive root DNS servere som forwarders betyder vel,
> at alle dine forespørgsler sendes til root DNS
> serverne. Det er i hvert fald ikke nogen god idé, og
> jeg går ikke ud fra, at root DNS serverne vil
> acceptere sådanne opslag.
>
> --
> Kasper Dupont -- der bruger for meget tid paa usenet.
> For sending spam use mailto:aaarep@daimi.au.dk
> /* Would you like fries with that? */