Podle analýzy BIS a CSIRT.CZ nejsou české DNS servery řádně zabezpečené

Pracovníci bezpečnostního týmu CSIRT.CZ odhalili při analýze dat provozu DNS v ČR přibližně 1500 DNS serverů s velmi nízkou úrovní zabezpečení. Uživatelé těchto serverů mohou být v případě útoku například přesměrováni na podvodné stránky, a přijít tak o své přihlašovací údaje, e-maily či jiná citlivá data.

Příčinou slabého zabezpečení serverů je absence základního bezpečnostního opatření - náhodných portů pro odchozí dotazy. To útočníkovi umožňuje server úspěšně napadnout v řádu sekund. CZ.NIC bude v rámci projektu, který vznikl a je realizován ve spolupráci s BIS, držitele domén .CZ, jichž se problém týká, upozorňovat na bezpečnostní rizika dopisem. Dotčené orgány státní správy budou osloveny specialisty odborného týmu Bezpečnostní informační služby.

Systém DNS je jedním ze základních pilířů internetu, bez něhož by globální počítačová síť prakticky nemohla fungovat. Server, který nepoužívá náhodné zdrojové porty u odchozích dotazů, je vystaven vysokému riziko napadení a to útokem na vyrovnávací paměť serveru.

"V těchto dnech odesíláme dopisy s upozorněním první skupině konkrétních držitelů domén, u nichž byla v rámci kampaně za větší bezpečnost domén .CZ zjištěna nízká úroveň zabezpečení jimi využívaných DNS serverů. Riziko napadení výrazně sníží okamžitá aktualizace DNS serverů a jejich zabezpečení technologií DNSSEC. Součástí tohoto upozornění je i nabídka speciálních vzdělávacích kurzů týkající se DNS a DNSSEC. Ty jsou určené především administrátorům ICT infrastruktury a jejich nabídku najdou zájemci na stránkách naší Akademie", říká Martin Peterka, který vede bezpečností tým CSIRT.CZ.

Dnešní technologie umožňují zabezpečit DNS servery na velmi vysoké úrovni. Použití náhodných portů pro odchozí dotazy lze dosáhnout pouhou aktualizací software na straně provozovatele či správnou konfigurací serverů a dalších síťových zařízení.

Článek CZ.NIC ze dne pondělí 29. srpna 2011

Další články od CZ.NIC