112170

Neue Sicherheitslösung von Nominum

02.09.2008 | 15:13 Uhr |

Die neue Version von Nominums DNS-Server-Software Vantio Base Server wurde drastisch überarbeitet, um vor der gefährlichen DNS-Schwachstelle zu schützen.

Im Februar hatte IOActive-Mitarbeiter Dan Kaminsky die Sicherheitslücke im Domain Name System entdeckt, die es Angreifern ermöglicht, Servern gefälschte Adressen unterzuschieben (DNS Cache Poisoning).

Nun bringt das Unternehmen Nominum , Anbieter für Naming- und Adressing-Lösungen, ein umfassendes Sicherheits-Update für seine Serverplattform Vantio Base Server. Mit einem mehrschichtigen Schutzverfahren geht der Hersteller dabei nach eigenen Angaben über das branchenübliche Verfahren Source Port Randomization (UDP SPR) hinaus, das Dan Kaminsky Anfang Juli als Schutzmaßnahme gegen die DNS-Lücke empfohlen hatte.

So soll die aktuelle Vantio-Version unter anderem Poisoning-Attacken verhindern können. Mit „Detect and Defend“ soll der Server im Fall eines Angriffs zu einer sicheren Verbindung für die DNS-Namensauflösung wechseln. Und mithilfe des „Query Response Screenings“ prüft er DNS-Antworten auf Manipulationen. Außerdem soll er Angreifer sogar identifizieren können, so dass Internet Service Provider oder Netzwerkbetreiber alarmiert werden können.

Nominum kommt mit dem neuen Ansatz zur Sicherung von Servern zu einem günstigen Zeitpunkt. UDP SPR wird zwar als offizielle Verteidigungsstrategie gegen die DNS-Lücke empfohlen, bietet aber vermutlich keinen langfristigen Schutz gegen Hacker. Dass die Zweifel an dem Patch gerechtfertigt sind, bewies der russische Entwickler Evgeniy Polyakov, der nach zehnstündiger Arbeit erfolgreich eine DNS-Poisoning-Attacke gegen einen gepatchten Server ausführte.

Das Unternehmen Nominum ist kein kleines Licht unter den Anbietern von Internet-Software. Seit 2001 steht ihm der DNS-Erfinder Paul Mockapetries vor, über 120 Millionen Breitbandnutzer werden von DNS-Servern von Nominum versorgt.

Das Unternehmen hatte zusammen mit anderen großen Softwareanbietern und Dan Kaminsky versucht, eine Lösung für das DNS-Problem zu finden, bevor Kaminsky Details zu der Schwachstelle auf der Black-Hat-Sicherheitskonferenz Anfang Juli veröffentlichte.

0 Kommentare zu diesem Artikel
112170