Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

“Access ISP’s traag met patchen DNS-lek”

  • Door
  • Arnout Veenman
  • geplaatst op
  • 29 juli 2008 07:54 uur

Verschillende access ISP’s zijn traag met het patchen van het lek in vrijwel alle DNS-servers. In de Verenigde Staten hadden afgelopen vrijdag AT&T, British Telecom en Time Warner hun DNS-servers na twee weken nog steeds niet gepatcht.

In Duitsland gaat het niet veel beter, uit onderzoek van heise Security blijkt dat de twee grootste Duitse access ISP’s: Deutsche Telecom (ADSL) en Kabel Deutschland (Kabel) beiden hun DNS-servers nog niet gepatcht hebben. Een woordvoerder van Kabel Deutschland geeft in een reactie tegenover heise aan dat ze samen met haar leveranciers bezig is om de systemen te patchen.

Het is niet duidelijk hoe de situatie in Nederland is; uit de DNS test van DNS-OARC blijkt dat KPN nameserver 213.75.76.79 (pdns15.wxs.nl) het goed doet op het punt van willekeurigheid van transactie ID’s terwijl de willekeurigheid van de source poort juist onwillekeurig lijkt te zijn, wat dus slecht is. Ik ben benieuwd hoe andere (Nederlandse) access ISP’s het doen, dus check je DNS-server met behulp van deze link en plaats het resultaat in de comments.

Ik sta echt met mijn oren te klapperen, als ik zie hoe access ISP’s, of eigenlijk telco’s, omgaan met vitale infrastructuur. Het is toch onverstelbaar dat een kritiek lek massaal genegeerd lijkt te worden en dat de telco’s hun systemen na twee weken nog steeds niet gepatcht hebben!

Casper Bakker, 29 juli 2008 8:10 am

XS4ALL lijkt in ieder geval goed te zijn:

194.109.21.132 (resolver1-b.xs4all.nl) appears to have GREAT source port randomness and GREAT transaction ID randomness.
194.109.21.251 (resolver3-a.xs4all.nl) appears to have GREAT source port randomness and GREAT transaction ID randomness.
194.109.21.133 (resolver1-c.xs4all.nl) appears to have GREAT source port randomness and GREAT transaction ID randomness.
194.109.21.131 (resolver1-a.xs4all.nl) appears to have GREAT source port randomness and GREAT transaction ID randomness.

Frank Louwers, 29 juli 2008 8:31 am

pdns15.wxs.nl suggereert een PowerDNS resolver te zijn, die niet kwetsbaar was voor de attack . XS4All gebruikt ook PowerDNS afaik.

Sebastiaan Stok, 29 juli 2008 10:02 am

1. 194.134.13.73 (cdns3-asd6.euro.net) appears to have GREAT source port randomness and GREAT transaction ID randomness.
2. 194.134.13.38 appears to have GREAT source port randomness and GREAT transaction ID randomness.

Online Breedbank (aka Orange)

Ryan, 29 juli 2008 10:16 am

@home/ziggo doet het ook goed:

1. 213.51.129.173 (dns6.zwoll1.ov.home.nl) appears to have GREAT source port randomness and GREAT transaction ID randomness.
2. 213.51.144.175 (dns8.tilbu1.nb.home.nl) appears to have GREAT source port randomness and GREAT transaction ID randomness.
3. 213.51.129.168 (dns1.zwoll1.ov.home.nl) appears to have GREAT source port randomness and GREAT transaction ID randomness.
4. 213.51.144.171 (dns4.tilbu1.nb.home.nl) appears to have GREAT source port randomness and GREAT transaction ID randomness.
5. 213.51.129.172 (dns5.zwoll1.ov.home.nl) appears to have GREAT source port randomness and GREAT transaction ID randomness.

Eric Veraart, 29 juli 2008 11:29 am

1. 62.177.144.11 (ns1.bbeyond.nl) appears to have GREAT source port randomness and GREAT transaction ID randomness.

Johan, 29 juli 2008 12:23 pm

195.241.77.30 (cns0.tiscali.nl) appears to have GREAT source port randomness and GREAT transaction ID randomness.
195.241.77.31 (cns1.tiscali.nl) appears to have GREAT source port randomness and GREAT transaction ID randomness.

Is er een link beschikbaar waar je zelf nameserver (IP`s) kan ingeven om deze test uit te voeren?

MikeN, 29 juli 2008 12:46 pm

Nee, zo'n test kan namelijk niet werken. Er worden namelijk requests gesimuleerd door jouw browser een paar random URL's te laten bezoeken, dus je browser is bij de test betrokken. Gewoon een IP intikken gaat dus niet.

Antoin, 29 juli 2008 2:40 pm

Veel ISP's hebben hun nameserver wel gepatched, maar het grote probleem is dat er nog firewalls voorstaan die de source port randomness weer ongedaan maken. Die firewalls zijn veel moeilijker te patchen, omdat de leveranciers vaak niet erg veel DNS kennis hebben, en ze hebben lang nog niet allemaal patches beschikbaar.

Een eerste onderzoek lijkt erop dat het in Nedeland niet slechter is gesteld dan in andere landen, maar ook hier zijn nog een aantal grote ISP's die nog niet alles gepatched hebben.
Meer data volgt later deze week.

En ik wil er nog een keer bijzeggen: Je moet echt patchen ! En controleer je router en firewall of die de source port randomization niet ongedaan maken. Ik heb thuis mijn 1 jaar oude D-link routertje voor mijn kantoortje ook in de prullenbak kunnen gooien en moeten vervangen door een FritzBox om de gewenste randomness te krijgen. Ook grotere firewalls hebben dat probleem.

Randy, 29 juli 2008 3:53 pm

Antoin,

Hoe heeft het uitgepakt met jullie infra @ SIDN?

Antoin, 29 juli 2008 6:59 pm

Wij hebben weinig recursive resolvers bij SIDN, alleen voor ons kantoor. Op de authoritative servers voor .nl zien wij geen verhoogde activiteit buiten de normale dropcatchers en spamruns. Er zijn dus (nog) nauwelijks mensen die rare dingen hebben gedaan. Maar aan de queries kunnen wij wel zien wie er al wel, en wie nog niet gepatched heeft. Veel "vergeten" nameservers die bv op monitoring systemen of mailservers draaien.

Sjaak, 30 juli 2008 12:26 am

Wellicht interessant om naar de blogposting te kijken die deze isp heeft geplaatst.

Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.