Je používání domén z pohodlnosti bezpečnostní riziko?

[Petr Krčmář]

Kdybys Jirsaku vecne neblabolil ... prohlizec se koukne zda ma v seznamu duveryhodnych cert nebo jeho matinku, a nejaky seznam je mu u rite. A kazdej svepravnej clovek ma posilani a dotazovani na tuhle volovinu i primo vypnutou.

Není to tak, pravdu má Filip. Prohlížeče dnes testují, jestli je součástí komunikace i podpis SCT, tedy potvrzení o zveřejnění certifikátu v CT. Bez toho je certifikát nedůvěryhodný, stejně jako by byl od neznámé autority nebo byl mimo čas platnosti. Na Rootu je několik článků, které to celé popisují. Například Certificate Transparency je tu, všechny HTTPS certifikáty musejí být veřejné

[Reklama]

[Ondřej Caletka]

Mám 9 fyzických serverů, každý má svoje jméno pod kterým se eviduje a má také veřejnou adresu. Nabízí se použití domény, která by ukazovala na ip adresu serveru. Ale napadá mne, jestli není nebezpečné někde takto vyjmenovat všechny veřejné ip adresy serverů.

Krátce: ne. Pokud máte veřejné IPv4 adresy, útočníci je dávno skenují a testují, protože prostě skenují všechny.

Je možné aby někdo zjistit, jaké existují subdomény (a k ním ip adresy) k dané doméně jinak než pokusem a omylem?

Samotný pokus a omyl je překvapivě účinná metoda, vzhledem k tomu, že subdomény bývají slovníková slova.

Dále, jak bylo řečeno, může DNS server povolovat přenos zóny, může používat DNSSEC v (preferované) variantě NSEC, kdy jako vedlejší efekt vyzradí informace o všech jménech v zóně. Při použití NSEC3 se subdomény opět dají uhodnout hrubou silou, tentokrát ale z velké části offline. Nějaký odepsaný hardware na těžení bitcoinů vám vytěží NSEC3 zónu za pár sekund nebo minut i v případě, že nepůjde o slovníková slova.

Je používání domén z pohodlnosti bezpečné? Existuje nějak u nějaké domény  zjistit všechny subdomény?

Ano a ano.

Nebojím se ani tak poskytovatele internetu nebo googlu, ale spíše náhodné člověka z druhého konce světa, který skenuje internet ve velkém. Nebo se také bojím člověka co si nějakou službu vyhlídne zkoumá možné zranitelnosti. Ten ale celkem jistě nebude schopen odchytávat můj vlastní dns provoz, nebo provoz všech zákazníků.

Takový člověk (nebo spíš stroj) se neobtěžuje s DNS a skenuje rovnou IP adresy.

Nebylo by možné mít vlastní DNS server, který bych nastavil na počítačích na kterých pracuji jako třeba třetí v pořadí?
A ten by našel záznam jen když veřejné servery nic najít nedovedou?

Nebylo. Protokol DNS nepodporuje různé názory různých serverů. První finální odpověď platí. Pokud první server odpoví, že doménové jméno neexistuje, tak prostě neexistuje a není důvod ptát se dalších serverů.

  Ten neveřejný DNS server by mohl být chráněn firewalem jen pro přístup z jistých ip adres + VPN. Takto by možná šlo vytvořit celý nový doménový neveřejný prostor.

Ano, pokud rád věci komplikujete, můžete si zaregistrovat veřejné doménové jméno, které nadelegujete na autoritativní servery za firewallem. Takže k datům uvnitř dané zóny se dostanou jen resolvery, kterým to na firewallu povolíte. Pak bude fungovat i výše uvedená myšlenka s třetím resolverem. Ostatní resolvery totiž budou hlásit chybu SERVFAIL, což povede klienta ke zkoušení dalších resolverů až narazí na ten jeden povolený. Může to ale trvat poměrně dlouho.

[mfrd]

Opravte mě, pokud se pletu, ale není celej systém domén "jen" "z pohodlnosti"? Protože lidem se líp pamatuje root.cz místo 91.213.160.188?

To se ovsem pletes velice zasadne. DNS ti umoznuje nabizet ruzne IP ruznym tazatelum, treba podle jejich lokality. Nebo take tech IP muzes nabizet vice, treba kvuli potencielnim vypadkum. A pak taky nemusis resit jak miliarde klientum sdelis zmenu te IP, treba proto ze si server prestehoval o dum vedle ...

O tom co si kdo pamatuje to vubec neni.

To co kolega popsal byl prapůvodní účel a má plnou pravdu. Samozřejmě se zjistilo, že DNS lze "zneužít" k jiným věcem a tím se ten svět sesložitil. Ve své podstatě pořád jen vrací IP adresu pro navázaní spojení, rozšíření v jednoduchosti je v tom, že tam nemusí být statické mapování, ale podmíněné.

[_Jenda]

Dalsi rovnak na ohybak. Namisto vymysleni techto pseudo-reseni (stejne jako u milionu druhu berlicek proti spamu), se meli prohlizece dohodnout na funkcnim revokacnim protokolu. CA ktera nedokaze zabranit kompromitaci proste nema na trhu co delat a byla by zneplatnena.

Jak zjistíte, že je nějaká CA kompromitovaná, když nemůžete sledovat, jaké certifikáty vydala (například pomocí CT logu)?

Za me je CT obrovska bezpecnostni dira, leakujici informace o chovani uzivatele.

Jak CT způsobuje leakování informací o chování uživatele? Myslel jsem, že CT autorita vydá potvrzení o přidání do logu, a to se přilepí k certifikátu, a posílá se s ním. Uživatel nikam dál nekomunikuje. Nepletete si to s OCSP v případě vypnutého staplingu?

Nic takoveho nikdy nefungovalo, mam certifikaty vydane na stejnou domenu ruznymi autoritami. Nikomu a nicemu to nevadi. Asi zazrak.

Nechápu. On tu někdo tvrdil, že by mělo CT nějak bránit tomu, abych si vydal na stejnou doménu více certifikátů?

[RDa]

Dalsi rovnak na ohybak. Namisto vymysleni techto pseudo-reseni (stejne jako u milionu druhu berlicek proti spamu), se meli prohlizece dohodnout na funkcnim revokacnim protokolu. CA ktera nedokaze zabranit kompromitaci proste nema na trhu co delat a byla by zneplatnena.

Jak zjistíte, že je nějaká CA kompromitovaná, když nemůžete sledovat, jaké certifikáty vydala (například pomocí CT logu)?

A jak zjistite, zda neni nejaky CT provider kompromitovanej?

Tohle je porad stejny systemovy fail jako slavne 2FA.

Namisto reseni se vymysleji porad nejake pseudoreseni a zaplaty na problemy, kdy nekdo neco nedomyslel.
Cim dal tim vice to speje do faze "ja bych vsechny ty internety zakazala", protoze divat se na tu marnost je tezsi a tezsi.

[Reklama]

[Filip Jirsák]

A jak zjistite, zda neni nejaky CT provider kompromitovanej?

Vážně by bylo lepší, kdybyste si nejdřív zjistil, co to je a jak to funguje, a až pak to komentoval.

[Filip Jirsák]

Nic takoveho nikdy nefungovalo, mam certifikaty vydane na stejnou domenu ruznymi autoritami. Nikomu a nicemu to nevadi. Asi zazrak.

Žádný zázrak. Jenom je potřeba vědět, co je CT a k čemu slouží. CT je seznam, na který musí každá certifikační autorita umístit certifikát, pokud má být považován za důvěryhodný v prohlížečích. Resp. takových důvěryhodných seznamů je více a prohlížeče vyžadují, aby byl certifikát zveřejněn alespoň na určitém počtu z nich. (Což řeší námitku RDa – nestačilo by kompromitovat jeden CT list, ale všechny).

Při vložení do CT dostane CA značku, kterou připojí k vydanému certifikátu. Takže prohlížeč se pak neptá žádného CT, ale kontroluje, zda je v certifikátu ona značka. (Navíc CT je jen zabezpečený seznam, není tam žádná čteví služba – takže i kdyby se prohlížeč chtěl dívat na CT list, bude mít někde u sebe kopii a do té se bude dotazovat. Provozovatl CT listu se tedy nedozví, kdo co navštěvuje.)

CT slouží jen ke kontrole, jaké certifikáty byly vydány. Nebrání to vydání nějakého certifikátu, jak si mylně myslel jirsk. Je na držiteli domény, aby si pravidelně CT skenoval, zda tam nejsou z jeho domény vydané certifikáty, které by vydány být neměly. Pokud chcete omezit, která CA může vydávat certifikáty z vaší domény, použijte CAA DNS záznam. Funguje to samozřejmě jen na autority, které se jím řídí – ale to jsou všechny, které jsou považované za důvěryhodné v prohlížečích.

Pro jistotu doplním, že existují služby, které stahují CT listy a nad nimi vytvářejí třeba webové rozhraní umožňující CT list prohledávat. Ale to jsou externí služby, není to služba poskytovaná přímo provozovatelem CT listu.

Kdybys Jirsaku vecne neblabolil ... prohlizec se koukne zda ma v seznamu duveryhodnych cert nebo jeho matinku, a nejaky seznam je mu u rite. A kazdej svepravnej clovek ma posilani a dotazovani na tuhle volovinu i primo vypnutou.

Vypnuté to nemá nikdo, protože to vůbec neexistuje. CT neposkytuje žádnou službu dotazování. Je na každém, aby si CT stáhl a pak s ním pracoval, pokud v něm chce něco hledat. Ale prohlížeče používjaí jiný způsob – při přidání certifikátu do CT je vydána značka, která se přidá do certifikátu. Takže prohlížeč si jen zkontroluje tuto značku.

... Už 15 let tu ale máme NSEC3, který enumeraci brání.

Coz je nejvetsi blabol za dobu existence roota ktery se tu vyskyt.

Když něčemu nerozumíte, zkuste si to aspoň vygooglit. Našel byste třeba tenhle popis NSEC3: https://www.lupa.cz/clanky/nsec3nbspndash-dnssec-ktery-nic-nevyzradi/

[_Jenda]

Dalsi rovnak na ohybak. Namisto vymysleni techto pseudo-reseni (stejne jako u milionu druhu berlicek proti spamu), se meli prohlizece dohodnout na funkcnim revokacnim protokolu. CA ktera nedokaze zabranit kompromitaci proste nema na trhu co delat a byla by zneplatnena.

Jak zjistíte, že je nějaká CA kompromitovaná, když nemůžete sledovat, jaké certifikáty vydala (například pomocí CT logu)?

A jak zjistite, zda neni nejaky CT provider kompromitovanej?

Opět nerozumím. Jakým způsobem by mohl kompromitovaný CT škodit?

[_Jenda]

Resp. takových důvěryhodných seznamů je více a prohlížeče vyžadují, aby byl certifikát zveřejněn alespoň na určitém počtu z nich. (Což řeší námitku RDa – nestačilo by kompromitovat jeden CT list, ale všechny).

No hlavně CT má nějak kryptograficky vyřešeno (Merkle tree, "blockchain"), aby nemohl vydat značku a pak certifikát nezveřejnit, ne?

[Filip Jirsák]

No hlavně CT má nějak kryptograficky vyřešeno (Merkle tree, "blockchain"), aby nemohl vydat značku a pak certifikát nezveřejnit, ne?

Může vydat značku a pak seznam „forknout“ před vydáním této značky, tj. na aktuálním seznamu ta značka nebude. Tím pádem by ta značka samozřejmě byla neplatná. Takže ano, je tu možnost, že někdo hackne certifikační autoritu, hackne všechny CT, kam daná CA umisťuje certifikáty, a pak tím vydaným certifikátem dotyčný může oklamat Firefox nebo jiný program, který CT ignoruje.

Pravděpodobnost takového útoku je podle mne směšně malá, ale asi bylo potřeba to tady napsat, aby si třeba RDa uvědomil, o čem tady celou dobu básní.

[_Jenda]

... Už 15 let tu ale máme NSEC3, který enumeraci brání.

Coz je nejvetsi blabol za dobu existence roota ktery se tu vyskyt.

Když něčemu nerozumíte, zkuste si to aspoň vygooglit. Našel byste třeba tenhle popis NSEC3: https://www.lupa.cz/clanky/nsec3nbspndash-dnssec-ktery-nic-nevyzradi/

Jen bych dodal, že to umožňuje jména rychleji hádat, protože louskáte hashe offline (např. slovníkovým útokem), nemusíte se na každé jméno ptát DNS serveru.

[feferka2010]

pouzivani domen samozrejme bezpecnostni riziko neni, listing se da zakazat a nejakej suffix kterej znas jen zhlavy ty pomuze.

Problem je samozrejme system dns jako takovej, protoze dnes to leze pres kde co a nakonec to stejne nekde vyplave bud u LE transparency nebo to nekdo chytne na dns provozu a tim to ztrati na kouzlu.

uprimne nechapu jak existence zaznamu v DNS (ktery nejde listovat a utece tedy jen konkretni host) ovlivni bezpecnost neceho co neni na dns vazano. Ano take z bezpecnostnich duvodu nedavame defaultni vhost na zakaznickou aplikaci a trvame na SNI tj utocnik scanem nema sanci najit co za aplikaci tam je a vylame si zuby na pokusech poprat se z default vhostem. Ale dnes v dobe kdy scannery jedou dnem i noci neco schovavat absenci dns .. nevim nevim.


Pokud je to fyzicke pridal bych jednu vrstvu nad to (treba rb v transparent modu) pokud virtualizovane tak jednu vrstvu pred to (opnsense,pfsense,chr,*wrt) a pouzil nejakou verejnou vpn a mel to chranene na treti vrstve proti pristupu z venci.

[Wasper]

Pravděpodobnost takového útoku je podle mne směšně malá, ale asi bylo potřeba to tady napsat, aby si třeba RDa uvědomil, o čem tady celou dobu básní.

Prosím? Spíš by stálo za to se zamyslet, v jakém případě (jaký typ útočníka proti jaké oběti) bude případně podobný útok provádět, a zda, čirou náhodou, v tom případě (s uvážením prostředků, které onen útočník má) nebude naopak směšně malá pravděpodobnost odhalení.

Ano, pokud rád věci komplikujete, můžete si zaregistrovat veřejné doménové jméno, které nadelegujete na autoritativní servery za firewallem. Takže k datům uvnitř dané zóny se dostanou jen resolvery, kterým to na firewallu povolíte. Pak bude fungovat i výše uvedená myšlenka s třetím resolverem. Ostatní resolvery totiž budou hlásit chybu SERVFAIL, což povede klienta ke zkoušení dalších resolverů až narazí na ten jeden povolený. Může to ale trvat poměrně dlouho.

K trochu konstruktivnější debatě bych spíš OPa odkázal na koncept split-DNS, což je dost běžně používaná věc, která samozřejmě má jak své klady, tak i zápory.

Ještě k argumentu "ale oni to stejně scanují podle IP" - to každopádně neplatí, pokud na té IP sedí něco, co má virtual servery podle jména. Když tam vleze scanner po IP, a server to na sebe nepráskne (např. podle ASN v certifikátu), tak je dost možné, že útok skončí u defaultní stránky nginxu a né u děravého Wordpressu, který jinak než přes znalost Host: mujtajnyblogiiseknakterynikdonetrefi.ja.cz není dostupný. (nerozporuji, že děravý Wordpress na internet nepatří, ostatně ani na Intranet. Ale bavme se racionálně.)

[_Jenda]

Pravděpodobnost takového útoku je podle mne směšně malá, ale asi bylo potřeba to tady napsat, aby si třeba RDa uvědomil, o čem tady celou dobu básní.

Prosím? Spíš by stálo za to se zamyslet, v jakém případě (jaký typ útočníka proti jaké oběti) bude případně podobný útok provádět, a zda, čirou náhodou, v tom případě (s uvážením prostředků, které onen útočník má) nebude naopak směšně malá pravděpodobnost odhalení.

No a jak je tedy kontrolováno, že CT log je Merkle tree/"blockchain", a jsou v tomto nějaké mezery nebo ne? Jako já nevím jak se implementují ty kontroly - jestli třeba jednou za hodinu publikují hash "vrcholu stromu", a kontroluje se, že všechny záznamy sedí, a kde tenhle hash pak sežene prohlížeč, nebo jak.

[darebacik]

Nebojím se ani tak poskytovatele internetu nebo googlu, ale spíše náhodné člověka z druhého konce světa, který skenuje internet ve velkém. Nebo se také bojím člověka co si nějakou službu vyhlídne zkoumá možné zranitelnosti. Ten ale celkem jistě nebude schopen odchytávat můj vlastní dns provoz, nebo provoz všech zákazníků.

Nebylo by možné mít vlastní DNS server, který bych nastavil na počítačích na kterých pracuji jako třeba třetí v pořadí?
A ten by našel záznam jen když veřejné servery nic najít nedovedou?  Ten neveřejný DNS server by mohl být chráněn firewalem jen pro přístup z jistých ip adres + VPN. Takto by možná šlo vytvořit celý nový doménový neveřejný prostor.

Snazil som sa o nieco podobne v ramci studijnych ucelov. Unbound som zatial vzdal  a nasadil som bind, ale venujem tomu velmi malo casu, pretoze mam aj ine starosti.