web-dev-qa-db-ja.com

外部DNSを介した内部IPアドレスの漏洩はどれほど悪い

外部DNSサーバーが内部IPアドレスを漏洩している場合、この情報漏洩に関連する重大なセキュリティの脅威はありますか?

ほとんど明白なものは別として、使用中の内部IP範囲を理解する。

たとえばCisco.com: http://www.dnsdumpster.com/report.php?domain=Cisco.com

16
StephenG

ファイアウォールの内側の内部IPアドレスを明らかにしても、おそらく大きな害はありません。いくつかのリスクがありますが、私にはかなり控えめなようです。

ここに私が見ることができるリスクがあります:

  • 情報収集。使用中の内部IP範囲について何かを明らかにします。攻撃者が内部システムに侵入した場合、この情報は、攻撃者が追跡する可能性のある他の内部システムを示唆することにより、攻撃者の生活をある程度容易にする可能性があります。また、組織構造についても少し明らかにするかもしれません。

  • CSRF攻撃。これは、CSRF攻撃をわずかに容易にする可能性もあります。 CSRF攻撃では、ファイアウォールの内側にいるユーザーが悪意のあるWebサイトにアクセスし、悪意のあるWebサイトがユーザーのブラウザーにHTMLドキュメントを送り返し、ユーザーのブラウザーを別のマシンに接続させます。悪意のあるWebサイトが別の内部マシンのアドレスを知っている場合、その内部マシンへの接続をトリガーして攻撃する可能性があります(組織のファイアウォールを破壊する)。ただし、これらの攻撃は他の内部マシンの知識がなくても発生する可能性があります(たとえば、Javascriptを使用して内部マシンをポートスキャンすることができます)。したがって、内部マシンのアドレスの知識はリスクをいくぶん増大させる可能性がありますが、攻撃者にとって必須ではありません。

これに基づいて、内部IPアドレスの漏洩を防止しようとすることについてあまり強調しません。おそらく、時間をより有効に活用し、より優先度の高いセキュリティアクティビティが他にもあるでしょう。

10
D.W.

AS112.net で利用可能なネガティブDNSに関する多くの情報(元のCAIDA研究へのリンクを含む)があります。

BGP(パスベクトルルーティングプロトコルを介して自律システムまたはASをルーティングすることでインターネットを機能させるIETF標準)とDNS(DNSサーバーがルートにアクセスできるようにすることでインターネットを機能させる別のIETF標準)がわかっている場合ネームサーバーインフラストラクチャ)が機能している場合は、インターネットを維持するインフラストラクチャを実行する中立的な事業者がいることを理解しています。

CAIDAの調査からわかるように、RFC1918 DNS PTRレコードは1997年頃にグローバルインターネットに漏洩し始めました。BGPの発表時に高度なAnycast設定を使用しても、ルートネームサーバーはこの余分なトラフィックの負荷を処理できませんでしたより具体的な/ 24 IPv4プレフィックスは、/ 32 IBGPアナウンスメントのルートネームサーバーで利用されました。

このトラフィックの余分な負荷を処理するためにAS全体が作成され、エニーキャストも利用されました。組織はおそらく、このDNSトラフィックを使用して独自の送信ファイアウォールルールを非難し、パフォーマンスにも影響を及ぼしています(特に、巨大な出口)。このネガティブDNSトラフィックの自律システムはAS 112です。それはWebサイトです(そして、このネガティブDNSトラフィックの成長の履歴と統計に関する詳細情報はそこでホストされています)。

0
atdre