OpenSkills/ Il DNS fa acqua. Affonderà?

di A. Franceschi. L'emergere di nuovi bug in BIND, il più diffuso server DNS al mondo, fa riflettere sulla fragilità di uno dei sistemi chiave di Internet, spesso reso debole o inefficiente anche dalla cattiva configurazione dei server
di A. Franceschi. L'emergere di nuovi bug in BIND, il più diffuso server DNS al mondo, fa riflettere sulla fragilità di uno dei sistemi chiave di Internet, spesso reso debole o inefficiente anche dalla cattiva configurazione dei server


Roma – Il DNS, Domain Name System, è probabilmente il protocollo Internet più trascurato e bistrattato fra quelli fondamentali per una felice e proficua esperienza in rete. Serve per convertire in nomi di dominio facilmente memorizzabili gli indirizzi IP degli host in rete.

Esiste un software, Bind, dell’ Internet Software Consortium che viene usato sulla stragrande maggioranza dei server DNS in rete: dai possenti root-server che stanno alla base dell’intera gerarchia del Domain Name System, al server DNS del nostro provider, che gestisce e definisce gli indirizzi IP dei suoi domini locali e permette ai computer dei suoi abbonati di eseguire richieste (query) DNS e risolvere indirizzi (ottenere l’IP del dominio cercato).

Sebbene non esistano statistiche precise su quali server DNS siano più utilizzati in rete, – perché a differenza di un server Web, per esempio, un DNS non comunica al client la sua identità e versione – è risaputo come Bind venga utilizzato nella maggior parte dei server, anche perché le alternative languono.

Djbdns , ad esempio, è apprezzato per la sua leggerezza e sicurezza, ma per alcuni risulta difficile da configurare e non dispone di tutte le feature di Bind (in realtà il suo problema è probabilmente di essere arrivato con vari anni di ritardo).

Il server DNS integrato in Windows probabilmente non viene usato nemmeno da Microsoft: di fatto, dopo un imbarazzante down di oltre un giorno di www.microsoft.com per problemi sulla rete che ospitava tutti i suoi server DNS pubblici, Redmond fa gestire il servizio DNS per i suoi domini in outsourcing.

Esistono poi altri progetti (vedi qui ), ma per quanto ne so quasi nessuno li usa.

Insomma, Bind fa la parte del padrone, probabilmente con percentuali ben superiori a quelle di con cui Apache domina (con circa il 60%) il mondo del Web. Di recente sono state rese pubbliche alcune vulnerabilità delle attuali versioni 4.x e 8.x, ancora largamente in uso, di Bind (le versioni 5, 6, 7 non sono mai esistite, la 9.x è la più recente ed è immune da questo problema).

Già qualcuno prevede che a questa vulnerability disclosure seguirà relativo exploit utilizzabile in casi reali e poi, visto che è inutile ripetere a mano ciò che si può automatizzare, potrà apparire l’immancabile worm, con potenziali nefaste conseguenze su molti server in rete per i suoi effetti a catena.

Il dado è tratto e la valanga pare destinata a staccarsi dalla montagna, sia perché tradizionalmente i tempi di aggiornamento dei sistemi da parte di sysadmin pigri, troppo impegnati o poco informati tendono ad essere lunghi, sia perché il DNS è il classico “servizio dimenticato” che richiede poca manutenzione e, in genere, beneficia di poche attenzioni.

A questo proposito sono piuttosto interessanti le ricerche di Men&Mice , società di consulting che pubblica regolari e disarmanti report sulle (mis)configurazioni dei server DNS in rete.


Ad agosto 2002 , per esempio, su un campione di 5.000 domini ?.com?, si sono trovati errori di configurazione legati al DNS nel 70,1% dei casi. Non male come numero, anche se si deve considerare che molti degli errori segnalati si riferiscono ad aspetti secondari relativamente non critici. Vediamone alcuni, tanto per farci sorprendere:
– il 27,6% dei domini analizzati ha tutti i propri server autoritari sullo stesso segmento di rete: se cade quello cade la possibilità di risolvere gli indirizzi dei relativi domini. Ne sa qualcosa Microsoft, come abbiamo visto;
– il 7,4% ha un solo server autoritativo: se quello cade, non esiste un server di backup che possa essere usato per risolvere gli IP del dominio;
– il 20,2% ha errori di configurazione nelle deleghe (con cui i server DNS gestiscono in modo gerarchico chi deve risolvere gli IP di un dato dominio) che possono comportare problemi e ritardi di varia natura nelle query;
– il 14,18% non ha configurato record PTR in corrispondenza di un record A, in pratica non permette il reverse lookup, l’operazione inversa a quella che normalmente si fa: ottenere il nome di un host di cui si conosca l’IP;
– il 18,68% dei domini non ha configurato un record MX che indichi quale server di posta deve ricevere mail per il relativo dominio.

La criticità del sistema DNS è nota, quantomeno a chi fa colazione con pane e Internet.
A prescindere dai dati qui riportati e dalla notizia di una nuova, quasi inevitabile, falla di sicurezza su un software largamente diffuso in rete, il Domain Name System per sua natura si basa su pochi server principali che gestiscono le deleghe per tutti i domini in rete: i 13 root-server gestiti da entità eterogenee come l’esercito degli Stati Uniti, il Department of Defence americano, la NASA, Verisign Inc., il RIPE europeo e altri, dislocati per la gran parte in USA. Lo sa bene chi ha recentemente provato a mettere in ginocchio Internet con una serie di attacchi DDOS portati proprio ai root-server, per altro con scarsi risultati.

Tutto questo può dare la sensazione di una baracca che sta in piedi per miracolo, con miliardi di pacchetti che ogni microsecondo fluiscono come spermatozoi frenetici e spericolati fra le maglie di una rete che cresce tumultuosa a colpi di patch, upgrade, bug, worm, DDoS, in quella grandiosa danza tecnologica quotidiana che mormora incessante, e ogni tanto singhiozza, in ogni secondo del nostro tempo.

Alessandro Franceschi
OpenSkills.info

Link copiato negli appunti

Ti potrebbe interessare

13 11 2002
Link copiato negli appunti