OpenSkills/ Il DNS fa acqua. Affonderà?

di A. Franceschi. L'emergere di nuovi bug in BIND, il più diffuso server DNS al mondo, fa riflettere sulla fragilità di uno dei sistemi chiave di Internet, spesso reso debole o inefficiente anche dalla cattiva configurazione dei server

Roma - Il DNS, Domain Name System, è probabilmente il protocollo Internet più trascurato e bistrattato fra quelli fondamentali per una felice e proficua esperienza in rete. Serve per convertire in nomi di dominio facilmente memorizzabili gli indirizzi IP degli host in rete.

Esiste un software, Bind, dell'Internet Software Consortium che viene usato sulla stragrande maggioranza dei server DNS in rete: dai possenti root-server che stanno alla base dell'intera gerarchia del Domain Name System, al server DNS del nostro provider, che gestisce e definisce gli indirizzi IP dei suoi domini locali e permette ai computer dei suoi abbonati di eseguire richieste (query) DNS e risolvere indirizzi (ottenere l'IP del dominio cercato).

Sebbene non esistano statistiche precise su quali server DNS siano più utilizzati in rete, - perché a differenza di un server Web, per esempio, un DNS non comunica al client la sua identità e versione - è risaputo come Bind venga utilizzato nella maggior parte dei server, anche perché le alternative languono.
Djbdns, ad esempio, è apprezzato per la sua leggerezza e sicurezza, ma per alcuni risulta difficile da configurare e non dispone di tutte le feature di Bind (in realtà il suo problema è probabilmente di essere arrivato con vari anni di ritardo).

Il server DNS integrato in Windows probabilmente non viene usato nemmeno da Microsoft: di fatto, dopo un imbarazzante down di oltre un giorno di www.microsoft.com per problemi sulla rete che ospitava tutti i suoi server DNS pubblici, Redmond fa gestire il servizio DNS per i suoi domini in outsourcing.

Esistono poi altri progetti (vedi qui), ma per quanto ne so quasi nessuno li usa.

Insomma, Bind fa la parte del padrone, probabilmente con percentuali ben superiori a quelle di con cui Apache domina (con circa il 60%) il mondo del Web. Di recente sono state rese pubbliche alcune vulnerabilità delle attuali versioni 4.x e 8.x, ancora largamente in uso, di Bind (le versioni 5, 6, 7 non sono mai esistite, la 9.x è la più recente ed è immune da questo problema).

Già qualcuno prevede che a questa vulnerability disclosure seguirà relativo exploit utilizzabile in casi reali e poi, visto che è inutile ripetere a mano ciò che si può automatizzare, potrà apparire l'immancabile worm, con potenziali nefaste conseguenze su molti server in rete per i suoi effetti a catena.

Il dado è tratto e la valanga pare destinata a staccarsi dalla montagna, sia perché tradizionalmente i tempi di aggiornamento dei sistemi da parte di sysadmin pigri, troppo impegnati o poco informati tendono ad essere lunghi, sia perché il DNS è il classico "servizio dimenticato" che richiede poca manutenzione e, in genere, beneficia di poche attenzioni.

A questo proposito sono piuttosto interessanti le ricerche di Men&Mice, società di consulting che pubblica regolari e disarmanti report sulle (mis)configurazioni dei server DNS in rete.
TAG: mondo
9 Commenti alla Notizia OpenSkills/ Il DNS fa acqua. Affonderà?
Ordina
  • Si tratta di versioni dismesse da anni.
    La versione 4 e' stata sostituita dalla 8 e la 8 oggi dalla 9.
    La piantiamo di scrivere stupidaggini e luoghi comuni? La sicurezza e' un processo che passa anche per l'aggiornamento dei pacchetti software e nessun software e' infallibile.
    non+autenticato
  • Si vede che non sei un sistemista, xché altrimenti sapresti anche che difficilmente in sistemi di produzione si passa a nuove versioni prima che queste siano state largamente collaudate. Guarda Apache: è vero che esiste la versione 2.0, ma in quanti la utilizzano?
    Quindi, per favore, non sparare fregnacce a vanvera, please.
    Ciao.

    - Scritto da: io
    > Si tratta di versioni dismesse da anni.
    > La versione 4 e' stata sostituita dalla 8 e
    > la 8 oggi dalla 9.
    > La piantiamo di scrivere stupidaggini e
    > luoghi comuni? La sicurezza e' un processo
    > che passa anche per l'aggiornamento dei
    > pacchetti software e nessun software e'
    > infallibile.
    non+autenticato
  • Indipendentemente dal software per DNS utilizzato,chi lo utilizza, nella fattispecie il system administrator che lo configura,lo aggiorna o modifica deve avere sensibilita' verso le problematiche di sicurezza.
    Coscienza che nulla e' sicuro e non si puo' osannare un prodotto x o un prodotto y.Prima o poi esce un bug x chiunque.
    I worm vanno poco distante se gli aggiornamenti sono tempestivi.
    Putroppo il mondo e' pieno di superficialita' quando si affrontano questi problemi, e si preferisce quasi sempre una "cosa" facile ad una "cosa" sicura e robusta.
    fate vobis ...
    non+autenticato
  • BIND e' obsoleto, cosi' come sendmail e' obsoleto.
    Speriamo che si affermino le alternative, anche grazie a Linux, come e' successo con Postfix o Qmail nei confronti di sendmail.
    non+autenticato
  • "Esistono poi altri progetti (vedi qui), ma per quanto ne so quasi nessuno li usa."

    E qui l'articolista e' poco informato.
    Liquida tutto con una una ricerca con Google sulle dir. alquando contestabile e discutibile, perche' non rende onore a tanti, free e non, dns
    server per Win, Linux, Beos, Mac-os ecc. ecc. che non rientrano nelle grazie di Google.
    Comunque a parte questo, ne cito uno a caso, molto diffuso e usato Simple Dns Plus, se l'articolista volesse gentilmente conttatare l'autore di Simple, persona alquanto squisita,
    chiedendo gentilmente quante versioni ha venduto,
    e quante sono attive, forse riuscira' a ricredersi su quello che ha scritto.

    E questo e' solo un piccolissimo esempio, per aprofondimenti, bhe' non e' il mio lavoro, ma il lavoro dell'articolista, al quale consiglio vivamente, di cercare con maggiore zelo.


    non+autenticato
  • Si prega di escludere software commerciale: ci mancherebbe che si dovesse pagare per un protocollo fesso come quello del DNS, che' con un compilatore C e il supporto TCP anche mio nonno e' in grado di scrivere e far funzionare sul suo pallottoliere elettrico.
    non+autenticato
  • Francamente su tutti i sistemi DNS con cui ho avuto a che fare ho sempre trovato BIND o, in alcuni casi, DJBDNS (ma questo non significa molto in se).
    Sui root servers o presso il Nic italiano usano quasi sempre Bind su Unix, più che altro per motivi storici.
    Più che cercare su Dmoz (dove ogni persona di buon senso dovrebbe segnalare un suo progetto, visto che poi la directory di Dmoz viene usata dai principali motori di ricerca) un elenco dei DNS server disponibili, per dare un'idea del quadro generale, non mi sembrava il caso.
    L'articolo è basato sulla vulnerability di Bind rivelata ieri e sui misconfigurazioni diffuse dei server DNS, non su quali sono quelli più diffusi.
    L'affermazione "Esistono poi altri progetti (vedi qui), ma per quanto ne so quasi nessuno li usa." non mi pare impropria, sia perchè comunque si riferisce alla "mia conoscenza", sia perchè va riferita a DNS server pubblici autoritari di qualche dominio, non a eventuali resolver usati in reti locali, dove le situazioni possono essere molto più variegate.
    Diciamo che il "quasi nessuno" è senz'altro esagerato in assoluto, ma probabilmente non lo è relativamente al numero di installazioni pubbliche generali.
    non+autenticato
  • > L'affermazione "Esistono poi altri progetti
    > (vedi qui), ma per quanto ne so quasi
    > nessuno li usa." non mi pare impropria, sia
    > perchè comunque si riferisce alla "mia
    > conoscenza", sia perchè va riferita a DNS
    > server pubblici autoritari di qualche
    > dominio, non a eventuali resolver usati in
    > reti locali, dove le situazioni possono
    > essere molto più variegate.

    Egr. Sig. Articolista, io non ho l'esperienza che ha lei, testo DNS solo da 5 o 6 anni su parecchie piattaforme, perche' ho sempre ritenuto che i server DNS e i server Mail sono l'ossatura della struttura (mi passi il termine improprio) internet, ma le posso garantire che alcuni di questi "misconosciuti" DNS server (fra cui SDP)
    sono e tutt'ora funzionano proprio su:

    > server pubblici autoritari di qualche
    > dominio

    e hanno qualche centinaia di domini sotto di se'
    e se hanno "sofferto" di problemi di sicurezza, mi creda e' stato per pochi giorni, e la cosa non ha creato nessun problema.
    Questi sistemi non hanno nulla da invidiare ai blasonati DNS sotto unix, che come Lei ha evidenziato e io sono pienamente d'accordo con lei, si usano per
    ">più che altro per motivi storici".


    > Diciamo che il "quasi nessuno" è senz'altro
    > esagerato in assoluto, ma probabilmente non
    > lo è relativamente al numero di
    > installazioni pubbliche generali.


    Mi scusi Sig. Articolista se mi sento di dissentire, ripeto, io non ho purtoppo la sua esperienza, magari nemmeno la sua capacita', o conosceza, pero' ho potuto verificare molte e molte piu' volte che i DNS meno conosciuti blasonati e su sistemi meno nobili sono parte portante di vari Mantainer sia su territorio Italiano ed Estero.
    E mi creda, non solo gli ultimi arrivati, anzi...
    non+autenticato
  • Concordo in pieno! Per la mia conoscenza, SimpleDNS è molto diffuso tra gli amministratori di reti basate su Windows, in quanto è economico, semplice e affidabile.

    Due miei server DNS lo utilizzano e non abbiamo avuto un solo giorno di downtime da oltre un anno a questa parte (da quando lo abiamo installato).

    La configurazione poi e roba di 5 minuti, e comunque sono previste tutte le feature di bind o prodotti similari.
    non+autenticato