Los vendedores de firewall se pelean para solucionar el problema de DNS

Casi un mes después de que se informara por primera vez de una falla crítica en el Sistema de nombres de dominio de Internet, los proveedores de algunos de los software de cortafuegos más utilizados intentan resolver un problema que esencialmente puede deshacer parte de los parches que solucionan este error.

La falla de DNS afecta al software de servidor realizado por muchos proveedores, incluidos Microsoft, Cisco Systems y el Consorcio de sistemas de Internet.

Algunos software de firewall deshace una función de aleatorización de puerto de origen que se introdujo en los parches de DNS. Si bien este cambio no anula por completo el parche de DNS, podría facilitar que los atacantes realicen un ataque de envenenamiento de caché contra el servidor DNS, dicen los expertos en seguridad.

[Más información: los mejores NAS para transmisión de medios y copia de seguridad]

Esto podría provocar ataques de phishing prácticamente indetectables contra los usuarios de esos servidores DNS.

Firewalls que realizan traducción de direcciones IP (Protocolo de Internet): convierte las direcciones IP utilizadas por las computadoras en sus redes internas en diferentes direcciones IP que son utilizados por las otras computadoras en Internet, a veces pueden deshacer la aleatorización del puerto fuente, dicen los expertos en seguridad.

El alcance del problema inicialmente tomó por sorpresa a algunos expertos DNS, dijo Dan Kaminsky, el investigador de IOActive que descubrió por primera vez. el error de DNS. "Esto es hasta cierto punto nuestra culpa", dijo en una entrevista por correo electrónico. "Subestimamos la cantidad de firewalls que se desplegaron frente a los servidores DNS".

"Cisco, Juniper, Citrix y varios otros proveedores de firewall han estado luchando por actualizar sus equipos", agregó.

Estos proveedores dicen que todavía podrían pasar semanas antes de que todos los productos sean reparados.

El miércoles, Cisco actualizó su Aviso de seguridad sobre el problema del DNS para brindar a los clientes orientación sobre cómo manejar el problema, dijo Russ Smoak, director de Cisco. Equipo de respuesta a incidentes de seguridad del producto. El problema afecta a los clientes de Cisco que están usando el firewall para realizar la traducción de la dirección del puerto (PAT), dijo. "Si tiene un cortafuegos PAT, lo mejor que puede hacer es revisar nuestro documento, comprender cómo está configurada nuestra red y si necesita la solución provista, entonces instale la solución".

Mientras tanto, la red Los administradores pueden reenviar sus búsquedas de DNS a servidores cuyas direcciones de puerto no se traducen o simplemente reconfigurar el firewall, dijo Kaminsky.

Juniper Networks espera entregar una opción de puerto fuente aleatorio para sus productos en las próximas semanas, dijo la portavoz de Juniper Cindy Ta, a través del correo electrónico.

Sin embargo, no todos los proveedores de firewall se ven afectados. Check Point Software, por ejemplo, dice que sus firewalls no tienen este problema.

La falla de DNS de Kaminsky afecta a una variedad tan amplia de productos que no es sorprendente que haya habido fallas en el proceso del parche. A principios de esta semana, los expertos de DNS informaron que el parche que habían creado estaba ralentizando el rendimiento en algunos servidores de alto tráfico, los que recibían más de 10.000 consultas por segundo. El viernes, el proveedor de seguridad nCircle informó que el arreglo de Apple para el problema de DNS no funcionó correctamente. El presidente del Consorcio de Sistemas de Internet, Paul Vixie, llama al problema de traducción del puerto un "gran problema", pero dijo que a pesar del escepticismo inicial, los usuarios están comenzando a entender la gravedad de la situación. Cuando Kaminsky discutió el problema por primera vez, algunos expertos en seguridad dijeron que el problema parecía ser simplemente una repetición de un problema conocido.

Pero luego de que el error se revelara inadvertidamente la semana pasada, algunos escépticos cambiaron su tono.

sigue siendo un desastre ", dijo a través de un correo electrónico. "Pero al menos no hay más negadores que enturbian las aguas con el mensaje 'exagerado, no urgente'".

(Will Schultz de PC World contribuyó a esta historia)