¿Por qué los enrutadores domésticos aceptan el tráfico DNS entrante?

Navega tus respuestas
4

Me encontré con un documento interesante ( Enlace PDF ) donde los investigadores descubrieron que más del 58% de los solucionadores de DNS abiertos que se atribuyen a los ataques DDoS son de hecho enrutadores domésticos distribuidos por los ISP al cliente. El documento continúa para averiguar el motivo del comportamiento extraño (anómalo) en el que estos enrutadores responden a las consultas de DNS con el puerto de origen incorrecto (no udp 53), y encontraron que el problema probablemente se debe a una regla NAT defectuosa.

Creo que la investigación es interesante, pero lo que no puedo entender es que ¿por qué los fabricantes hacen que estos enrutadores domésticos acepten cualquier tipo de tráfico iniciado desde Internet? Sé que algunos de ellos tienen la opción de abrir la página de configuración desde la WAN, por lo que escuchan en el puerto 80 o 443 (o en el puerto personalizado que establezca), pero ¿en qué justificación se puede pensar para abrir un servicio como DNS al mundo exterior? Y si eso fuera solo un efecto secundario de algo que los fabricantes intentaron lograr, ¿cuál sería? ¿Podría ser algún tipo de puerta trasera mal configurada? y hacer que? ¿O me estoy perdiendo algo aquí ?!

    
pregunta amyassin 06.03.2015 - 23:48
fuente

1 respuesta

2

Los enrutadores SoHo generalmente proporcionan enmascaramiento de IP (NAT). Esto significa que deben proporcionar un servicio DHCP y (debido a que DNS usa UDP y, por lo tanto, no se puede usar en la enmascaramiento de IP) también deben proporcionar un servidor DNS.

(OK, eso es una simplificación, y estos son requisitos que surgen principalmente de la facilidad de uso que se pueden resolver con soluciones técnicas más elaboradas, pero a los usuarios finales no les gustan las cosas técnicas)

Entonces, dado que estos dispositivos deben proporcionar estos servicios, la pregunta es ¿por qué estos servicios están expuestos en el lado de Internet? La respuesta corta es que se requiere un esfuerzo adicional para restringir los servicios a la red interna. Si bien agregar una restricción de este tipo a, digamos, una caja de Linux o Cisco es trivial, muchos de estos dispositivos utilizan sistemas operativos propietarios escritos sin tener en cuenta las implicaciones de seguridad (por lo tanto, terminamos con dispositivos que contienen puertas traseras de administrador codificadas y otras similares). horrores).

Incluso cuando agregar la restricción es trivial, significa un costo adicional de R & D. Si está acostumbrado a configurar dispositivos de red, puede que se burle de esto, pero un paso por encima de los fabricantes que podría considerar simplemente incompetentes son aquellos que solo implementarán funciones que han probado exhaustivamente, y los costos pueden escalar rápidamente. / p>

El gran público comprador está comenzando a tomar conciencia de la seguridad como una propiedad deseable en los equipos de computación, pero en ausencia de un estándar efectivo, barato y bien publicado para la seguridad de los dispositivos, no tienen base para tomar una decisión informada sobre el Calidad de un dispositivo. Por lo tanto, es un mercado para los limones .

Aunque estoy de acuerdo con Jeff en que el costo es un factor importante en la cadena de causalidad, no diría que es la causa principal del problema aquí.

    
respondido por el symcbean 07.12.2016 - 15:04
fuente

Lea otras preguntas en las etiquetas

¿Se beneficia de especificar el conjunto de caracteres JSON Content-Type? Ataque del servidor WPAD Rogue