Si un servidor DNS externo está perdiendo direcciones IP internas, ¿hay alguna amenaza de seguridad importante asociada con esta fuga de información?
Aparte de lo más obvio, obtener una comprensión de los rangos de IP internos en uso.
Cisco.com, por ejemplo: enlace
Probablemente no haya un gran daño al revelar direcciones IP internas dentro del firewall. Si bien hay algunos riesgos, me parecen bastante modestos.
Aquí están los riesgos que puedo ver:
Recopilación de información. Revela algo sobre los rangos de IP internos en uso. Si un atacante violara algún sistema interno, esta información podría hacer que la vida de un atacante sea algo más fácil, al sugerir algunos otros sistemas internos a los que podría atacar el atacante. También podría revelar un poco sobre la estructura organizativa.
Ataques CSRF. También puede hacer que los ataques CSRF sean un poco más fáciles. En un ataque CSRF, un usuario dentro del firewall visita un sitio web malicioso, y el sitio web malintencionado envía al navegador del usuario un documento HTML que hace que el navegador del usuario se conecte a otra máquina. Si el sitio web malicioso conoce la dirección de otra máquina interna, puede intentar activar una conexión a esa máquina interna y atacarla (subvirtiendo el firewall de la organización). Sin embargo, estos ataques también pueden ocurrir incluso sin el conocimiento de otras máquinas internas (por ejemplo, se puede usar Javascript para analizar las máquinas internas), por lo que aunque el conocimiento de la dirección de una máquina interna puede aumentar el riesgo, no es esencial para un atacante. / p>
Sobre esta base, no insistiría demasiado en intentar evitar que las direcciones IP internas se filtren. Probablemente habrá otras actividades de seguridad que hagan un mejor uso de su tiempo y deberían ser una prioridad más alta.
Hay mucha información (incluidos los enlaces a los estudios originales de CAIDA) sobre el DNS negativo disponible en AS112.net
Si sabe cómo BGP (es un estándar IETF que hace que Internet funcione mediante el enrutamiento de sistemas autónomos, o ASes, a través de un protocolo de enrutamiento de vector de ruta) y DNS (es otro estándar IETF que hace que Internet funcione al permitir que los servidores DNS acceda a una infraestructura de servidor de nombres raíz), entonces entiende que hay operadores neutrales que ejecutan la infraestructura que mantiene el funcionamiento de Internet.
Como se puede ver en la investigación de CAIDA, los registros RFC1918 PTR de DNS comenzaron a filtrarse a Internet a nivel global alrededor de 1997. Los servidores de nombres raíz no podían manejar la carga de este tráfico adicional, incluso con la configuración más avanzada de Anycast cuando Los anuncios de BGP de prefijos IPv4 más específicos / 24 se utilizaron con un servidor de nombres raíz en un anuncio de IBGP / 32.
Se creó un AS completo para manejar la carga adicional de este tráfico, y también utilizó Anycast. Las organizaciones probablemente están cerrando sus propias reglas de firewall salientes con este tráfico de DNS, lo que también afecta su rendimiento (especialmente en las grandes salidas de egreso). El sistema autónomo para este tráfico de DNS negativo es AS 112. Es el sitio web (y allí se encuentra más información sobre el historial y las estadísticas del crecimiento de este tráfico de DNS negativo).
Lea otras preguntas en las etiquetas network data-leakage dns