La pregunta que tengo es que, en la sesión WPA2 entre el AP y el cliente, ¿las solicitudes de DNS se envían en texto sin formato?
Tratando de envolver mi cabeza en torno al último exploit de glibc.
Gracias
Ted
No, las solicitudes de DNS no se envían en texto sin formato por aire entre el punto de acceso y el dispositivo cliente. Todo el tráfico entre los dos se cifra de acuerdo con la especificación WPA2 mediante la clave suministrada, incluidas las solicitudes de DNS.
Una vez que el AP recibe el tráfico cifrado que contiene la solicitud de DNS, se descifra y se puede examinar, y es en ese punto que la solicitud de DNS vuelve a aparecer en texto sin formato. Luego, presumiblemente, se reenviará a su destino a través de una conexión por cable, pero no necesariamente.
En cuanto a cómo se relaciona esto con la reciente vulnerabilidad de glibc, solo un dispositivo que esté conectado a la red posiblemente pueda interceptar o leer solicitudes de DNS. Un dispositivo debe estar conectado mediante una conexión por cable o debe poder autenticarse con un punto de acceso inalámbrico. WPA2, si bien no es tan fácil de descifrar como WEP, aún es crackable si el dispositivo malicioso está escuchando cuando se produce un apretón de manos válido. Un apretón de manos puede forzarse enviando lo que se conoce como un "marco deauth". Esto obliga a los dispositivos en el rango a volver a autenticarse con el AP, lo que permite al atacante capturar el saludo. Una vez capturado, el atacante puede usar estos datos del protocolo de enlace para descifrar la contraseña. Dependiendo de la potencia de procesamiento que tengan y de la seguridad de su contraseña, esto puede llevar desde unos minutos hasta una semana entera. Una semana es mucho tiempo y energía para invertir en descifrar el wifi de una persona al azar (es probable que un atacante pase a la persona que tiene "pony123" como su contraseña), por lo que puede vacunarse contra este tipo de ataque al elegir un contraseña wifi segura (evite las palabras del diccionario, use letras mayúsculas y minúsculas, use números y maximice la longitud).
Una vez que un dispositivo malicioso tiene acceso a su red, puede interferir potencialmente con las solicitudes de DNS y explotar la vulnerabilidad en la biblioteca de glibc.
¿Qué puedes hacer al respecto? Primero, asegúrese de que todas las instancias de su sistema operativo afectado estén parcheadas. Luego, asegúrate de no usar ninguna aplicación que también esté afectada. Cualquier aplicación que esté vinculada estáticamente a glibc también deberá actualizarse con la versión parcheada. Las aplicaciones vinculadas dinámicamente serán "parcheadas" de manera efectiva cuando el sistema operativo esté parcheado. También puede configurar las direcciones IP de su servidor DNS manualmente (por ejemplo, use el rango 8.8.8.8 de Google o el rango 4.2.2.X de Level3), lo que hará que su dispositivo ignore las respuestas DNS de los falsificadores (suponiendo que no sean también falsificaciones IP). Y, obviamente, elige una contraseña wifi segura.