Gemak dient de mens, maar kan ook tegen je werken. Dat blijkt toch keer op keer in de online security wereld. Dit keer was het de security specialist van Networking4all zelf die stuitte op een probleem met de AXFR settings van een leverancier. Deze bleken niet afgeschermd te zijn, waardoor veel informatie bereikbaar was, die niet bereikbaar zou moeten zijn.

Reden genoeg om hier eens verder naar te kijken. Uit zijn onderzoek is nu gebleken dat de AXFR setting van een opvallend groot aantal nameservers die geassocieerd zijn met .nl-domeinnamen nog steeds open staat. Deze setting staat toe dat er een request gestuurd wordt naar de nameserver, die vervolgens de complete zone informatie terugstuurt, waardoor er informatie meegeleverd wordt die niet openbaar zou moeten zijn. Deze transactie wordt een zone transfer genoemd. Een AXFR request kan aanvallers de benodigde informatie geven om de netwerk infrastructuur in kaart te brengen.

De zone transfer kan een verscheidenheid aan informatie bevatten over de opgevraagde domeinnaam, zoals de gebruikte nameservers, hostnamen, CNAMEs, interne servernamen, glue records, DNSSEC keys, MX records, en DKIM keys.

Traditioneel gezien wordt de zone transfer gebruikt om nameservers te synchroniseren. De informatie die vroeger werd meegestuurd met een zone transfer was veel beperkter. In de afgelopen jaren is de hoeveelheid informatie echter enorm uitgebreid, waardoor het een security issue wordt om AXFR requests ongelimiteerd toe te staan op een nameserver.

Sinds de jaren ‘90 wordt het daarom al aangeraden om AXFR settings dicht te zetten voor de buitenwereld. Nu blijkt echter dat bij veel Nederlandse domeinnamen al deze gegevens nog steeds openbaar bereikbaar zijn.

Onderzoek
Sebastian Broekhoven, security specialist bij Networking4all, heeft in december 2017 een onderzoek gedaan naar de status van de AXFR settings bij .nl-domeinnamen, en domeinnamen die daar aan gerelateerd zijn. Zijn onderzoek besloeg ruim 5.4 miljoen domeinnamen. Hiervoor is hij begonnen met 3.3 miljoen .nl-domeinnamen. Door de nameservers van deze domeinnamen te bekijken kon hij ook achterhalen of er nog gerelateerde domeinnamen of mailservers gekoppeld waren aan deze .nl-domeinnaam.

Vervolgens onttrok hij alle nameservers van deze domeinen, en testte hij de nameservers op de AXFR setting.

Hieruit kwam naar voren dat er 65.711 verschillende nameservers gebruikt worden, waarvan er maar liefst 9.181 AXFR ondersteunen. Deze 9.181 nameservers beslaan 216.953 domeinnamen. Dit is ruim 6% van de onderzochte domeinnamen en zelfs bijna 14% van alle nameservers.

Uit zijn onderzoek kwamen een aantal opvallende situaties naar voren. Zo was er een grote Nederlandse domeinnamen-verkoper die 47.000 domeinnamen op 2 nameservers hadden staan, die allemaal kwetsbaar waren. Een grote ISP had 16.000 domeinnamen die op de tocht stonden. Beide partijen schermden hun nameservers af voor ongeoorloofde AXFR-requests toen ze hiervan op de hoogte werden gebracht.

Een andere opvallende partij was een MSP/Cloud provider, die de gegevens van 3700 domeinnamen kon laten uitlezen. Deze partij was het al opgevallen dat er AXFR requests werden uitgevoerd en waren al bezig met het afschermen van hun infrastructuur toen onze security specialist ze op de hoogte bracht van zijn bevindingen.

Ten slotte was er nog één van de grootste, en goedkoopste, web hosting providers van Nederland, waarbij maar liefst 74.000 domeinnamen, verdeeld over 227 nameservers, uit te lezen waren door een aanvaller.

België en Frankrijk

Ook in België en Frankrijk bleek de setting nog grootschalig in gebruik, al was het opvallend genoeg minder dan in Nederland. Zowel in België als in Frankrijk zat het aantal nameservers dat AXFR-requests toestaat rond de 10%: 10,98% in België, en 9,63% in Frankrijk.

Wanneer de cijfers naast elkaar bekeken worden valt het op dat de markt in zowel België als Frankrijk kleiner is. Ook wordt de markt daar beheerst door een aantal grote spelers, die hun zaakjes goed op orde hebben. De Nederlandse markt daarentegen is vele malen breder: er is een lage drempel om een aanbieder van domeinnamen te worden in Nederland, maar daardoor is de controle op kwaliteit ook minder.

De oplossing
Als u wilt weten of uw nameservers informatie lekken door middel van een AXFR request, kunt u de nameservers controleren met een tool zoals de Zone Transfer Online Test. Deze tool voert voor elke beschikbare nameserver die in uw DNS staat de request uit. Vaak wordt de primaire nameserver wel afgeschermd, maar de secundaire of tertiaire nameservers niet. Als uit deze test blijkt dat de AXFR setting gewoon open staat, en u niet zelf uw nameservers beheert, kunt u het beste contact opnemen met uw hostingprovider.

Wanneer u zelf nameservers beheert, heeft u meerdere mogelijkheden. Ten eerste kunt u er voor kiezen om in de configuratie van uw nameserver de optie helemaal uitzetten. Dit is een zeer rigoureuze oplossing, maar deze kan mogelijk voor problemen zorgen wanneer u uw nameservers wilt synchroniseren.

U kunt er ook voor kiezen om te gaan werken met een IP-whitelist. Zo schermt u uw gegevens af voor ongewenste requests. Daarnaast kunt u er ook voor kiezen om het verkeer te beveiligen met een TSIG, of Transaction Signature. Maar de beste oplossing is een combinatie van die twee: limiteer de toegang met een whitelist, en sta alleen requests toe van gewhiteliste nameservers die de TSIG kunnen overleggen.

Networking4all zal de resultaten van dit onderzoek gebruiken om zoveel mogelijk partijen te benaderen over dit probleem. In de tweede helft van 2018 zullen we het onderzoek nog eens herhalen om te bekijken of deze partijen hun systeem hebben opgewaardeerd. Zo kan Networking4all ook in 2018 een steentje bijdragen aan een veiliger internet.

Lees relevante artikelen

Categorie  Bedrijfsnieuws SSL & Security | Tags  nameservers networking4all onderzoek Security