Vendor Firewall Berjuang untuk Memperbaiki Masalah DNS

Hampir satu bulan setelah kecacatan kritis dalam Sistem Nama Domain Internet pertama kali dilaporkan, vendor dari beberapa perangkat lunak firewall yang paling banyak digunakan berebut untuk memperbaiki masalah yang pada dasarnya dapat membatalkan sebagian patch yang mengatasi bug ini.

Cacat DNS mempengaruhi perangkat lunak server yang dibuat oleh banyak vendor, termasuk Microsoft, Cisco Systems, dan Konsorsium Sistem Internet.

Beberapa perangkat lunak firewall membatalkan fitur pengacakan port sumber yang diperkenalkan di patch DNS. Sementara perubahan ini tidak sepenuhnya meniadakan patch DNS, itu bisa mempermudah penyerang untuk melakukan serangan cache-poisoning terhadap server DNS, kata para ahli keamanan.

[Bacaan lebih lanjut: Kotak NAS terbaik untuk streaming media dan backup]

Ini dapat menyebabkan serangan phishing yang tidak terdeteksi terhadap pengguna server DNS tersebut.

Firewall yang melakukan terjemahan alamat IP (Internet Protocol) - mengubah alamat IP yang digunakan oleh komputer di jaringan internal mereka ke alamat IP yang berbeda yang digunakan oleh komputer lain di Internet - kadang-kadang dapat membatalkan pengacakan port sumber, pakar keamanan mengatakan.

Ruang lingkup masalah awalnya mengambil beberapa ahli DNS dengan kejutan, kata Dan Kaminsky, peneliti IOActive yang pertama kali menemukan bug DNS. "Ini adalah kesalahan kami," katanya dalam wawancara e-mail. "Kami meremehkan jumlah firewall di luar sana yang dikerahkan di depan server DNS."

"Cisco, Juniper, Citrix, dan sejumlah vendor firewall lainnya telah benar-benar berebut untuk memperbarui peralatan mereka," tambahnya.

Vendor ini mengatakan itu masih bisa beberapa minggu sebelum semua produk diperbaiki.

Pada hari Rabu, Cisco memperbarui Penasihat Keamanannya pada masalah DNS untuk memberikan panduan kepada pelanggan tentang cara menangani masalah tersebut, kata Russ Smoak, direktur Cisco Tim Respons Insiden Keamanan Produk. Masalah ini mempengaruhi pelanggan Cisco yang menggunakan firewall untuk melakukan terjemahan alamat port (PAT), katanya. "Jika Anda memiliki firewall PAT, hal terbaik yang dapat Anda lakukan adalah melihat melalui dokumen kami, memahami bagaimana jaringan kami dikonfigurasi, dan jika Anda memerlukan perbaikan yang disediakan, kemudian instal perbaikan."

Untuk sementara, jaringan administrator dapat meneruskan pencarian DNS mereka ke server yang alamat portnya tidak diterjemahkan atau hanya mengkonfigurasi ulang firewall, kata Kaminsky.

Juniper Networks mengharapkan untuk memberikan opsi port sumber acak untuk produknya dalam beberapa minggu mendatang, kata Juniper juru bicara Cindy Ta, melalui e-mail.

Tidak semua vendor firewall terpengaruh, namun. Check Point Software, misalnya, mengatakan firewallnya tidak memiliki masalah ini.

Cacat DNS Kaminsky mempengaruhi berbagai macam produk yang tidak mengherankan bahwa ada beberapa gangguan dalam proses patch. Awal pekan ini, para ahli DNS melaporkan bahwa patch yang mereka buat melambatkan kinerja pada beberapa server lalu lintas tinggi - mereka yang dipukul dengan lebih dari 10.000 pertanyaan per detik. Pada hari Jumat, vendor keamanan nCircle melaporkan bahwa perbaikan Apple untuk masalah DNS tidak berfungsi dengan baik.

Presiden Konsorsium Sistem Internet Paul Vixie menyebut masalah terjemahan port sebagai "masalah besar," tetapi dia mengatakan bahwa meskipun ada beberapa skeptisisme awal, pengguna mulai memahami keseriusan situasi. Ketika Kaminsky pertama kali membahas masalah ini, beberapa ahli keamanan mengatakan bahwa masalah itu tampaknya hanya merupakan pengulangan masalah yang diketahui.

Tapi setelah bug itu secara tidak sengaja diungkapkan minggu lalu, beberapa skeptis mengubah nada mereka.

"Ini terus menjadi berantakan, "katanya melalui e-mail. "Tapi setidaknya tidak ada lagi penyangkal di luar sana yang mengotori perairan dengan pesan 'berlebihan, tidak mendesak'."

(PC World Will Schultz berkontribusi pada cerita ini.)