Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 14 replies
  • Subscribers 0 subscribers
  • Views 7007 views
  • Users 0 members are here
Options
Suggested

[7.480][BUG][FIXED] IPS False Positive DNS Spoofing

Buggrit
Astaro software version (Firmware 7.4.80)
Pattern File: 10305

I have set up Open DNS as my two DNS forwarders. (208.67.222.222 and 208.67.220.220) Queries from the firewall succeed ok but from the internal DNS server 192.168.1.10, they fail. 

The ASG is set to allow Surfing via the HTTP/S proxy to authenticated users. Authentication is done using SSO against the back end Win2k Active Directory server. I have tested the user back-end AD authentication and that works ok. 

I checked the IPS system and found that the queries were failing with the following log line:

"2009:08:16-11:47:38 Astaro snort[31673]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="DNS SPOOF query response with TTL of 1 min. and no authority" group="241" srcip="208.67.220.220" dstip="192.168.1.10" proto="17" srcport="53" dstport="61872" sid="254" class="Potentially Bad Traffic" priority="2" generator="1" msgid="0" "

As I understand it Open DNS have applied all of the security patches well ahead of the recent DNS poisoning issue so I have to assume that this is a false positive response.
  • 0 
    Astaro Beta Report
    --------------------------------
    Version: 7.480
    Type: BUG
    State: FIXED
    Reporter: Buggrit
    Contributor: 
    MantisID: 10623
    --------------------------------
  • 0 in reply to Astaro Beta Bot
    Hi,
    does the packet filter log show dropped DNS packets from your internal devices to the ASG?
    Does it show any dropped DNS packets?

    Ian M
  • 0
    Maybe Barry or another adept of OpenDNS could explain why an OpenDNS server would be sending a DNS query as a response.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Bob, the way that rule is written, and the way his log entry looks, the OpenDNS server is not sending a query, it is merely responding to a query (as DNS servers do)... there's probably something wrong with the rule.  To the OP -- I take it everything works fine when that rule is disabled?

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0
    Thanks, Bruce!  Since I wrote that, I read an article about Dan Kaminsky and the DNS-poisoning exploit he discovered last year.  I don't think this is a case of poisoning, but, if I understood the article and understand this situation correctly, it does make me hesitant to recommend turning the 2101 rule off.  Am I right to be concerned about that?

    Buggrit, Instead of pointing the internal DNS at external DNS servers, point it at the Internal (Address) of the Astaro.  If the Astaro can't resolve the external reference from its cache, it will query OpenDNS for you.  That way, you won't have internal devices that need to ride out through a port-53 hole in youur firewall.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
     I don't think this is a case of poisoning, but, if I understood the article and understand this situation correctly, it does make me hesitant to recommend turning the 2101 rule off.  Am I right to be concerned about that?

    You should not be running an unpatched DNS server period. So if you are not vulnerable to the dns cache poisoning exploit turning it off in IPS wouldn't hurt anything. Plus any further exploits using different techniques won't be covered by that IPS rule anyway.
    Although if you are in an environment where you build new machines and connect them to the internet before you patch them, you will need all the help you can get.

    Edit: Sorry, forgot to add... I used to point my internal DNS directly to the internet and astaro to my internal DNS server. But after some research/guidance, I have discovered that you can use your internal server to its full potential by just pointing it to astaro and using external forwarders on astaro itself and not worry about exploits on internal DNS at all.
  • 0 in reply to Billybob
    Thanks, Bill, for a much-clearer explanation than I provided.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to Billybob
    I have discovered that you can use your internal server to its full potential by just pointing it to astaro and using external forwarders on astaro itself and not worry about exploits on internal DNS at all.


    This is how I setup my customers, etc.  It's probably the best way to do it.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0
    When Bruce says it, it's gospel!

    Cheers - Bob
    PS Antother great Astaro DNS Proxy trick I learned from BruceK's customer BarryG is to create an entry on the 'Request Routing' tab so that your reports have server names instead of IP addresses.  For example, in a network 10.20.30.0/24, create an entry '30.20.10.in-addr.arpa → [Internal DNS Server]'.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Thanks guys, I've amended the DNS routing for my internal clients to only use our internal DNS server or the ASG's internal interface (Primary - Internal DNS Server and Secondary - ASG). The internal DNS is now pointing at the ASG as well. I'm switching the DNS IPS rules back on now as well so lets see what occurs. I'll report back and see if we get more examples of the same blocking behaviour.

    BTW it would be nice to have the IPS rules enable/disable section a bit more granular.  At the moment the GUI only allows an ON/OFF decision for all 23 DNS IPS tests as a single entity. Not much use when you only want to disable one or two of them. 

    JB
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?