Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 14 replies
  • Subscribers 0 subscribers
  • Views 7009 views
  • Users 0 members are here
Options
Suggested

[7.480][BUG][FIXED] IPS False Positive DNS Spoofing

Buggrit
Astaro software version (Firmware 7.4.80)
Pattern File: 10305

I have set up Open DNS as my two DNS forwarders. (208.67.222.222 and 208.67.220.220) Queries from the firewall succeed ok but from the internal DNS server 192.168.1.10, they fail. 

The ASG is set to allow Surfing via the HTTP/S proxy to authenticated users. Authentication is done using SSO against the back end Win2k Active Directory server. I have tested the user back-end AD authentication and that works ok. 

I checked the IPS system and found that the queries were failing with the following log line:

"2009:08:16-11:47:38 Astaro snort[31673]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="DNS SPOOF query response with TTL of 1 min. and no authority" group="241" srcip="208.67.220.220" dstip="192.168.1.10" proto="17" srcport="53" dstport="61872" sid="254" class="Potentially Bad Traffic" priority="2" generator="1" msgid="0" "

As I understand it Open DNS have applied all of the security patches well ahead of the recent DNS poisoning issue so I have to assume that this is a false positive response.
Parents
  • 0
    Thanks, Bruce!  Since I wrote that, I read an article about Dan Kaminsky and the DNS-poisoning exploit he discovered last year.  I don't think this is a case of poisoning, but, if I understood the article and understand this situation correctly, it does make me hesitant to recommend turning the 2101 rule off.  Am I right to be concerned about that?

    Buggrit, Instead of pointing the internal DNS at external DNS servers, point it at the Internal (Address) of the Astaro.  If the Astaro can't resolve the external reference from its cache, it will query OpenDNS for you.  That way, you won't have internal devices that need to ride out through a port-53 hole in youur firewall.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Thanks, Bruce!  Since I wrote that, I read an article about Dan Kaminsky and the DNS-poisoning exploit he discovered last year.  I don't think this is a case of poisoning, but, if I understood the article and understand this situation correctly, it does make me hesitant to recommend turning the 2101 rule off.  Am I right to be concerned about that?

    Buggrit, Instead of pointing the internal DNS at external DNS servers, point it at the Internal (Address) of the Astaro.  If the Astaro can't resolve the external reference from its cache, it will query OpenDNS for you.  That way, you won't have internal devices that need to ride out through a port-53 hole in youur firewall.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
     I don't think this is a case of poisoning, but, if I understood the article and understand this situation correctly, it does make me hesitant to recommend turning the 2101 rule off.  Am I right to be concerned about that?

    You should not be running an unpatched DNS server period. So if you are not vulnerable to the dns cache poisoning exploit turning it off in IPS wouldn't hurt anything. Plus any further exploits using different techniques won't be covered by that IPS rule anyway.
    Although if you are in an environment where you build new machines and connect them to the internet before you patch them, you will need all the help you can get.

    Edit: Sorry, forgot to add... I used to point my internal DNS directly to the internet and astaro to my internal DNS server. But after some research/guidance, I have discovered that you can use your internal server to its full potential by just pointing it to astaro and using external forwarders on astaro itself and not worry about exploits on internal DNS at all.
  • 0 in reply to Billybob
    Thanks, Bill, for a much-clearer explanation than I provided.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to Billybob
    I have discovered that you can use your internal server to its full potential by just pointing it to astaro and using external forwarders on astaro itself and not worry about exploits on internal DNS at all.


    This is how I setup my customers, etc.  It's probably the best way to do it.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?