Kijk uit voor rogue DHCP-servers
Vorige week ontving ik een bericht van Quarantainenet dat je erg op moet passen voor zogenaamde rogue DHCP-servers in de Oekraïne. Het schijnt erg hot te zijn en ik heb Marnix nog even gevraagd of hij het in gewone mensen taal kon uitleggen en onderstaande kreeg ik terug. Scenario: Een PC wordt ingeschakeld en vraagt in zijn netwerksegment om een DHCP-lease, zodat hij een DHCP-lease (o.a. IP-adres) krijgt. Normaliter krijgt hij dan een enkel antwoord van de 'officiële' DHCP-server. Als er echter een geïnfecteerde machine aanwezig is in hetzelfde netwerksegment, geeft deze zogeheten Rogue DHCP-server ook een valse DHCP-lease uit. In deze DHCP-lease zijn de DNS-servers waarnaar verwezen wordt, aangepast naar een aantal servers in de Oekraïne. Het IP-adres lijkt verder normaal. Hierdoor wordt de PC, als hij bijvoorbeeld google.nl opvraagt, verwezen naar een andere website waarop een aanval (zgn. 0-day exploit, waarvoor nog geen patch beschikbaar is) voor Internet Explorer wordt aangeboden. Hiermee komt ook deze PC onder de controle van de aanvallers. Wat kan een school hier nou aan doen? Allereerst is het een goed idee om de range waarin de DNS-servers zich bevinden (85.255.112.0 ? 85.255.127.255) te blokkeren in de firewall van de school. Ten tweede is het een goed idee om over te stappen naar een andere web-browser, zoals Opera of Firefox. Rogue DHCP-servers, waar het hier om gaat, worden met Qmanage 3.1 gedetecteerd en geïsoleerd. Meer info achter de link op het logo. Nog meer info achter het gele pijltje rechtsbovenaan.