<div dir="ltr"><div class="gmail_default" style="font-family:tahoma,sans-serif"><br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Oct 22, 2013 at 6:20 PM, Rubens Kuhl <span dir="ltr"><<a href="mailto:rubensk@nic.br" target="_blank">rubensk@nic.br</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word"><div><div class="im"><blockquote type="cite"><div dir="ltr"><div class="gmail_extra">

<br></div><div class="gmail_extra"><div style="font-family:tahoma,sans-serif">Which brings me to the topic of resolver-behind-upstream attacks which were not commented upon.</div>



<div style="font-family:tahoma,sans-serif">As you know, one of the recommendations of experts and Internet operators, following Kaminsky attack, was `either deploy patches or configure your resolver to use a secure upstream forwarder`, e.g., OpenDNS was typically recommended. The security is established since the resolver is hidden from the Internet and sends its requests only via its upstream forwarder.</div>





<div style="font-family:tahoma,sans-serif">This configuration is still believed to be secure and is recommended by experts.</div></div></div></blockquote><div><br></div></div>Would DNSCrypt, supported by OpenDNS, be a possible mitigation to this issue ? <div class="im">

<br><blockquote type="cite"><div dir="ltr"><div class="gmail_extra"><div style="font-family:tahoma,sans-serif"><br>


</div>
<div style="font-family:tahoma,sans-serif">As you know we found vulnerabilities in such configuration, and designed techniques allowing to find the IP address of the hidden resolver, and then to discover its port allocation (the attacks apply to per-destination ports recommended in [RFC6056] or to fixed ports).</div>





<div style="font-family:tahoma,sans-serif">This attack can be extremely stealthy and efficient, and applies to networks where communication between the resolver and upstream forwarder is not over TCP, and therefore can be fragmented (fragmentation of a single byte suffices).</div>

</div></div></blockquote><br></div></div><div>Would IPSEC between resolver and upstream forward be a possible mitigation to this issue ? </div><span class="HOEnZb"><font color="#888888"><div><br></div><div><br></div></font></span></div>

</blockquote><div class="gmail_default" style="font-family:tahoma,sans-serif">Sure, both solve the problem. In particular, any secure channel protocol, between the proxy resolver and an upstream forwarder, prevents the attacks.</div>

<div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word"><span class="HOEnZb"><font color="#888888"><div></div><div>Rubens</div><div>

<br></div></font></span></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div dir="ltr"><div><p style="margin:0cm 0cm 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif"><span style="font-size:11pt;font-family:Calibri,sans-serif"><font color="#000000">Haya Shulman</font></span></p>

<p style="margin:0cm 0cm 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif"><span style="font-size:11pt;font-family:Calibri,sans-serif"><font color="#000000">Technische Universität Darmstadt<u></u><u></u></font></span></p>

<p style="margin:0cm 0cm 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif"><span style="font-size:11pt;font-family:Calibri,sans-serif"><font color="#000000">FB Informatik/EC SPRIDE<u></u><u></u></font></span></p>

<p style="margin:0cm 0cm 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif"><span style="font-size:11pt;font-family:Calibri,sans-serif"><font color="#000000">Mornewegstr. 30<u></u><u></u></font></span></p>

<p style="margin:0cm 0cm 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif"><span style="font-size:11pt;font-family:Calibri,sans-serif"><font color="#000000">64293 Darmstadt<u></u><u></u></font></span></p>

<p style="margin:0cm 0cm 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif"><span style="font-size:11pt;font-family:Calibri,sans-serif"><font color="#000000">Tel. <a value="+4961511675540">+49 6151 16-75540</a><u></u><u></u></font></span></p>

<p style="margin:0cm 0cm 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif"><span style="font-size:11pt;font-family:Calibri,sans-serif"><a href="http://www.ec-spride.de/" target="_blank"><font color="#000000">www.ec-spride.de</font></a></span></p>

</div></div>
</div></div>