Orphaned DNS Records

Abstract: Detta dokument är en teknisk rapport för ett projekt vars syfte är att utveckla en Lambda-funktion som letar efter oanvänd Domain Name System (DNS)-information i AWS’ Route 53. Denna information har potential att orsaka säkerhetsbrister genom att missleda användare till en destination annan än den som de förväntar sig nå. Någon med skadliga avsikter skulle därför kunna använda sig av denna brist för att rikta data till sig själv som denne inte egentligen bör ha tillgång till. Problemet förvärras hos molntjänster som erbjuder uthyrning av IP-adresser då dessa ofta kommer från en adressrymd som tjänsten underhåller. När en användare sedan slutar hyra adressen hamnar den återigen i adressrymden. Om det råkar finnas DNS-information kopplad till den adressen så kommer de nu orsaka den tidigare nämnda säkerhetsbristen då de hänvisar till en IP-adress som vem som helst kan ha hyrt. För att åtgärda detta skrevs en funktion i Python 3.9.4 som sedan integreras i AWS Lambda. Funktionen körs från ett baskonto i AWS och hämtar data både från detta konto och andra konton genom att anta en specifik IAM-roll inom dem. Där hämtar den både kontots DNS-information samt IP-adresser som den sedan jämför för att se om de stämmer överens eller ej. Om de gör det så är informationen inte oanvänd och därför ointressant för funktionen. All DNS-information som inte har en matchande IP-adress läggs då till i en lista som sedan skickas ut till behöriga genom SNS i AWS.