Abuse-Team Telekom Rekursionsvorgang Forwarder deaktivieren?
Hallo zusammen,
ich bräuchte mal euren Rat. Einer unserer Kunden hat ein schreiben von der Telekom bekommen mit dem Betreff: Missbrauchspotential bei Ihrem nicht optimal konfigurierten DNS Server!
In dem Schreiben steht das der DNS Server von Dritten für Angriffe missbraucht werden kann. Mann soll den DNS Server überprüfen und entsprechend absichern.
Lösung1:
- Wenn Ihr DNS Server nur Anfragen ihrer eigenen Domain/Zone beantworten soll (autoritativer Nameserver), können Sie die rekursiven Abfragen deaktivieren uns sind geschützt.
Lösung2:
- Wenn Ihr DNS Server beliebige DNS-Anfragen beantworten soll (rekursiver Nameserver), konfigurieren Sie ihren DNS-Server so, dass er nur von IP`s Ihrer Kunden bzw. von Ihnen genutzt werden kann. (IP-Filter oder in der DNS-Konfiguration).
Der Kunde hat einen T-Business Anschluss mit einer festen IP-Adresse. Ein Windows Server 2003 der als Domaincontroller installiert ist und eine Firewall die sich über ein Modem ins Internet einwählt. Die Clients haben alle als DNS Server die IP-Adresse des Servers eingetragen. Namensauflösung funktioniert einwandfrei. Der Kunde hat einen Weltweiten Export somit muss der DNS Server beliebige DNS Anfragen beantworten.
Ich habe ein wenig im Internet gestöbert und folgenden Artikel gefunden:
http://technet.microsoft.com/de-de/library/cc771738.aspx
http://www2.tal.de/service/zum-thema/offene-dns-resolver-von-kunden.htm ...
aber das würde doch bedeutet ich würde die komplette Rekursion auf dem DNS Server deaktivieren?
Ich steh ein wenig auf den Schlauch und weiss nicht so recht wie ich an die Sache rangehen soll.
vielen Dank im Voraus
Tommy
ich bräuchte mal euren Rat. Einer unserer Kunden hat ein schreiben von der Telekom bekommen mit dem Betreff: Missbrauchspotential bei Ihrem nicht optimal konfigurierten DNS Server!
In dem Schreiben steht das der DNS Server von Dritten für Angriffe missbraucht werden kann. Mann soll den DNS Server überprüfen und entsprechend absichern.
Lösung1:
- Wenn Ihr DNS Server nur Anfragen ihrer eigenen Domain/Zone beantworten soll (autoritativer Nameserver), können Sie die rekursiven Abfragen deaktivieren uns sind geschützt.
Lösung2:
- Wenn Ihr DNS Server beliebige DNS-Anfragen beantworten soll (rekursiver Nameserver), konfigurieren Sie ihren DNS-Server so, dass er nur von IP`s Ihrer Kunden bzw. von Ihnen genutzt werden kann. (IP-Filter oder in der DNS-Konfiguration).
Der Kunde hat einen T-Business Anschluss mit einer festen IP-Adresse. Ein Windows Server 2003 der als Domaincontroller installiert ist und eine Firewall die sich über ein Modem ins Internet einwählt. Die Clients haben alle als DNS Server die IP-Adresse des Servers eingetragen. Namensauflösung funktioniert einwandfrei. Der Kunde hat einen Weltweiten Export somit muss der DNS Server beliebige DNS Anfragen beantworten.
Ich habe ein wenig im Internet gestöbert und folgenden Artikel gefunden:
http://technet.microsoft.com/de-de/library/cc771738.aspx
http://www2.tal.de/service/zum-thema/offene-dns-resolver-von-kunden.htm ...
aber das würde doch bedeutet ich würde die komplette Rekursion auf dem DNS Server deaktivieren?
Ich steh ein wenig auf den Schlauch und weiss nicht so recht wie ich an die Sache rangehen soll.
vielen Dank im Voraus
Tommy
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 220074
Url: https://administrator.de/contentid/220074
Ausgedruckt am: 25.11.2024 um 01:11 Uhr
9 Kommentare
Neuester Kommentar
Hallo Tommy,
man könnte vermuten, dass der DNS für alle DNS Änderungen in alle Richtungen offen ist. Aber das ist soweit weg von der Grundkonfiguration, dass da wohl jemand entweder besonders enthusiastisch war oder jemand besonders viel Halbwissen in die Konfiguration mit eingebracht hat (ggf Kombiniert).
Überprüf das mal bitte.
Beste Grüße,
Christian
certified IT
man könnte vermuten, dass der DNS für alle DNS Änderungen in alle Richtungen offen ist. Aber das ist soweit weg von der Grundkonfiguration, dass da wohl jemand entweder besonders enthusiastisch war oder jemand besonders viel Halbwissen in die Konfiguration mit eingebracht hat (ggf Kombiniert).
Überprüf das mal bitte.
Beste Grüße,
Christian
certified IT
Hi Tommy,
Einer unserer Kunden hat gestern exakt dasselbe schreiben bekommen, dass der DNS-Server Anfragen von außen beantworte.
Das haben wir nun mit einigen uns zur Verfügung stehenden Mitteln gegengeprüft: Kein Positives Ergebnis. Unserer Einschätzung nach ist der DNS-Server, entgegen der Telekom-Einschätzung, nicht von außen erreichbar.
Ich finde, dass man das nicht so pauschal sagen kann. Wir haben gestern den gesamten Tag damit verbracht den DNS-Server zu prüfen.
Beweis genug bietet (eigentlich) schon, wenn man von außen kommt, und die öffentliche IP-Adresse des Kunden bei sich als DNS-Server setzt. Allein hierbei würdest du erkennen können ob der DNS extern auflöst. Firewall ist beim zudem auch dicht. Router lassen nichts, was Post 53 heißt, durch. Zudem haben wir alle IPs des internen Netzwerkes nach DNS-Resolvern abgesucht um zu schauen, ob da irgendwo der Hund begraben ist - nichts. Auch nslookup gibt ein negatives Ergebniss. Das einzige was man nun noch machen kann, wäre alle anderen Ports auf das DNS-Protokoll (Wireshark etc.) hin zu untersuchen, um auszuschließen, dass ein potentieller Angreifer einen offenen DNS für seine Zwecke auf einen anderen Port geschnallt hat, damit es keiner merkt. Anderer Punkt wäre, dass einer der Router kompromittiert und nach außen offen ist. Ob deep packet inspektion angebracht ist oder nicht sei mal dahingestellt - wir erwarten erstmal die Auswertungen der Telekom, mit der wir gestern sprachen, welche uns am Telefon keinerlei Angaben machen konnte, was genau los sei.
Wir melden uns wieder.
PS: Tommy, wenn du neue Hinweise hast, würde es mich interessieren wie die Geschichte bei dir weiterging!
Ls, Tristan
Einer unserer Kunden hat gestern exakt dasselbe schreiben bekommen, dass der DNS-Server Anfragen von außen beantworte.
Das haben wir nun mit einigen uns zur Verfügung stehenden Mitteln gegengeprüft: Kein Positives Ergebnis. Unserer Einschätzung nach ist der DNS-Server, entgegen der Telekom-Einschätzung, nicht von außen erreichbar.
Zitat von @SlainteMhath:
Wenn die Telekom dem Kunden ein Schreiben schickt, dann ist der DNS vom Internet aus erreichbar (sonst könnten den Dritte
auch nicht für Angriffe nutzen). Check doch mal an der Firewall ob/welche Ports weitergeleitet werden.
Wenn die Telekom dem Kunden ein Schreiben schickt, dann ist der DNS vom Internet aus erreichbar (sonst könnten den Dritte
auch nicht für Angriffe nutzen). Check doch mal an der Firewall ob/welche Ports weitergeleitet werden.
Ich finde, dass man das nicht so pauschal sagen kann. Wir haben gestern den gesamten Tag damit verbracht den DNS-Server zu prüfen.
Beweis genug bietet (eigentlich) schon, wenn man von außen kommt, und die öffentliche IP-Adresse des Kunden bei sich als DNS-Server setzt. Allein hierbei würdest du erkennen können ob der DNS extern auflöst. Firewall ist beim zudem auch dicht. Router lassen nichts, was Post 53 heißt, durch. Zudem haben wir alle IPs des internen Netzwerkes nach DNS-Resolvern abgesucht um zu schauen, ob da irgendwo der Hund begraben ist - nichts. Auch nslookup gibt ein negatives Ergebniss. Das einzige was man nun noch machen kann, wäre alle anderen Ports auf das DNS-Protokoll (Wireshark etc.) hin zu untersuchen, um auszuschließen, dass ein potentieller Angreifer einen offenen DNS für seine Zwecke auf einen anderen Port geschnallt hat, damit es keiner merkt. Anderer Punkt wäre, dass einer der Router kompromittiert und nach außen offen ist. Ob deep packet inspektion angebracht ist oder nicht sei mal dahingestellt - wir erwarten erstmal die Auswertungen der Telekom, mit der wir gestern sprachen, welche uns am Telefon keinerlei Angaben machen konnte, was genau los sei.
Wir melden uns wieder.
PS: Tommy, wenn du neue Hinweise hast, würde es mich interessieren wie die Geschichte bei dir weiterging!
Ls, Tristan
*Update*
OH MEIN GOTT!
Ich habe gerade beim Telekom Geschäftskundenbereich angerufen bzgl. des Schreibens. Die meinten am Telefon "Vergessen Sie
das Schreiben die wären Fehlerhaft rausgegangen" ich fasse es nicht und ich befasse mich seit gestern mit diesem Problem... ey
das kanns doch nicht sein. Na immerhin habe ich nun die Firewall Konfiguration nochmal überprüft!
OH MEIN GOTT!
Ich habe gerade beim Telekom Geschäftskundenbereich angerufen bzgl. des Schreibens. Die meinten am Telefon "Vergessen Sie
das Schreiben die wären Fehlerhaft rausgegangen" ich fasse es nicht und ich befasse mich seit gestern mit diesem Problem... ey
das kanns doch nicht sein. Na immerhin habe ich nun die Firewall Konfiguration nochmal überprüft!
Als mehrfacher T-* Kunde kann ich dir nur sagen: Reg dich nicht auf,das ist bei denen Standard, egal welcher Geschäftsbereich
Bei uns läuft auch kein open resolver. Wir haben das log der telekom bekommen und wollen es euch nicht vorenthalten!
http://nopaste.info/b441e45b30.html
Wer genauer hinsieht erkennt, dass es "VERMUTLICH" ein Openres ist, im log steht aber eigentlich, dass unter der ausgegrauten IP ein snmp-dienst sitzt, was zugegebenermaßen auch so war. Ich hatte SNMP zu testzwecken aktiviert (read-only, keine sensiblen daten). Alles nochmal getestet: Ja der router stellt sich selber per SNMP bloß. Wir haben den eintrag rausgenommen, fertig.
Das Ende vom lied: Man darf irgendwelchen Horrormeldungen der Telekom nicht immer allzu viel vertrauen schenken. Wie in diesem Fall passt die, durch das System erstellte beschreibung NICHT auf die wahre Ursache.
Lg, Tristan
http://nopaste.info/b441e45b30.html
Wer genauer hinsieht erkennt, dass es "VERMUTLICH" ein Openres ist, im log steht aber eigentlich, dass unter der ausgegrauten IP ein snmp-dienst sitzt, was zugegebenermaßen auch so war. Ich hatte SNMP zu testzwecken aktiviert (read-only, keine sensiblen daten). Alles nochmal getestet: Ja der router stellt sich selber per SNMP bloß. Wir haben den eintrag rausgenommen, fertig.
Das Ende vom lied: Man darf irgendwelchen Horrormeldungen der Telekom nicht immer allzu viel vertrauen schenken. Wie in diesem Fall passt die, durch das System erstellte beschreibung NICHT auf die wahre Ursache.
Lg, Tristan