Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Abuse-Team Telekom Rekursionsvorgang Forwarder deaktivieren?

Mitglied: obliterator

obliterator (Level 2) - Jetzt verbinden

22.10.2013, aktualisiert 11:47 Uhr, 9008 Aufrufe, 9 Kommentare

Hallo zusammen,
ich bräuchte mal euren Rat. Einer unserer Kunden hat ein schreiben von der Telekom bekommen mit dem Betreff: Missbrauchspotential bei Ihrem nicht optimal konfigurierten DNS Server!

In dem Schreiben steht das der DNS Server von Dritten für Angriffe missbraucht werden kann. Mann soll den DNS Server überprüfen und entsprechend absichern.

Lösung1:

- Wenn Ihr DNS Server nur Anfragen ihrer eigenen Domain/Zone beantworten soll (autoritativer Nameserver), können Sie die rekursiven Abfragen deaktivieren uns sind geschützt.

Lösung2:

- Wenn Ihr DNS Server beliebige DNS-Anfragen beantworten soll (rekursiver Nameserver), konfigurieren Sie ihren DNS-Server so, dass er nur von IP`s Ihrer Kunden bzw. von Ihnen genutzt werden kann. (IP-Filter oder in der DNS-Konfiguration).



Der Kunde hat einen T-Business Anschluss mit einer festen IP-Adresse. Ein Windows Server 2003 der als Domaincontroller installiert ist und eine Firewall die sich über ein Modem ins Internet einwählt. Die Clients haben alle als DNS Server die IP-Adresse des Servers eingetragen. Namensauflösung funktioniert einwandfrei. Der Kunde hat einen Weltweiten Export somit muss der DNS Server beliebige DNS Anfragen beantworten.

Ich habe ein wenig im Internet gestöbert und folgenden Artikel gefunden:

http://technet.microsoft.com/de-de/library/cc771738.aspx
http://www2.tal.de/service/zum-thema/offene-dns-resolver-von-kunden.htm ...

aber das würde doch bedeutet ich würde die komplette Rekursion auf dem DNS Server deaktivieren?
Ich steh ein wenig auf den Schlauch und weiss nicht so recht wie ich an die Sache rangehen soll.

vielen Dank im Voraus

Tommy

Mitglied: certifiedit.net
22.10.2013 um 12:11 Uhr
Hallo Tommy,

man könnte vermuten, dass der DNS für alle DNS Änderungen in alle Richtungen offen ist. Aber das ist soweit weg von der Grundkonfiguration, dass da wohl jemand entweder besonders enthusiastisch war oder jemand besonders viel Halbwissen in die Konfiguration mit eingebracht hat (ggf Kombiniert).

Überprüf das mal bitte.

Beste Grüße,

Christian
certified IT
Bitte warten ..
Mitglied: obliterator
22.10.2013 um 13:19 Uhr
Zitat von certifiedit.net:
Hallo Tommy,

man könnte vermuten, dass der DNS für alle DNS Änderungen in alle Richtungen offen ist. Aber das ist soweit weg von
der Grundkonfiguration, dass da wohl jemand entweder besonders enthusiastisch war oder jemand besonders viel Halbwissen in die
Konfiguration mit eingebracht hat (ggf Kombiniert).

Überprüf das mal bitte.

Beste Grüße,

Christian
certified IT

Ich habe auf dem Domaincontroller unter Verwaltung -> DNS -> Eigenschaften -> Erweitert nachgeschaut. Dort ist kein Haken in Rekursionsvorgang (und Forwarder) deaktivieren drin. Ansonsten sieht die DNS konfiguration ganz normal aus. Bei Weiterleitungen ist bei DNS-Domäne: Alle anderen DNS-Domänen und bei Weiterleitungs IP die IP der Firewall eingestellt. Ist denn wirklich die konfiguration des DNS Server (Domaincontrollers) das Problem und nicht doch eher eine Einstellung auf der Firewall?
Bitte warten ..
Mitglied: SlainteMhath
22.10.2013 um 13:53 Uhr
Moin,

wenn die telekom dem Kunden ein Schreiben schickt, dann ist der DNS vom Internet aus erreichbar (sonst könnten den Dritte auch nicht für Angriffe nutzen). Check doch mal an der Firewall ob/welche Ports weitergeleitet werden.

lg,
Slainte
Bitte warten ..
Mitglied: obliterator
22.10.2013 um 14:08 Uhr
Zitat von SlainteMhath:
Moin,

wenn die telekom dem Kunden ein Schreiben schickt, dann ist der DNS vom Internet aus erreichbar (sonst könnten den Dritte
auch nicht für Angriffe nutzen). Check doch mal an der Firewall ob/welche Ports weitergeleitet werden.

lg,
Slainte

Genau so siehts aus! Ich habe gerade mit T-Business telefoniert und die meinten genau das gleiche. Es hat somit rein garnix mit der "internen DNS Auflösung" zu tun. Sobald ich den Fehler behoben habe gebe ich eine Rückmeldung. Bis dahin vielen Dank erstmal!
Bitte warten ..
Mitglied: trisse
23.10.2013, aktualisiert um 09:16 Uhr
Hi Tommy,

Einer unserer Kunden hat gestern exakt dasselbe schreiben bekommen, dass der DNS-Server Anfragen von außen beantworte.
Das haben wir nun mit einigen uns zur Verfügung stehenden Mitteln gegengeprüft: Kein Positives Ergebnis. Unserer Einschätzung nach ist der DNS-Server, entgegen der Telekom-Einschätzung, nicht von außen erreichbar.

Zitat von SlainteMhath:
Wenn die Telekom dem Kunden ein Schreiben schickt, dann ist der DNS vom Internet aus erreichbar (sonst könnten den Dritte
auch nicht für Angriffe nutzen). Check doch mal an der Firewall ob/welche Ports weitergeleitet werden.

Ich finde, dass man das nicht so pauschal sagen kann. Wir haben gestern den gesamten Tag damit verbracht den DNS-Server zu prüfen.

Beweis genug bietet (eigentlich) schon, wenn man von außen kommt, und die öffentliche IP-Adresse des Kunden bei sich als DNS-Server setzt. Allein hierbei würdest du erkennen können ob der DNS extern auflöst. Firewall ist beim zudem auch dicht. Router lassen nichts, was Post 53 heißt, durch. Zudem haben wir alle IPs des internen Netzwerkes nach DNS-Resolvern abgesucht um zu schauen, ob da irgendwo der Hund begraben ist - nichts. Auch nslookup gibt ein negatives Ergebniss. Das einzige was man nun noch machen kann, wäre alle anderen Ports auf das DNS-Protokoll (Wireshark etc.) hin zu untersuchen, um auszuschließen, dass ein potentieller Angreifer einen offenen DNS für seine Zwecke auf einen anderen Port geschnallt hat, damit es keiner merkt. Anderer Punkt wäre, dass einer der Router kompromittiert und nach außen offen ist. Ob deep packet inspektion angebracht ist oder nicht sei mal dahingestellt - wir erwarten erstmal die Auswertungen der Telekom, mit der wir gestern sprachen, welche uns am Telefon keinerlei Angaben machen konnte, was genau los sei.

Wir melden uns wieder.

PS: Tommy, wenn du neue Hinweise hast, würde es mich interessieren wie die Geschichte bei dir weiterging!

Ls, Tristan
Bitte warten ..
Mitglied: obliterator
23.10.2013, aktualisiert um 14:02 Uhr
Hallo Tristan,
ich bin froh das ich mit dem Problem nicht alleine darstehe auch wir sind seit gestern damit beschäftigt das Problem zu lösen aber es scheint alles i.O zu sein.

Via Portscanner sind alle Ports geschlossen. Ich habe mich sogar mit dem Firewall Hersteller in Verbindung gesetzt und bekam als Antwort:


"Hallo

dann ist möglicherweise das Tool "schrott".

Ich habe die Ports mit einem Linux Tool (nmap) getestet und der Port ist definitiv dicht.

Ich habe dann nochmals, damit Sie das auch nachvollziehen können, Online Portscanner probniert, mit dem Ergebnis dass der Port dicht ist.

http://en.dnstools.ch/port-scan.html

-> 53 "DNS"-Port is closed.

Der Port ist definitiv dicht.

Ich schließe den Supportfall somit an der Stelle, wenn Sie keine weiteren Fragen mehr haben?"


Ich werde nun auch an die Telekom heran treten. Die sollen mir dann weitere Informationen zukommen lassen!




*Update*
OH MEIN GOTT!
Ich habe gerade beim Telekom Geschäftskundenbereich angerufen bzgl. des Schreibens. Die meinten am Telefon "Vergessen Sie das Schreiben die wären Fehlerhaft rausgegangen" ich fasse es nicht und ich befasse mich seit gestern mit diesem Problem... ey das kanns doch nicht sein. Na immerhin habe ich nun die Firewall Konfiguration nochmal überprüft!
Bitte warten ..
Mitglied: SlainteMhath
23.10.2013 um 14:10 Uhr
*Update*
OH MEIN GOTT!
Ich habe gerade beim Telekom Geschäftskundenbereich angerufen bzgl. des Schreibens. Die meinten am Telefon "Vergessen Sie
das Schreiben die wären Fehlerhaft rausgegangen" ich fasse es nicht und ich befasse mich seit gestern mit diesem Problem... ey
das kanns doch nicht sein. Na immerhin habe ich nun die Firewall Konfiguration nochmal überprüft!

Als mehrfacher T-* Kunde kann ich dir nur sagen: Reg dich nicht auf,das ist bei denen Standard, egal welcher Geschäftsbereich
Bitte warten ..
Mitglied: obliterator
23.10.2013 um 14:19 Uhr
Zitat von SlainteMhath:
> *Update*
> OH MEIN GOTT!
> Ich habe gerade beim Telekom Geschäftskundenbereich angerufen bzgl. des Schreibens. Die meinten am Telefon
"Vergessen Sie
> das Schreiben die wären Fehlerhaft rausgegangen" ich fasse es nicht und ich befasse mich seit gestern mit diesem
Problem... ey
> das kanns doch nicht sein. Na immerhin habe ich nun die Firewall Konfiguration nochmal überprüft!

Als mehrfacher T-* Kunde kann ich dir nur sagen: Reg dich nicht auf,das ist bei denen Standard, egal welcher Geschäftsbereich


Am besten finde ich noch das das Tool bzw. der Link auf dem Telekom Schreiben auch noch ein defektes Tool ist.

Dieser Link gibt immer zurück das man einen OPEN Resolver betreibt:
http://dns.measurement-factory.com/cgi-bin/openresolvercheck.pl

Bei diesem Link z.B ist alles i.O
http://www.thinkbroadband.com/tools/dnscheck.html
Bitte warten ..
Mitglied: trisse
24.10.2013, aktualisiert um 15:24 Uhr
Bei uns läuft auch kein open resolver. Wir haben das log der telekom bekommen und wollen es euch nicht vorenthalten!
http://nopaste.info/b441e45b30.html

Wer genauer hinsieht erkennt, dass es "VERMUTLICH" ein Openres ist, im log steht aber eigentlich, dass unter der ausgegrauten IP ein snmp-dienst sitzt, was zugegebenermaßen auch so war. Ich hatte SNMP zu testzwecken aktiviert (read-only, keine sensiblen daten). Alles nochmal getestet: Ja der router stellt sich selber per SNMP bloß. Wir haben den eintrag rausgenommen, fertig.

Das Ende vom lied: Man darf irgendwelchen Horrormeldungen der Telekom nicht immer allzu viel vertrauen schenken. Wie in diesem Fall passt die, durch das System erstellte beschreibung NICHT auf die wahre Ursache.

Lg, Tristan
Bitte warten ..
Ähnliche Inhalte
Video & Streaming
Konfiguration ABUS VMS
Frage von halingtonVideo & Streaming3 Kommentare

Hallo zusammen, ich bräuchte Hilfe mit der Konfiguration von ABUS VMS. Die Software ist auf einem Win7-Rechner installiert. Es ...

Apache Server

Server Abuse, Sicherheitsmassnahmen und Sicherheitslücken schliessen

Frage von wescraven07Apache Server3 Kommentare

Hallo Admins, folgende Frage: Wir haben seit etwa 12 tagen das Problem, dass unser Managed Webserver irgendwo eine Sicherheitslücke ...

Voice over IP

Telekom VoIP in FritzBox hinter Telekom Speedport

gelöst Frage von it-kolliVoice over IP2 Kommentare

Hallo, ich habe folgendes Problem: auf einen Bauernhof nutzt der Sohn den Anschluss der Eltern der Telekom mit. Im ...

Voice over IP

VoIp Telekom Anschluss ohne Telekom Router

Frage von mzda1234Voice over IP4 Kommentare

Hallo, wir haben ein Telekom Anschluss wo die Telefonie Funktion komplett über VoIp läuft. Ich habe zum Testen Zoiper ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 1 TagWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 1 TagSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 2 TagenDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein Beitrag bei Heise (siehe Link folgend). Behörden ignorieren Sicherheitsbedenken gegenüber ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 2 TagenSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
DSL, VDSL
Mindestgeschwindigkeiten DSL Telekom
Frage von justlukasDSL, VDSL13 Kommentare

Hallo zusammen, Seit diesem Jahr habe ich Verständnisprobleme mit dem Verhalten der Telekom. Wir haben seit einem Jahr VDSL ...

Switche und Hubs
LANCOM-Switch: Probleme (no link) mit SFP-Modulen?
Frage von THETOBSwitche und Hubs10 Kommentare

Hi zusammen, ich habe folgendes Problem: Und zwar habe ich an einem Standort drei Switche verbaut - LANCOM GS-2326P+, ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall10 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)8 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...