Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Abuse-Team Telekom Rekursionsvorgang Forwarder deaktivieren?

Mitglied: obliterator

obliterator (Level 2) - Jetzt verbinden

22.10.2013, aktualisiert 11:47 Uhr, 9074 Aufrufe, 9 Kommentare

Hallo zusammen,
ich bräuchte mal euren Rat. Einer unserer Kunden hat ein schreiben von der Telekom bekommen mit dem Betreff: Missbrauchspotential bei Ihrem nicht optimal konfigurierten DNS Server!

In dem Schreiben steht das der DNS Server von Dritten für Angriffe missbraucht werden kann. Mann soll den DNS Server überprüfen und entsprechend absichern.

Lösung1:

- Wenn Ihr DNS Server nur Anfragen ihrer eigenen Domain/Zone beantworten soll (autoritativer Nameserver), können Sie die rekursiven Abfragen deaktivieren uns sind geschützt.

Lösung2:

- Wenn Ihr DNS Server beliebige DNS-Anfragen beantworten soll (rekursiver Nameserver), konfigurieren Sie ihren DNS-Server so, dass er nur von IP`s Ihrer Kunden bzw. von Ihnen genutzt werden kann. (IP-Filter oder in der DNS-Konfiguration).



Der Kunde hat einen T-Business Anschluss mit einer festen IP-Adresse. Ein Windows Server 2003 der als Domaincontroller installiert ist und eine Firewall die sich über ein Modem ins Internet einwählt. Die Clients haben alle als DNS Server die IP-Adresse des Servers eingetragen. Namensauflösung funktioniert einwandfrei. Der Kunde hat einen Weltweiten Export somit muss der DNS Server beliebige DNS Anfragen beantworten.

Ich habe ein wenig im Internet gestöbert und folgenden Artikel gefunden:

http://technet.microsoft.com/de-de/library/cc771738.aspx
http://www2.tal.de/service/zum-thema/offene-dns-resolver-von-kunden.htm ...

aber das würde doch bedeutet ich würde die komplette Rekursion auf dem DNS Server deaktivieren?
Ich steh ein wenig auf den Schlauch und weiss nicht so recht wie ich an die Sache rangehen soll.

vielen Dank im Voraus

Tommy

Mitglied: certifiedit.net
22.10.2013 um 12:11 Uhr
Hallo Tommy,

man könnte vermuten, dass der DNS für alle DNS Änderungen in alle Richtungen offen ist. Aber das ist soweit weg von der Grundkonfiguration, dass da wohl jemand entweder besonders enthusiastisch war oder jemand besonders viel Halbwissen in die Konfiguration mit eingebracht hat (ggf Kombiniert).

Überprüf das mal bitte.

Beste Grüße,

Christian
certified IT
Bitte warten ..
Mitglied: obliterator
22.10.2013 um 13:19 Uhr
Zitat von certifiedit.net:
Hallo Tommy,

man könnte vermuten, dass der DNS für alle DNS Änderungen in alle Richtungen offen ist. Aber das ist soweit weg von
der Grundkonfiguration, dass da wohl jemand entweder besonders enthusiastisch war oder jemand besonders viel Halbwissen in die
Konfiguration mit eingebracht hat (ggf Kombiniert).

Überprüf das mal bitte.

Beste Grüße,

Christian
certified IT

Ich habe auf dem Domaincontroller unter Verwaltung -> DNS -> Eigenschaften -> Erweitert nachgeschaut. Dort ist kein Haken in Rekursionsvorgang (und Forwarder) deaktivieren drin. Ansonsten sieht die DNS konfiguration ganz normal aus. Bei Weiterleitungen ist bei DNS-Domäne: Alle anderen DNS-Domänen und bei Weiterleitungs IP die IP der Firewall eingestellt. Ist denn wirklich die konfiguration des DNS Server (Domaincontrollers) das Problem und nicht doch eher eine Einstellung auf der Firewall?
Bitte warten ..
Mitglied: SlainteMhath
22.10.2013 um 13:53 Uhr
Moin,

wenn die telekom dem Kunden ein Schreiben schickt, dann ist der DNS vom Internet aus erreichbar (sonst könnten den Dritte auch nicht für Angriffe nutzen). Check doch mal an der Firewall ob/welche Ports weitergeleitet werden.

lg,
Slainte
Bitte warten ..
Mitglied: obliterator
22.10.2013 um 14:08 Uhr
Zitat von SlainteMhath:
Moin,

wenn die telekom dem Kunden ein Schreiben schickt, dann ist der DNS vom Internet aus erreichbar (sonst könnten den Dritte
auch nicht für Angriffe nutzen). Check doch mal an der Firewall ob/welche Ports weitergeleitet werden.

lg,
Slainte

Genau so siehts aus! Ich habe gerade mit T-Business telefoniert und die meinten genau das gleiche. Es hat somit rein garnix mit der "internen DNS Auflösung" zu tun. Sobald ich den Fehler behoben habe gebe ich eine Rückmeldung. Bis dahin vielen Dank erstmal!
Bitte warten ..
Mitglied: trisse
23.10.2013, aktualisiert um 09:16 Uhr
Hi Tommy,

Einer unserer Kunden hat gestern exakt dasselbe schreiben bekommen, dass der DNS-Server Anfragen von außen beantworte.
Das haben wir nun mit einigen uns zur Verfügung stehenden Mitteln gegengeprüft: Kein Positives Ergebnis. Unserer Einschätzung nach ist der DNS-Server, entgegen der Telekom-Einschätzung, nicht von außen erreichbar.

Zitat von SlainteMhath:
Wenn die Telekom dem Kunden ein Schreiben schickt, dann ist der DNS vom Internet aus erreichbar (sonst könnten den Dritte
auch nicht für Angriffe nutzen). Check doch mal an der Firewall ob/welche Ports weitergeleitet werden.

Ich finde, dass man das nicht so pauschal sagen kann. Wir haben gestern den gesamten Tag damit verbracht den DNS-Server zu prüfen.

Beweis genug bietet (eigentlich) schon, wenn man von außen kommt, und die öffentliche IP-Adresse des Kunden bei sich als DNS-Server setzt. Allein hierbei würdest du erkennen können ob der DNS extern auflöst. Firewall ist beim zudem auch dicht. Router lassen nichts, was Post 53 heißt, durch. Zudem haben wir alle IPs des internen Netzwerkes nach DNS-Resolvern abgesucht um zu schauen, ob da irgendwo der Hund begraben ist - nichts. Auch nslookup gibt ein negatives Ergebniss. Das einzige was man nun noch machen kann, wäre alle anderen Ports auf das DNS-Protokoll (Wireshark etc.) hin zu untersuchen, um auszuschließen, dass ein potentieller Angreifer einen offenen DNS für seine Zwecke auf einen anderen Port geschnallt hat, damit es keiner merkt. Anderer Punkt wäre, dass einer der Router kompromittiert und nach außen offen ist. Ob deep packet inspektion angebracht ist oder nicht sei mal dahingestellt - wir erwarten erstmal die Auswertungen der Telekom, mit der wir gestern sprachen, welche uns am Telefon keinerlei Angaben machen konnte, was genau los sei.

Wir melden uns wieder.

PS: Tommy, wenn du neue Hinweise hast, würde es mich interessieren wie die Geschichte bei dir weiterging!

Ls, Tristan
Bitte warten ..
Mitglied: obliterator
23.10.2013, aktualisiert um 14:02 Uhr
Hallo Tristan,
ich bin froh das ich mit dem Problem nicht alleine darstehe auch wir sind seit gestern damit beschäftigt das Problem zu lösen aber es scheint alles i.O zu sein.

Via Portscanner sind alle Ports geschlossen. Ich habe mich sogar mit dem Firewall Hersteller in Verbindung gesetzt und bekam als Antwort:


"Hallo

dann ist möglicherweise das Tool "schrott".

Ich habe die Ports mit einem Linux Tool (nmap) getestet und der Port ist definitiv dicht.

Ich habe dann nochmals, damit Sie das auch nachvollziehen können, Online Portscanner probniert, mit dem Ergebnis dass der Port dicht ist.

http://en.dnstools.ch/port-scan.html

-> 53 "DNS"-Port is closed.

Der Port ist definitiv dicht.

Ich schließe den Supportfall somit an der Stelle, wenn Sie keine weiteren Fragen mehr haben?"


Ich werde nun auch an die Telekom heran treten. Die sollen mir dann weitere Informationen zukommen lassen!




*Update*
OH MEIN GOTT!
Ich habe gerade beim Telekom Geschäftskundenbereich angerufen bzgl. des Schreibens. Die meinten am Telefon "Vergessen Sie das Schreiben die wären Fehlerhaft rausgegangen" ich fasse es nicht und ich befasse mich seit gestern mit diesem Problem... ey das kanns doch nicht sein. Na immerhin habe ich nun die Firewall Konfiguration nochmal überprüft!
Bitte warten ..
Mitglied: SlainteMhath
23.10.2013 um 14:10 Uhr
*Update*
OH MEIN GOTT!
Ich habe gerade beim Telekom Geschäftskundenbereich angerufen bzgl. des Schreibens. Die meinten am Telefon "Vergessen Sie
das Schreiben die wären Fehlerhaft rausgegangen" ich fasse es nicht und ich befasse mich seit gestern mit diesem Problem... ey
das kanns doch nicht sein. Na immerhin habe ich nun die Firewall Konfiguration nochmal überprüft!

Als mehrfacher T-* Kunde kann ich dir nur sagen: Reg dich nicht auf,das ist bei denen Standard, egal welcher Geschäftsbereich
Bitte warten ..
Mitglied: obliterator
23.10.2013 um 14:19 Uhr
Zitat von SlainteMhath:
> *Update*
> OH MEIN GOTT!
> Ich habe gerade beim Telekom Geschäftskundenbereich angerufen bzgl. des Schreibens. Die meinten am Telefon
"Vergessen Sie
> das Schreiben die wären Fehlerhaft rausgegangen" ich fasse es nicht und ich befasse mich seit gestern mit diesem
Problem... ey
> das kanns doch nicht sein. Na immerhin habe ich nun die Firewall Konfiguration nochmal überprüft!

Als mehrfacher T-* Kunde kann ich dir nur sagen: Reg dich nicht auf,das ist bei denen Standard, egal welcher Geschäftsbereich


Am besten finde ich noch das das Tool bzw. der Link auf dem Telekom Schreiben auch noch ein defektes Tool ist.

Dieser Link gibt immer zurück das man einen OPEN Resolver betreibt:
http://dns.measurement-factory.com/cgi-bin/openresolvercheck.pl

Bei diesem Link z.B ist alles i.O
http://www.thinkbroadband.com/tools/dnscheck.html
Bitte warten ..
Mitglied: trisse
24.10.2013, aktualisiert um 15:24 Uhr
Bei uns läuft auch kein open resolver. Wir haben das log der telekom bekommen und wollen es euch nicht vorenthalten!
http://nopaste.info/b441e45b30.html

Wer genauer hinsieht erkennt, dass es "VERMUTLICH" ein Openres ist, im log steht aber eigentlich, dass unter der ausgegrauten IP ein snmp-dienst sitzt, was zugegebenermaßen auch so war. Ich hatte SNMP zu testzwecken aktiviert (read-only, keine sensiblen daten). Alles nochmal getestet: Ja der router stellt sich selber per SNMP bloß. Wir haben den eintrag rausgenommen, fertig.

Das Ende vom lied: Man darf irgendwelchen Horrormeldungen der Telekom nicht immer allzu viel vertrauen schenken. Wie in diesem Fall passt die, durch das System erstellte beschreibung NICHT auf die wahre Ursache.

Lg, Tristan
Bitte warten ..
Ähnliche Inhalte
Video & Streaming
Konfiguration ABUS VMS
Frage von halingtonVideo & Streaming3 Kommentare

Hallo zusammen, ich bräuchte Hilfe mit der Konfiguration von ABUS VMS. Die Software ist auf einem Win7-Rechner installiert. Es ...

Apache Server

Server Abuse, Sicherheitsmassnahmen und Sicherheitslücken schliessen

Frage von wescraven07Apache Server3 Kommentare

Hallo Admins, folgende Frage: Wir haben seit etwa 12 tagen das Problem, dass unser Managed Webserver irgendwo eine Sicherheitslücke ...

Voice over IP

Telekom VoIP in FritzBox hinter Telekom Speedport

gelöst Frage von it-kolliVoice over IP2 Kommentare

Hallo, ich habe folgendes Problem: auf einen Bauernhof nutzt der Sohn den Anschluss der Eltern der Telekom mit. Im ...

Windows Tools

Lokaler Store Forward Mailserver

Frage von deactivatorWindows Tools3 Kommentare

Liebe Community, die älteren BMCs von Fujitsu (iRMC genannt) können leider nur SMTP Port 25 ohne Authentifzierung. Gibt es ...

Neue Wissensbeiträge
Sicherheit
Adminrechte dank Bug in Intel HD Graphics Treiber
Information von DerWoWusste vor 8 StundenSicherheit

Intel HD graphics 4200 und neuer (4400, 4600 520,530,620, 630,) sind auf jeden Fall betroffen und bereinigte Treiber sind ...

Router & Routing

Endlich: Reines Kabel-TV Modem in D erhältlich !

Information von aqui vor 3 TagenRouter & Routing10 Kommentare

Mit dem Technicolor TC4400-EU Modem sind nun auch Breitband Router ohne integriertes Modem oder Firewalls wie z.B. die pfSense ...

Netzwerkgrundlagen
The Illustrated TLS Connection
Information von Lochkartenstanzer vor 3 TagenNetzwerkgrundlagen1 Kommentar

Moin, Unter findet man eine gelungene Erläuterung von TLS. Fördert sehr das verständnis darüber, was da passiert. lks

Windows 10

Zuverlässiger Remove-AppxProvisionedPackage Ausführen in W10-1803

Tipp von NetzwerkDude vor 5 TagenWindows 104 Kommentare

Moin, Remove-AppxProvisionedPackage hat in 1709 recht zuverlässig funktioniert, in 1803 ist es leider so das es gerne mail failed ...

Heiß diskutierte Inhalte
Windows Server
AD User wird immer wieder gesperrt
Frage von YellowcakeWindows Server20 Kommentare

Hey ich habe einen User (ein GL User - Natürlich was denn sonst) der immer wieder gesperrt wird. Ich ...

Windows Netzwerk
Gruppenrichtlinie für einen PC deaktivieren
gelöst Frage von Florian961988Windows Netzwerk14 Kommentare

Hallo, kleines Problem und immoment finde ich dazu keine Lösung oder mir fällt nicht ein, wie ich es suche ...

Switche und Hubs
OpenSource oder Freeware zur Verwaltung von Switchen
gelöst Frage von JonskezSwitche und Hubs12 Kommentare

Hallo, gibt eine kostenlose Verwaltungssoftware für Switche (überwiegend HP/Aruba)? Es sollte möglich sein, aus der Ferne z.B. die Firmware ...

Festplatten, SSD, Raid
LSI 9361 Controller, versehentlich virtual Drive am Controller gelöscht
Frage von pixel24Festplatten, SSD, Raid12 Kommentare

Hallo zusammen, gibt es hier einen Experten der sich gut mit LSI MegaRAID auskennt? Ich habe versehentlich im Controller-BIOS ...