obliterator
Goto Top

Abuse-Team Telekom Rekursionsvorgang Forwarder deaktivieren?

Hallo zusammen,
ich bräuchte mal euren Rat. Einer unserer Kunden hat ein schreiben von der Telekom bekommen mit dem Betreff: Missbrauchspotential bei Ihrem nicht optimal konfigurierten DNS Server!

In dem Schreiben steht das der DNS Server von Dritten für Angriffe missbraucht werden kann. Mann soll den DNS Server überprüfen und entsprechend absichern.

Lösung1:

- Wenn Ihr DNS Server nur Anfragen ihrer eigenen Domain/Zone beantworten soll (autoritativer Nameserver), können Sie die rekursiven Abfragen deaktivieren uns sind geschützt.

Lösung2:

- Wenn Ihr DNS Server beliebige DNS-Anfragen beantworten soll (rekursiver Nameserver), konfigurieren Sie ihren DNS-Server so, dass er nur von IP`s Ihrer Kunden bzw. von Ihnen genutzt werden kann. (IP-Filter oder in der DNS-Konfiguration).


Der Kunde hat einen T-Business Anschluss mit einer festen IP-Adresse. Ein Windows Server 2003 der als Domaincontroller installiert ist und eine Firewall die sich über ein Modem ins Internet einwählt. Die Clients haben alle als DNS Server die IP-Adresse des Servers eingetragen. Namensauflösung funktioniert einwandfrei. Der Kunde hat einen Weltweiten Export somit muss der DNS Server beliebige DNS Anfragen beantworten.

Ich habe ein wenig im Internet gestöbert und folgenden Artikel gefunden:

http://technet.microsoft.com/de-de/library/cc771738.aspx
http://www2.tal.de/service/zum-thema/offene-dns-resolver-von-kunden.htm ...

aber das würde doch bedeutet ich würde die komplette Rekursion auf dem DNS Server deaktivieren?
Ich steh ein wenig auf den Schlauch und weiss nicht so recht wie ich an die Sache rangehen soll.

vielen Dank im Voraus

Tommy

Content-Key: 220074

Url: https://administrator.de/contentid/220074

Ausgedruckt am: 29.03.2024 um 06:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 22.10.2013 um 12:11:09 Uhr
Goto Top
Hallo Tommy,

man könnte vermuten, dass der DNS für alle DNS Änderungen in alle Richtungen offen ist. Aber das ist soweit weg von der Grundkonfiguration, dass da wohl jemand entweder besonders enthusiastisch war oder jemand besonders viel Halbwissen in die Konfiguration mit eingebracht hat (ggf Kombiniert).

Überprüf das mal bitte.

Beste Grüße,

Christian
certified IT
Mitglied: obliterator
obliterator 22.10.2013 um 13:19:16 Uhr
Goto Top
Zitat von @falscher-sperrstatus:
Hallo Tommy,

man könnte vermuten, dass der DNS für alle DNS Änderungen in alle Richtungen offen ist. Aber das ist soweit weg von
der Grundkonfiguration, dass da wohl jemand entweder besonders enthusiastisch war oder jemand besonders viel Halbwissen in die
Konfiguration mit eingebracht hat (ggf Kombiniert).

Überprüf das mal bitte.

Beste Grüße,

Christian
certified IT

Ich habe auf dem Domaincontroller unter Verwaltung -> DNS -> Eigenschaften -> Erweitert nachgeschaut. Dort ist kein Haken in Rekursionsvorgang (und Forwarder) deaktivieren drin. Ansonsten sieht die DNS konfiguration ganz normal aus. Bei Weiterleitungen ist bei DNS-Domäne: Alle anderen DNS-Domänen und bei Weiterleitungs IP die IP der Firewall eingestellt. Ist denn wirklich die konfiguration des DNS Server (Domaincontrollers) das Problem und nicht doch eher eine Einstellung auf der Firewall?
Mitglied: SlainteMhath
SlainteMhath 22.10.2013 um 13:53:03 Uhr
Goto Top
Moin,

wenn die telekom dem Kunden ein Schreiben schickt, dann ist der DNS vom Internet aus erreichbar (sonst könnten den Dritte auch nicht für Angriffe nutzen). Check doch mal an der Firewall ob/welche Ports weitergeleitet werden.

lg,
Slainte
Mitglied: obliterator
obliterator 22.10.2013 um 14:08:37 Uhr
Goto Top
Zitat von @SlainteMhath:
Moin,

wenn die telekom dem Kunden ein Schreiben schickt, dann ist der DNS vom Internet aus erreichbar (sonst könnten den Dritte
auch nicht für Angriffe nutzen). Check doch mal an der Firewall ob/welche Ports weitergeleitet werden.

lg,
Slainte

Genau so siehts aus! Ich habe gerade mit T-Business telefoniert und die meinten genau das gleiche. Es hat somit rein garnix mit der "internen DNS Auflösung" zu tun. Sobald ich den Fehler behoben habe gebe ich eine Rückmeldung. Bis dahin vielen Dank erstmal!
Mitglied: trisse
trisse 23.10.2013 aktualisiert um 09:16:40 Uhr
Goto Top
Hi Tommy,

Einer unserer Kunden hat gestern exakt dasselbe schreiben bekommen, dass der DNS-Server Anfragen von außen beantworte.
Das haben wir nun mit einigen uns zur Verfügung stehenden Mitteln gegengeprüft: Kein Positives Ergebnis. Unserer Einschätzung nach ist der DNS-Server, entgegen der Telekom-Einschätzung, nicht von außen erreichbar.

Zitat von @SlainteMhath:
Wenn die Telekom dem Kunden ein Schreiben schickt, dann ist der DNS vom Internet aus erreichbar (sonst könnten den Dritte
auch nicht für Angriffe nutzen). Check doch mal an der Firewall ob/welche Ports weitergeleitet werden.

Ich finde, dass man das nicht so pauschal sagen kann. Wir haben gestern den gesamten Tag damit verbracht den DNS-Server zu prüfen.

Beweis genug bietet (eigentlich) schon, wenn man von außen kommt, und die öffentliche IP-Adresse des Kunden bei sich als DNS-Server setzt. Allein hierbei würdest du erkennen können ob der DNS extern auflöst. Firewall ist beim zudem auch dicht. Router lassen nichts, was Post 53 heißt, durch. Zudem haben wir alle IPs des internen Netzwerkes nach DNS-Resolvern abgesucht um zu schauen, ob da irgendwo der Hund begraben ist - nichts. Auch nslookup gibt ein negatives Ergebniss. Das einzige was man nun noch machen kann, wäre alle anderen Ports auf das DNS-Protokoll (Wireshark etc.) hin zu untersuchen, um auszuschließen, dass ein potentieller Angreifer einen offenen DNS für seine Zwecke auf einen anderen Port geschnallt hat, damit es keiner merkt. Anderer Punkt wäre, dass einer der Router kompromittiert und nach außen offen ist. Ob deep packet inspektion angebracht ist oder nicht sei mal dahingestellt - wir erwarten erstmal die Auswertungen der Telekom, mit der wir gestern sprachen, welche uns am Telefon keinerlei Angaben machen konnte, was genau los sei.

Wir melden uns wieder.

PS: Tommy, wenn du neue Hinweise hast, würde es mich interessieren wie die Geschichte bei dir weiterging!

Ls, Tristan
Mitglied: obliterator
obliterator 23.10.2013 aktualisiert um 14:02:00 Uhr
Goto Top
Hallo Tristan,
ich bin froh das ich mit dem Problem nicht alleine darstehe face-smile auch wir sind seit gestern damit beschäftigt das Problem zu lösen aber es scheint alles i.O zu sein.

Via Portscanner sind alle Ports geschlossen. Ich habe mich sogar mit dem Firewall Hersteller in Verbindung gesetzt und bekam als Antwort:


"Hallo

dann ist möglicherweise das Tool "schrott".

Ich habe die Ports mit einem Linux Tool (nmap) getestet und der Port ist definitiv dicht.

Ich habe dann nochmals, damit Sie das auch nachvollziehen können, Online Portscanner probniert, mit dem Ergebnis dass der Port dicht ist.

http://en.dnstools.ch/port-scan.html

-> 53 "DNS"-Port is closed.

Der Port ist definitiv dicht.

Ich schließe den Supportfall somit an der Stelle, wenn Sie keine weiteren Fragen mehr haben?"


Ich werde nun auch an die Telekom heran treten. Die sollen mir dann weitere Informationen zukommen lassen!


*Update*
OH MEIN GOTT!
Ich habe gerade beim Telekom Geschäftskundenbereich angerufen bzgl. des Schreibens. Die meinten am Telefon "Vergessen Sie das Schreiben die wären Fehlerhaft rausgegangen" ich fasse es nicht und ich befasse mich seit gestern mit diesem Problem... ey das kanns doch nicht sein. Na immerhin habe ich nun die Firewall Konfiguration nochmal überprüft!
Mitglied: SlainteMhath
SlainteMhath 23.10.2013 um 14:10:00 Uhr
Goto Top
*Update*
OH MEIN GOTT!
Ich habe gerade beim Telekom Geschäftskundenbereich angerufen bzgl. des Schreibens. Die meinten am Telefon "Vergessen Sie
das Schreiben die wären Fehlerhaft rausgegangen" ich fasse es nicht und ich befasse mich seit gestern mit diesem Problem... ey
das kanns doch nicht sein. Na immerhin habe ich nun die Firewall Konfiguration nochmal überprüft!

Als mehrfacher T-* Kunde kann ich dir nur sagen: Reg dich nicht auf,das ist bei denen Standard, egal welcher Geschäftsbereich face-smile
Mitglied: obliterator
obliterator 23.10.2013 um 14:19:36 Uhr
Goto Top
Zitat von @SlainteMhath:
> *Update*
> OH MEIN GOTT!
> Ich habe gerade beim Telekom Geschäftskundenbereich angerufen bzgl. des Schreibens. Die meinten am Telefon
"Vergessen Sie
> das Schreiben die wären Fehlerhaft rausgegangen" ich fasse es nicht und ich befasse mich seit gestern mit diesem
Problem... ey
> das kanns doch nicht sein. Na immerhin habe ich nun die Firewall Konfiguration nochmal überprüft!

Als mehrfacher T-* Kunde kann ich dir nur sagen: Reg dich nicht auf,das ist bei denen Standard, egal welcher Geschäftsbereich
face-smile

Am besten finde ich noch das das Tool bzw. der Link auf dem Telekom Schreiben auch noch ein defektes Tool ist.

Dieser Link gibt immer zurück das man einen OPEN Resolver betreibt:
http://dns.measurement-factory.com/cgi-bin/openresolvercheck.pl

Bei diesem Link z.B ist alles i.O
http://www.thinkbroadband.com/tools/dnscheck.html
Mitglied: trisse
trisse 24.10.2013 aktualisiert um 15:24:38 Uhr
Goto Top
Bei uns läuft auch kein open resolver. Wir haben das log der telekom bekommen und wollen es euch nicht vorenthalten!
http://nopaste.info/b441e45b30.html

Wer genauer hinsieht erkennt, dass es "VERMUTLICH" ein Openres ist, im log steht aber eigentlich, dass unter der ausgegrauten IP ein snmp-dienst sitzt, was zugegebenermaßen auch so war. Ich hatte SNMP zu testzwecken aktiviert (read-only, keine sensiblen daten). Alles nochmal getestet: Ja der router stellt sich selber per SNMP bloß. Wir haben den eintrag rausgenommen, fertig.

Das Ende vom lied: Man darf irgendwelchen Horrormeldungen der Telekom nicht immer allzu viel vertrauen schenken. Wie in diesem Fall passt die, durch das System erstellte beschreibung NICHT auf die wahre Ursache.

Lg, Tristan