Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Abuse-Team Telekom Rekursionsvorgang Forwarder deaktivieren?

Frage Netzwerke DNS

Mitglied: Tommy1983

Tommy1983 (Level 2) - Jetzt verbinden

22.10.2013, aktualisiert 11:47 Uhr, 8679 Aufrufe, 9 Kommentare

Hallo zusammen,
ich bräuchte mal euren Rat. Einer unserer Kunden hat ein schreiben von der Telekom bekommen mit dem Betreff: Missbrauchspotential bei Ihrem nicht optimal konfigurierten DNS Server!

In dem Schreiben steht das der DNS Server von Dritten für Angriffe missbraucht werden kann. Mann soll den DNS Server überprüfen und entsprechend absichern.

Lösung1:

- Wenn Ihr DNS Server nur Anfragen ihrer eigenen Domain/Zone beantworten soll (autoritativer Nameserver), können Sie die rekursiven Abfragen deaktivieren uns sind geschützt.

Lösung2:

- Wenn Ihr DNS Server beliebige DNS-Anfragen beantworten soll (rekursiver Nameserver), konfigurieren Sie ihren DNS-Server so, dass er nur von IP`s Ihrer Kunden bzw. von Ihnen genutzt werden kann. (IP-Filter oder in der DNS-Konfiguration).



Der Kunde hat einen T-Business Anschluss mit einer festen IP-Adresse. Ein Windows Server 2003 der als Domaincontroller installiert ist und eine Firewall die sich über ein Modem ins Internet einwählt. Die Clients haben alle als DNS Server die IP-Adresse des Servers eingetragen. Namensauflösung funktioniert einwandfrei. Der Kunde hat einen Weltweiten Export somit muss der DNS Server beliebige DNS Anfragen beantworten.

Ich habe ein wenig im Internet gestöbert und folgenden Artikel gefunden:

http://technet.microsoft.com/de-de/library/cc771738.aspx
http://www2.tal.de/service/zum-thema/offene-dns-resolver-von-kunden.htm ...

aber das würde doch bedeutet ich würde die komplette Rekursion auf dem DNS Server deaktivieren?
Ich steh ein wenig auf den Schlauch und weiss nicht so recht wie ich an die Sache rangehen soll.

vielen Dank im Voraus

Tommy

Mitglied: certifiedit.net
22.10.2013 um 12:11 Uhr
Hallo Tommy,

man könnte vermuten, dass der DNS für alle DNS Änderungen in alle Richtungen offen ist. Aber das ist soweit weg von der Grundkonfiguration, dass da wohl jemand entweder besonders enthusiastisch war oder jemand besonders viel Halbwissen in die Konfiguration mit eingebracht hat (ggf Kombiniert).

Überprüf das mal bitte.

Beste Grüße,

Christian
certified IT
Bitte warten ..
Mitglied: Tommy1983
22.10.2013 um 13:19 Uhr
Zitat von certifiedit.net:
Hallo Tommy,

man könnte vermuten, dass der DNS für alle DNS Änderungen in alle Richtungen offen ist. Aber das ist soweit weg von
der Grundkonfiguration, dass da wohl jemand entweder besonders enthusiastisch war oder jemand besonders viel Halbwissen in die
Konfiguration mit eingebracht hat (ggf Kombiniert).

Überprüf das mal bitte.

Beste Grüße,

Christian
certified IT

Ich habe auf dem Domaincontroller unter Verwaltung -> DNS -> Eigenschaften -> Erweitert nachgeschaut. Dort ist kein Haken in Rekursionsvorgang (und Forwarder) deaktivieren drin. Ansonsten sieht die DNS konfiguration ganz normal aus. Bei Weiterleitungen ist bei DNS-Domäne: Alle anderen DNS-Domänen und bei Weiterleitungs IP die IP der Firewall eingestellt. Ist denn wirklich die konfiguration des DNS Server (Domaincontrollers) das Problem und nicht doch eher eine Einstellung auf der Firewall?
Bitte warten ..
Mitglied: SlainteMhath
22.10.2013 um 13:53 Uhr
Moin,

wenn die telekom dem Kunden ein Schreiben schickt, dann ist der DNS vom Internet aus erreichbar (sonst könnten den Dritte auch nicht für Angriffe nutzen). Check doch mal an der Firewall ob/welche Ports weitergeleitet werden.

lg,
Slainte
Bitte warten ..
Mitglied: Tommy1983
22.10.2013 um 14:08 Uhr
Zitat von SlainteMhath:
Moin,

wenn die telekom dem Kunden ein Schreiben schickt, dann ist der DNS vom Internet aus erreichbar (sonst könnten den Dritte
auch nicht für Angriffe nutzen). Check doch mal an der Firewall ob/welche Ports weitergeleitet werden.

lg,
Slainte

Genau so siehts aus! Ich habe gerade mit T-Business telefoniert und die meinten genau das gleiche. Es hat somit rein garnix mit der "internen DNS Auflösung" zu tun. Sobald ich den Fehler behoben habe gebe ich eine Rückmeldung. Bis dahin vielen Dank erstmal!
Bitte warten ..
Mitglied: trisse
23.10.2013, aktualisiert um 09:16 Uhr
Hi Tommy,

Einer unserer Kunden hat gestern exakt dasselbe schreiben bekommen, dass der DNS-Server Anfragen von außen beantworte.
Das haben wir nun mit einigen uns zur Verfügung stehenden Mitteln gegengeprüft: Kein Positives Ergebnis. Unserer Einschätzung nach ist der DNS-Server, entgegen der Telekom-Einschätzung, nicht von außen erreichbar.

Zitat von SlainteMhath:
Wenn die Telekom dem Kunden ein Schreiben schickt, dann ist der DNS vom Internet aus erreichbar (sonst könnten den Dritte
auch nicht für Angriffe nutzen). Check doch mal an der Firewall ob/welche Ports weitergeleitet werden.

Ich finde, dass man das nicht so pauschal sagen kann. Wir haben gestern den gesamten Tag damit verbracht den DNS-Server zu prüfen.

Beweis genug bietet (eigentlich) schon, wenn man von außen kommt, und die öffentliche IP-Adresse des Kunden bei sich als DNS-Server setzt. Allein hierbei würdest du erkennen können ob der DNS extern auflöst. Firewall ist beim zudem auch dicht. Router lassen nichts, was Post 53 heißt, durch. Zudem haben wir alle IPs des internen Netzwerkes nach DNS-Resolvern abgesucht um zu schauen, ob da irgendwo der Hund begraben ist - nichts. Auch nslookup gibt ein negatives Ergebniss. Das einzige was man nun noch machen kann, wäre alle anderen Ports auf das DNS-Protokoll (Wireshark etc.) hin zu untersuchen, um auszuschließen, dass ein potentieller Angreifer einen offenen DNS für seine Zwecke auf einen anderen Port geschnallt hat, damit es keiner merkt. Anderer Punkt wäre, dass einer der Router kompromittiert und nach außen offen ist. Ob deep packet inspektion angebracht ist oder nicht sei mal dahingestellt - wir erwarten erstmal die Auswertungen der Telekom, mit der wir gestern sprachen, welche uns am Telefon keinerlei Angaben machen konnte, was genau los sei.

Wir melden uns wieder.

PS: Tommy, wenn du neue Hinweise hast, würde es mich interessieren wie die Geschichte bei dir weiterging!

Ls, Tristan
Bitte warten ..
Mitglied: Tommy1983
23.10.2013, aktualisiert um 14:02 Uhr
Hallo Tristan,
ich bin froh das ich mit dem Problem nicht alleine darstehe auch wir sind seit gestern damit beschäftigt das Problem zu lösen aber es scheint alles i.O zu sein.

Via Portscanner sind alle Ports geschlossen. Ich habe mich sogar mit dem Firewall Hersteller in Verbindung gesetzt und bekam als Antwort:


"Hallo

dann ist möglicherweise das Tool "schrott".

Ich habe die Ports mit einem Linux Tool (nmap) getestet und der Port ist definitiv dicht.

Ich habe dann nochmals, damit Sie das auch nachvollziehen können, Online Portscanner probniert, mit dem Ergebnis dass der Port dicht ist.

http://en.dnstools.ch/port-scan.html

-> 53 "DNS"-Port is closed.

Der Port ist definitiv dicht.

Ich schließe den Supportfall somit an der Stelle, wenn Sie keine weiteren Fragen mehr haben?"


Ich werde nun auch an die Telekom heran treten. Die sollen mir dann weitere Informationen zukommen lassen!




*Update*
OH MEIN GOTT!
Ich habe gerade beim Telekom Geschäftskundenbereich angerufen bzgl. des Schreibens. Die meinten am Telefon "Vergessen Sie das Schreiben die wären Fehlerhaft rausgegangen" ich fasse es nicht und ich befasse mich seit gestern mit diesem Problem... ey das kanns doch nicht sein. Na immerhin habe ich nun die Firewall Konfiguration nochmal überprüft!
Bitte warten ..
Mitglied: SlainteMhath
23.10.2013 um 14:10 Uhr
*Update*
OH MEIN GOTT!
Ich habe gerade beim Telekom Geschäftskundenbereich angerufen bzgl. des Schreibens. Die meinten am Telefon "Vergessen Sie
das Schreiben die wären Fehlerhaft rausgegangen" ich fasse es nicht und ich befasse mich seit gestern mit diesem Problem... ey
das kanns doch nicht sein. Na immerhin habe ich nun die Firewall Konfiguration nochmal überprüft!

Als mehrfacher T-* Kunde kann ich dir nur sagen: Reg dich nicht auf,das ist bei denen Standard, egal welcher Geschäftsbereich
Bitte warten ..
Mitglied: Tommy1983
23.10.2013 um 14:19 Uhr
Zitat von SlainteMhath:
> *Update*
> OH MEIN GOTT!
> Ich habe gerade beim Telekom Geschäftskundenbereich angerufen bzgl. des Schreibens. Die meinten am Telefon
"Vergessen Sie
> das Schreiben die wären Fehlerhaft rausgegangen" ich fasse es nicht und ich befasse mich seit gestern mit diesem
Problem... ey
> das kanns doch nicht sein. Na immerhin habe ich nun die Firewall Konfiguration nochmal überprüft!

Als mehrfacher T-* Kunde kann ich dir nur sagen: Reg dich nicht auf,das ist bei denen Standard, egal welcher Geschäftsbereich


Am besten finde ich noch das das Tool bzw. der Link auf dem Telekom Schreiben auch noch ein defektes Tool ist.

Dieser Link gibt immer zurück das man einen OPEN Resolver betreibt:
http://dns.measurement-factory.com/cgi-bin/openresolvercheck.pl

Bei diesem Link z.B ist alles i.O
http://www.thinkbroadband.com/tools/dnscheck.html
Bitte warten ..
Mitglied: trisse
24.10.2013, aktualisiert um 15:24 Uhr
Bei uns läuft auch kein open resolver. Wir haben das log der telekom bekommen und wollen es euch nicht vorenthalten!
http://nopaste.info/b441e45b30.html

Wer genauer hinsieht erkennt, dass es "VERMUTLICH" ein Openres ist, im log steht aber eigentlich, dass unter der ausgegrauten IP ein snmp-dienst sitzt, was zugegebenermaßen auch so war. Ich hatte SNMP zu testzwecken aktiviert (read-only, keine sensiblen daten). Alles nochmal getestet: Ja der router stellt sich selber per SNMP bloß. Wir haben den eintrag rausgenommen, fertig.

Das Ende vom lied: Man darf irgendwelchen Horrormeldungen der Telekom nicht immer allzu viel vertrauen schenken. Wie in diesem Fall passt die, durch das System erstellte beschreibung NICHT auf die wahre Ursache.

Lg, Tristan
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Microsoft Office
gelöst Absatz in Textfeld deaktivieren (6)

Frage von eraiser zum Thema Microsoft Office ...

Router & Routing
gelöst MikroTik hAP ac Winbox Zugriff deaktivieren (1)

Frage von horstvogel zum Thema Router & Routing ...

DSL, VDSL
Telekom blockiert immer noch den Port 7547 in ihrem Netz (9)

Erfahrungsbericht von joachim57 zum Thema DSL, VDSL ...

Sicherheit
gelöst Libreoffice Makros deaktivieren - Button fehlt in LO 5 (2)

Frage von Der-Phil zum Thema Sicherheit ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...