Einträge aus fremdem Subnetz in der DNS-Hitliste beim DSL/10

ellegon · Beitrag von **ellegon** » 18 Jan 2008, 10:05

Ich fühle mich gerade mal wieder wie ein verwirrter DAU, aber vielleicht hat ja jemand Lust und Zeit mir folgendes seltsame Phänomen zu erklären...

Gerätekonfiguration: DSL/10 Firmware 3.58, LAN Netzwerk 192.168.206.xx, Netzmaske 255.255.255.0 . Ich glaube nicht, daß es als Angabe nötig ist, aber der DSL/10 hat eine dnydns.org-Adresse, um von außen erreichbar zu sein, die er sich regelmäßig bei jeder neuen Einwahl selbst updatet.

In der DNS-Hitliste sehe ich Einträge von Anfragen, die nicht aus meinem Subnetz kommen:

Code: Alles auswählen

stats.update.microsoft.com           	   1	17.1.2008 17:15:06	192.168.206.2
65ab94c0c069effb.7364.gtisc-dnsstudy.net	1	17.1.2008 14:16:07	143.215.143.14
download2.lexware.de           	         1	17.1.2008 14:00:10	192.168.206.1

Wenn ich nach gtisc-dnsstudy.net googele, finde ich Dokumente über Tests zur Sicherheit von DNS-Serven im Internet, die zu DDoS-Attacken misbraucht werden.

Was ich jetzt irgendwie gar nicht nachvollziehen kann: Nach meiner Interpretation heißt das, ein Rechner aus meinem lokalen Netz (mit einer nicht zur Netzmaske passenden IP) hat die entsprechenden DNS-Namen zur Auflösung beim Lancom angefragt.

"Das wüßte ich"....

Wo ist da der Haken, wie kommts, und kann ich das einfach ignorieren oder sollte ich da irgendwas umkonfigurieren weil ich mir durch Dummheit irgendwo ein Sicherheitsloch geschossen habe ?

Ich bin für alles, was ich noch lernen kann, dankbar ;->

backslash · Beitrag von **backslash** » 18 Jan 2008, 14:46

Hi ellegon,

gehe einfach mal davon aus, daß die Anfrage wirklich von aussen kam. Wenn das LANCOM eine korrekte DNS-Anfrage erhält, dann löst es den Namen auch auf bzw. leitet die Anfrage an den nächsten DNS-Server weiter
(was in diesem Fall vom Router als Backurouting angesehen wird, wodurch dieser das Paket verwirft...).

Man kann jetzt darüber philosophieren ob man das als Sicherheitslücke ansehen soll oder nicht (auf einer LAN-LAN-Kopplung z.B. ist genau dieses Verhalten explizit gewünscht...)

Warum aber irgendwer eine DNS-Anfrage gerade an diene dynamische IP-Adresse schicken sollte - keine Ahnung. ggf. hat hier ja irgendwer versucht mit einem manipulierten DNS-Paket einen DoS-Angriff zu fahren...

Gruß
Backslash

ellegon · Beitrag von **ellegon** » 18 Jan 2008, 16:16

Danke für die Antwort - wirklich große Sorgen mache ich mir nicht, ich möchte es überwiegend nur verstehen. Wenn die Anfrage von außen kam - wie kam sie dann durch die Firewall durch ? Ich wüßte nicht, daß ich irgendwelche Ports von außen zu DNS-Diensten im Lancom offen habe... Die wenigen offenen Ports gehen auf andere Rechner im LAN, nur der 443 ist offen für Fernwartung über https.

Oder heißt das, jemand hat den DSL/10 von außen mit einem Paket beworfen, welches ihn glauben machen sollte, es wäre eine Antwort auf eine Anfrage von ihm (um durch die Feuermauer durch zu kommen) ?

"Danke für die Mühe, die ich Ihnen gemacht habe !"
(Wie man in Hessen so sagt)

ellegon.

backslash · Beitrag von **backslash** » 29 Jan 2008, 18:46

Hi ellegon

Wenn die Anfrage von außen kam - wie kam sie dann durch die Firewall durch

sie kam nicht durch die Firewall "durch" - sie war an den internen Dienst "DNS-Server" des LANCOMs gerichtet. Dabei greift die Firewall nicht, weil sie keine Inbound-Filter enthält...

Oder heißt das, jemand hat den DSL/10 von außen mit einem Paket beworfen, welches ihn glauben machen sollte, es wäre eine Antwort auf eine Anfrage von ihm (um durch die Feuermauer durch zu kommen) ?

Das auch nicht. Hier hat irgendjemand versucht, das LANCOM als DNS-Server zu mißbrauchen, um den Namen "65ab94c0c069effb.7364.gtisc-dnsstudy.net" aufzulösen. Die Anfrage wurde dann vom LANCOM erst beim Forwarding an den nächsten DNS-Server verworfen (daher der Eintrag in der Hitliste)...

Die nächste Firmware prüft nun, ob eine Anfrage über eine maskierte Verbindung hereinkommt und verwirft diese direkt (Maskierung auf "Ein") bzw. weist sie zurück, wenn die Maskierung auf "nur Intranet maskieren" steht und die Anfrage nicht für Hosts in der DMZ ist (d.h. Hosts in der DMZ werden weiterhin aufgelöst - was ja auch kein Problem ist, da sie eh eine öffentliche Adresse haben)

Für das DSL/10 bringt dir das leider gar nichts, denn dafür wird es keine neue Firmware mehr geben...

Gruß
Backslash