Resolver anfällig für DDoS-Reflection-Angriffe

trixters

Resolver anfällig,

Mich erreicht gerade eine Mail :

Liebe Kolleginnen und Kollegen,

wir erhielten vom CERT-Bund die nachstehende Meldung zu Systemen ihrer
Einrichtung, die an DDoS-Reflection-Angriffen teilgenommen haben.

Bitte prüfen Sie den Sachverhalt und treffen geeignete Gegenmaßnahmen.
Informationen finden Sie unter anderem beim BSI.

Die Liste der betroffenen Systeme entnehmen Sie bitte der angehängten Datei
im Format:

Format: ASN | IP address | Timestamp (UTC) | Service

Wir bearbeiten diesen Vorfall unter der Nummer im Betreff und stehen Ihnen
für Nachfragen gerne zur Verfügung.

Da der Resolver Subdomains auflöst, kann der nicht mal eben so vom Netz - sonst würden DNS-Namen von Servern nicht mehr korrekt aufgelöst und die Dienste damit unbrauchbar.

Grimson

Für einen öffentlichen DNS nimmt man ja auch nicht den Resolver sondern eine (ordentlich konfigurierte) VM mit Bind, bzw. einem alternativen vollwertigen DNS.

trixters

Hast du auch konstruktive Beiträge ?
Man kann sich auch ne ASA kaufen, aber die ist hier eben nicht Thema.

GruensFroeschli

Grimson hat schon recht, der Resolver ist nicht für eingehende Requests gedacht.

Es gibt noch die Alternative bind direkt auf der pfSense zu installieren.
Würd ich persönlich jedoch nicht tun, da das ein Service ist der in die DMZ gehört und nicht auf den Router.

trixters

wenn ich schon eine Security-Box baue - das will die PF ja sein - dann sollten die angebotenen Dienste schon sicher sein.

Man kauft ja auch keine Brötchen, von denen man gesagt bekommt, man dürfe sie weder aufschneiden noch belegen.

bepo

@trixters wenn du schon Beispiele an den Haaren herbei ziehst: Du kaufst keinen Bentley zum Rennen fahren und keinen Ferrari, wenn du es bequem magst.

DNS Resolver erfüllt den Zweck den es hat (DNS Auflösung für interne Hosts). Mir ist auch keine Enterprise Firewall bekannt, die einen Public DNS bereit stellen soll.

trixters

schön wie hier alle kronstruktive Lösungen anbieten ironie-out

bepo

@grimson said in Resolver anfällig für DDoS-Reflection-Angriffe:

Für einen öffentlichen DNS nimmt man ja auch nicht den Resolver sondern eine (ordentlich konfigurierte) VM mit Bind, bzw. einem alternativen vollwertigen DNS.

@gruensfroeschli said in Resolver anfällig für DDoS-Reflection-Angriffe:

Grimson hat schon recht, der Resolver ist nicht für eingehende Requests gedacht.

Es gibt noch die Alternative bind direkt auf der pfSense zu installieren.
Würd ich persönlich jedoch nicht tun, da das ein Service ist der in die DMZ gehört und nicht auf den Router.

Da war zwei mal sehr konstruktive Kritik. Sogar mit Vorschlag, wie du das Thema besser lösen kannst.
Denke das war es dann auch mit Antworten hier.

trixters

Konstruktiv wäre gewesen folgendes zu berücksichtigen:

also eine tatsächlich ohne risiko nutzbare version des Resolvers scheint es also nicht zu geben?
auch kann man diesen scheinbar nicht gegen DDoS-Reflection-Angriffe absichern?

schön, dann schreibt das doch gleich ins Frontend - "Dies ist keine produktiv nutzbare Software!"

Verstehe wirklich nicht wie man einen unsicheren Dienst in eine Security-Appliance packen kann.

Zusammengefasst: nehmt keine PF sondern sucht euch was anderes ?
Das kann doch das bestreben nicht sein !
Arbeitet denn keiner am Resolver, um solche Lücken zu beheben ?

GruensFroeschli

Technische Grundlage:
https://unix.stackexchange.com/questions/24383/what-is-a-recursive-dns-query
Gute Anwort von CMB vor 6 Jahren
https://forum.netgate.com/post/368623

Das Problem liegt nicht an der pfSense oder dem DNS Resolver, sondern wie du das Feature benutzen willst.
DNS Resolver gegen das Internet offen => broken by design.

Zusammengefasst: nehmt keine PF sondern sucht euch was anderes ?
Das kann doch das bestreben nicht sein !
Arbeitet denn keiner am Resolver, um solche Lücken zu beheben ?

Es gibt keine Lücke in DNS Resolver zu beheben, da keine existiert.
Die Lücke die existiert ist die Fehlkonfiguration in der Firewall welche den Zugang auf Port 53 von ausser her zulässt.

Falls du mit dieser Anwort nicht umgehen kannst oder willst:
Viel Spass beim eine andere Lösung finden.

trixters

Netgate-Info zum Resolver

"Unbound is a validating, recursive and caching DNS resolver. It provides various modules so that DNSSEC (secure DNS) validation and stub-resolvers are possible.

On pfSense 2.2, Unbound has been integrated into the base system. Unbound is also the default DNS Resolver for new installations.

This page covers usage of Unbound in the base system of pfSense 2.2 and later."

Kein Wort davon, dass man den Dienst nicht im offenen Internet nutzen sollte - vielleicht wäre hier ein Hinweis angebracht?

GruensFroeschli

@trixters said in Resolver anfällig für DDoS-Reflection-Angriffe:

Unbound is a validating, recursive and caching DNS resolver.

Da steht das es ein Resolver ist, und mit keinem Wort etwas von authorative dns server.

Es ist nicht Netgates Aufgabe den Usern die Grundlagen von DNS beizubringen.

bepo

@gruensfroeschli das Antworten hat hier wohl keinen Sinn mehr.

Ich betreue übrigens beruflich Firewall Systeme im Wert von Mehrfamilienhäusern von bekannten Herstellern (Checkpoint, Juniper, Sophos und SonicWall). Manche davon haben auch eine Art DNS Resolver. Jedoch schreibt keiner davon in seinen Aleitungen, dass man es nicht extern nutzen darf. Aber manche Leute stecken auch die Katze in die Mikrowelle, wenn es nicht in der Anleitung verboten ist.

jahonix

@bepo said in Resolver anfällig für DDoS-Reflection-Angriffe:

Mir ist auch keine Enterprise Firewall bekannt, die einen Public DNS bereit stellen soll.

@bepo said in Resolver anfällig für DDoS-Reflection-Angriffe:

Manche davon haben auch eine Art DNS Resolver. Jedoch schreibt keiner davon in seinen Aleitungen, dass man es nicht extern nutzen darf.

Eben, was ich im trusted-Bereich mache ist doch etwas ganz anderes, als das, was ich public/untrusted machen würde.
Ein öffentlich erreichbarer DNS Server ist halt ein Bastion Host in einer DMZ und kein Bestandteil der Firewall. Auch oder besonders dann nicht, wenn diese die Funktionen ganz oder teilweise abbilden könnte.

caracush

Ich bekomme ebenfalls diese Mails, ausser das man den Zugang auf das Port 53 von aussen nicht zulassen darf habe ich keinen wirkliche erklärung elesen können.

JeGr

Das Thema hier ist zwar durch, aber wenn du so eine Mail bekommen hast, dann prüfe, auf was es sich bezieht und ob/was du da tatsächlich offen hast. Wie schon mehrfach beschrieben in dem Thread: ein lokaler Service zum Bündeln von DNS Anfragen (also Forwarder oder Resolver) ist kein DNS Server, den man offen ins Internet pflanzt und hat ergo mit offenem Port nach draußen nichts zu suchen. Solltest du also auf die Sense auf deinen DNS Pakete zulassen, bist du für die Meldung verantwortlich und solltest tunlichst die Regel, die das erlaubt abschalten.

Edit: geschlossen, da neuer Thread zu neuer Mail erstellt.