Resolver anfällig für DDoS-Reflection-Angriffe
-
Grimson hat schon recht, der Resolver ist nicht für eingehende Requests gedacht.
Es gibt noch die Alternative bind direkt auf der pfSense zu installieren.
Würd ich persönlich jedoch nicht tun, da das ein Service ist der in die DMZ gehört und nicht auf den Router. -
wenn ich schon eine Security-Box baue - das will die PF ja sein - dann sollten die angebotenen Dienste schon sicher sein.
Man kauft ja auch keine Brötchen, von denen man gesagt bekommt, man dürfe sie weder aufschneiden noch belegen.
-
@trixters wenn du schon Beispiele an den Haaren herbei ziehst: Du kaufst keinen Bentley zum Rennen fahren und keinen Ferrari, wenn du es bequem magst.
DNS Resolver erfüllt den Zweck den es hat (DNS Auflösung für interne Hosts). Mir ist auch keine Enterprise Firewall bekannt, die einen Public DNS bereit stellen soll.
Please use the thumbs up button if you received a helpful advice. Thank you!
-
schön wie hier alle kronstruktive Lösungen anbieten ironie-out
-
@grimson said in Resolver anfällig für DDoS-Reflection-Angriffe:
Für einen öffentlichen DNS nimmt man ja auch nicht den Resolver sondern eine (ordentlich konfigurierte) VM mit Bind, bzw. einem alternativen vollwertigen DNS.
@gruensfroeschli said in Resolver anfällig für DDoS-Reflection-Angriffe:
Grimson hat schon recht, der Resolver ist nicht für eingehende Requests gedacht.
Es gibt noch die Alternative bind direkt auf der pfSense zu installieren.
Würd ich persönlich jedoch nicht tun, da das ein Service ist der in die DMZ gehört und nicht auf den Router.Da war zwei mal sehr konstruktive Kritik. Sogar mit Vorschlag, wie du das Thema besser lösen kannst.
Denke das war es dann auch mit Antworten hier. -
Konstruktiv wäre gewesen folgendes zu berücksichtigen:
also eine tatsächlich ohne risiko nutzbare version des Resolvers scheint es also nicht zu geben?
auch kann man diesen scheinbar nicht gegen DDoS-Reflection-Angriffe absichern?schön, dann schreibt das doch gleich ins Frontend - "Dies ist keine produktiv nutzbare Software!"
Verstehe wirklich nicht wie man einen unsicheren Dienst in eine Security-Appliance packen kann.
Zusammengefasst: nehmt keine PF sondern sucht euch was anderes ?
Das kann doch das bestreben nicht sein !
Arbeitet denn keiner am Resolver, um solche Lücken zu beheben ? -
Technische Grundlage:
https://unix.stackexchange.com/questions/24383/what-is-a-recursive-dns-query
Gute Anwort von CMB vor 6 Jahren
https://forum.netgate.com/post/368623Das Problem liegt nicht an der pfSense oder dem DNS Resolver, sondern wie du das Feature benutzen willst.
DNS Resolver gegen das Internet offen => broken by design.Zusammengefasst: nehmt keine PF sondern sucht euch was anderes ?
Das kann doch das bestreben nicht sein !
Arbeitet denn keiner am Resolver, um solche Lücken zu beheben ?Es gibt keine Lücke in DNS Resolver zu beheben, da keine existiert.
Die Lücke die existiert ist die Fehlkonfiguration in der Firewall welche den Zugang auf Port 53 von ausser her zulässt.Falls du mit dieser Anwort nicht umgehen kannst oder willst:
Viel Spass beim eine andere Lösung finden. -
Netgate-Info zum Resolver
"Unbound is a validating, recursive and caching DNS resolver. It provides various modules so that DNSSEC (secure DNS) validation and stub-resolvers are possible.
On pfSense 2.2, Unbound has been integrated into the base system. Unbound is also the default DNS Resolver for new installations.
This page covers usage of Unbound in the base system of pfSense 2.2 and later."
Kein Wort davon, dass man den Dienst nicht im offenen Internet nutzen sollte - vielleicht wäre hier ein Hinweis angebracht?
-
@trixters said in Resolver anfällig für DDoS-Reflection-Angriffe:
Unbound is a validating, recursive and caching DNS resolver.
Da steht das es ein Resolver ist, und mit keinem Wort etwas von authorative dns server.
Es ist nicht Netgates Aufgabe den Usern die Grundlagen von DNS beizubringen.
-
@gruensfroeschli das Antworten hat hier wohl keinen Sinn mehr.
Ich betreue übrigens beruflich Firewall Systeme im Wert von Mehrfamilienhäusern von bekannten Herstellern (Checkpoint, Juniper, Sophos und SonicWall). Manche davon haben auch eine Art DNS Resolver. Jedoch schreibt keiner davon in seinen Aleitungen, dass man es nicht extern nutzen darf. Aber manche Leute stecken auch die Katze in die Mikrowelle, wenn es nicht in der Anleitung verboten ist.
-
@bepo said in Resolver anfällig für DDoS-Reflection-Angriffe:
Mir ist auch keine Enterprise Firewall bekannt, die einen Public DNS bereit stellen soll.
@bepo said in Resolver anfällig für DDoS-Reflection-Angriffe:
Manche davon haben auch eine Art DNS Resolver. Jedoch schreibt keiner davon in seinen Aleitungen, dass man es nicht extern nutzen darf.
Eben, was ich im trusted-Bereich mache ist doch etwas ganz anderes, als das, was ich public/untrusted machen würde.
Ein öffentlich erreichbarer DNS Server ist halt ein Bastion Host in einer DMZ und kein Bestandteil der Firewall. Auch oder besonders dann nicht, wenn diese die Funktionen ganz oder teilweise abbilden könnte. -
Ich bekomme ebenfalls diese Mails, ausser das man den Zugang auf das Port 53 von aussen nicht zulassen darf habe ich keinen wirkliche erklärung elesen können.
-
Das Thema hier ist zwar durch, aber wenn du so eine Mail bekommen hast, dann prüfe, auf was es sich bezieht und ob/was du da tatsächlich offen hast. Wie schon mehrfach beschrieben in dem Thread: ein lokaler Service zum Bündeln von DNS Anfragen (also Forwarder oder Resolver) ist kein DNS Server, den man offen ins Internet pflanzt und hat ergo mit offenem Port nach draußen nichts zu suchen. Solltest du also auf die Sense auf deinen DNS Pakete zulassen, bist du für die Meldung verantwortlich und solltest tunlichst die Regel, die das erlaubt abschalten.
Edit: geschlossen, da neuer Thread zu neuer Mail erstellt.
