Resolver anfällig für DDoS-Reflection-Angriffe



  • Resolver anfällig,

    Mich erreicht gerade eine Mail :

    Liebe Kolleginnen und Kollegen,

    wir erhielten vom CERT-Bund die nachstehende Meldung zu Systemen ihrer
    Einrichtung, die an DDoS-Reflection-Angriffen teilgenommen haben.

    Bitte prüfen Sie den Sachverhalt und treffen geeignete Gegenmaßnahmen.
    Informationen finden Sie unter anderem beim BSI.

    Die Liste der betroffenen Systeme entnehmen Sie bitte der angehängten Datei
    im Format:

    Format: ASN | IP address | Timestamp (UTC) | Service

    Wir bearbeiten diesen Vorfall unter der Nummer im Betreff und stehen Ihnen
    für Nachfragen gerne zur Verfügung.

    Da der Resolver Subdomains auflöst, kann der nicht mal eben so vom Netz - sonst würden DNS-Namen von Servern nicht mehr korrekt aufgelöst und die Dienste damit unbrauchbar.



  • Für einen öffentlichen DNS nimmt man ja auch nicht den Resolver sondern eine (ordentlich konfigurierte) VM mit Bind, bzw. einem alternativen vollwertigen DNS.



  • Hast du auch konstruktive Beiträge ?
    Man kann sich auch ne ASA kaufen, aber die ist hier eben nicht Thema.



  • Grimson hat schon recht, der Resolver ist nicht für eingehende Requests gedacht.

    Es gibt noch die Alternative bind direkt auf der pfSense zu installieren.
    Würd ich persönlich jedoch nicht tun, da das ein Service ist der in die DMZ gehört und nicht auf den Router.



  • wenn ich schon eine Security-Box baue - das will die PF ja sein - dann sollten die angebotenen Dienste schon sicher sein.

    Man kauft ja auch keine Brötchen, von denen man gesagt bekommt, man dürfe sie weder aufschneiden noch belegen.



  • @trixters wenn du schon Beispiele an den Haaren herbei ziehst: Du kaufst keinen Bentley zum Rennen fahren und keinen Ferrari, wenn du es bequem magst.

    DNS Resolver erfüllt den Zweck den es hat (DNS Auflösung für interne Hosts). Mir ist auch keine Enterprise Firewall bekannt, die einen Public DNS bereit stellen soll.



  • schön wie hier alle kronstruktive Lösungen anbieten ironie-out



  • @grimson said in Resolver anfällig für DDoS-Reflection-Angriffe:

    Für einen öffentlichen DNS nimmt man ja auch nicht den Resolver sondern eine (ordentlich konfigurierte) VM mit Bind, bzw. einem alternativen vollwertigen DNS.

    @gruensfroeschli said in Resolver anfällig für DDoS-Reflection-Angriffe:

    Grimson hat schon recht, der Resolver ist nicht für eingehende Requests gedacht.

    Es gibt noch die Alternative bind direkt auf der pfSense zu installieren.
    Würd ich persönlich jedoch nicht tun, da das ein Service ist der in die DMZ gehört und nicht auf den Router.

    Da war zwei mal sehr konstruktive Kritik. Sogar mit Vorschlag, wie du das Thema besser lösen kannst.
    Denke das war es dann auch mit Antworten hier.



  • Konstruktiv wäre gewesen folgendes zu berücksichtigen:

    also eine tatsächlich ohne risiko nutzbare version des Resolvers scheint es also nicht zu geben?
    auch kann man diesen scheinbar nicht gegen DDoS-Reflection-Angriffe absichern?

    schön, dann schreibt das doch gleich ins Frontend - "Dies ist keine produktiv nutzbare Software!"

    Verstehe wirklich nicht wie man einen unsicheren Dienst in eine Security-Appliance packen kann.

    Zusammengefasst: nehmt keine PF sondern sucht euch was anderes ?
    Das kann doch das bestreben nicht sein !
    Arbeitet denn keiner am Resolver, um solche Lücken zu beheben ?



  • Technische Grundlage:
    https://unix.stackexchange.com/questions/24383/what-is-a-recursive-dns-query
    Gute Anwort von CMB vor 6 Jahren
    https://forum.netgate.com/post/368623

    Das Problem liegt nicht an der pfSense oder dem DNS Resolver, sondern wie du das Feature benutzen willst.
    DNS Resolver gegen das Internet offen => broken by design.

    Zusammengefasst: nehmt keine PF sondern sucht euch was anderes ?
    Das kann doch das bestreben nicht sein !
    Arbeitet denn keiner am Resolver, um solche Lücken zu beheben ?

    Es gibt keine Lücke in DNS Resolver zu beheben, da keine existiert.
    Die Lücke die existiert ist die Fehlkonfiguration in der Firewall welche den Zugang auf Port 53 von ausser her zulässt.

    Falls du mit dieser Anwort nicht umgehen kannst oder willst:
    Viel Spass beim eine andere Lösung finden.



  • Netgate-Info zum Resolver

    "Unbound is a validating, recursive and caching DNS resolver. It provides various modules so that DNSSEC (secure DNS) validation and stub-resolvers are possible.

    On pfSense 2.2, Unbound has been integrated into the base system. Unbound is also the default DNS Resolver for new installations.

    This page covers usage of Unbound in the base system of pfSense 2.2 and later."

    Kein Wort davon, dass man den Dienst nicht im offenen Internet nutzen sollte - vielleicht wäre hier ein Hinweis angebracht?



  • @trixters said in Resolver anfällig für DDoS-Reflection-Angriffe:

    Unbound is a validating, recursive and caching DNS resolver.

    Da steht das es ein Resolver ist, und mit keinem Wort etwas von authorative dns server.

    Es ist nicht Netgates Aufgabe den Usern die Grundlagen von DNS beizubringen.



  • @gruensfroeschli das Antworten hat hier wohl keinen Sinn mehr.

    Ich betreue übrigens beruflich Firewall Systeme im Wert von Mehrfamilienhäusern von bekannten Herstellern (Checkpoint, Juniper, Sophos und SonicWall). Manche davon haben auch eine Art DNS Resolver. Jedoch schreibt keiner davon in seinen Aleitungen, dass man es nicht extern nutzen darf. Aber manche Leute stecken auch die Katze in die Mikrowelle, wenn es nicht in der Anleitung verboten ist.



  • @bepo said in Resolver anfällig für DDoS-Reflection-Angriffe:

    Mir ist auch keine Enterprise Firewall bekannt, die einen Public DNS bereit stellen soll.

    @bepo said in Resolver anfällig für DDoS-Reflection-Angriffe:

    Manche davon haben auch eine Art DNS Resolver. Jedoch schreibt keiner davon in seinen Aleitungen, dass man es nicht extern nutzen darf.

    Eben, was ich im trusted-Bereich mache ist doch etwas ganz anderes, als das, was ich public/untrusted machen würde.
    Ein öffentlich erreichbarer DNS Server ist halt ein Bastion Host in einer DMZ und kein Bestandteil der Firewall. Auch oder besonders dann nicht, wenn diese die Funktionen ganz oder teilweise abbilden könnte.