Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Abuse-Message : Offene DNS-Resolver in AS24940

    Scheduled Pinned Locked Moved Deutsch
    9 Posts 4 Posters 1.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      caracush
      last edited by

      bin neu hier, meine PFSANSE Läuft soweit, allerdings bekomme ich seit neusten folgende Mails von meinem Hoster, welche sicherheitsmassnahmen muss ich ergreifen, ich finde einfach keine erklärung für dieses Problem:

      wir haben einen Sicherheitshinweis vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten. Bitte beachten Sie die Originalmeldung ganz unten.

      Sehr geehrte Damen und Herren,
      offene DNS-Resolver werden tglich zur Durchfhrung von DDoS-Reflection/Amplification-Angriffen gegen IT-Systeme Dritter missbraucht.

      Betroffene Systeme in Ihrem Netzbereich:
      Format: ASN | IP | Timestamp (UTC)
      24940 | xxx.xxx.xxx.xxx | 2019-11-19 02:28:49
      Wir mchten Sie bitten zu prfen, ob die offenen Resolver in Ihrem Netzbereich beabsichtigt als solche konfiguriert sind und falls ja, ob entsprechende Schutzmanahmen zur Verhinderung des Missbrauchs der Server fr DDoS-Reflection-Angriffe implementiert wurden.

      Was mache ich Falsch, wie löse ich das Problem!

      1 Reply Last reply Reply Quote 0
      • V
        viragomann
        last edited by

        Du wirst darauf hingewiesen, dass du einen DNS Server im Internet betreibst und wirst aufgefordert, diesen gegen DDoS-Angriffen zu schützen.

        Betreibst du diesen bewusst?
        Falls nicht, vermutlich hast du den DNS Resolver laufen, der auf pfSense Standard ist, gehe in dessen Konfiguration (Services > DNS Resolver > General Settings) und wähle bei "Network Interfaces" nur diejenigen internen Interfaces aus, die du benötigst.
        Vermutlich ist da All ausgewählt.

        1 Reply Last reply Reply Quote 1
        • JeGrJ
          JeGr LAYER 8 Moderator
          last edited by

          @viragomann said in Abuse-Message : Offene DNS-Resolver in AS24940:

          Vermutlich ist da All ausgewählt.

          Was auch völlig legitim ist. Wenn man die pfSense nach außen öffnet, sollte man wissen, was und warum man das tut. Und den DNS Resolver/Forwarder auf dem WAN zu erlauben gehört nicht zu den Dingen, die sinnvoll sind. Der Resolver ist kein DNS Server wie Bind, PowerDNS o.ä. und auch nicht dafür zu nutzen. Das Problem ist dann primär die Regel, nicht dass der Resolver per default auf jedes Interface hört (kann man natürlich auch eingrenzen, schafft aber dafür dann an anderer Stelle gern mal Probleme).

          Daher bitte mal prüfen, ob damit überhaupt die pfSense gemeint ist oder angeben ob du selbst nen DNS Server betreibst und diesen einfach nur schlecht konfiguriert hast. Aus der Mail selbst geht zumindest erstmal nicht hervor, ob das überhaupt ein Thema der pfSense ist.

          Grüße

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          V 1 Reply Last reply Reply Quote 0
          • V
            viragomann @JeGr
            last edited by

            @JeGr
            Ist "All" hier nicht der Defaultwert?

            Bei der Regel war ich mir nicht sicher, ob das Lauschen des Resolvers an einem Interface nicht automatisch den Port öffnet. Beim DHCP-Server ist das ja so, ohne dass eine Regel explizit dafür gesetzt wird.

            1 Reply Last reply Reply Quote 0
            • JeGrJ
              JeGr LAYER 8 Moderator
              last edited by JeGr

              @viragomann said in Abuse-Message : Offene DNS-Resolver in AS24940:

              Ist "All" hier nicht der Defaultwert?

              Doch absolut. Das Problem ist nur aus meiner Sicht nicht, dass - technisch - der DNS Resolver auf alles hört, sondern ob/das jemand den DNS vom WAN aus erreichbar macht. Wenn(!) sich die Mail überhaupt auf den DNS Resolver und die Firewall bezieht - denn das hat ja noch niemand bestätigt. Vielleicht betreibt der OP ja einen richtigen DNS Server hinter der Firewall (tun wir ja bspw. auch in 3-facher Ausführung) und die Abuse Mail bezieht sich darauf.

              Nur weil es in dem alten Topic um eben das oben angesprochene Problem ging (dass jemand fälschlich den DNS Resolver absichtlich über WAN erreichbar gemacht hat um quasi DNS Server zu spielen), heißt ja nicht, dass dies in diesem Fall wieder der Fall ist :)

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              I 1 Reply Last reply Reply Quote 0
              • I
                inciter @JeGr
                last edited by

                @JeGr said in Abuse-Message : Offene DNS-Resolver in AS24940:

                Vielleicht betreibt der OP ja einen richtigen DNS Server hinter der Firewall (tun wir ja bspw. auch in 3-facher Ausführung) und die Abuse Mail bezieht sich darauf.

                Nur zum Verständnis... Einen DNS im LAN zu betreiben ist ja nicht ungewöhnlich, z.B. bei Einsatz eines Domain Controllers. Aber müsste dann nicht auch der entsprechende Port (53) weitergeleitet werden?

                1 Reply Last reply Reply Quote 0
                • JeGrJ
                  JeGr LAYER 8 Moderator
                  last edited by

                  @inciter said in Abuse-Message : Offene DNS-Resolver in AS24940:

                  Nur zum Verständnis... Einen DNS im LAN zu betreiben ist ja nicht ungewöhnlich, z.B. bei Einsatz eines Domain Controllers. Aber müsste dann nicht auch der entsprechende Port (53) weitergeleitet werden?

                  Aber natürlich. Wenn du selbst einen DNS Server - wohlgemerkt einen richtigen DNS Server à la Bind, PowerDNS, etc. - betreibst und dieser nicht nur für dich intern funktionieren soll, sondern z.B. auch autoritativ für deine eigene Domain agieren soll, muss dieser natürlich mit tcp/53 und udp/53 von außen erreichbar sein. Keine Frage :)

                  Aber:

                  offene DNS-Resolver werden tglich zur Durchfhrung von DDoS-Reflection/Amplification-Angriffen gegen IT-Systeme Dritter missbraucht.

                  Es geht in der Meldung des BSI um den Punkt, dass ein DNS Resolver gefunden wurde, der offen ist für die "Welt" (alle) und der dazu falsch konfiguriert wurde bzw. ein Bug hat (DDoS Reflection Attack).

                  Da der Resolver Part normalerweise nur von intern erlaubt ist und ansonsten lediglich Abfragen von außen auf die public Domain(s) ist das kein Problem. Wie gesagt, wir betreiben selbst 3 Authoritative DNS Server die etliche hunderte Domains tragen. Überhaupt kein Ding. Aber solang man nicht weiß, ob nun ein DNS Server schuld ist, ob die pfSense mit DNS auf deren Resolver offen ist etc. etc. kann man nichts darüber sagen, was falsch oder warum die Meldung an den Benutzer kam :)

                  Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                  If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                  1 Reply Last reply Reply Quote 0
                  • C
                    caracush
                    last edited by

                    Sorry, das ich erst jetzt wieder dazu komme.
                    der DNS Resolver ist bei mir nicht aktiv. Nutze lediglich den DNS Forwarder. Habe jetzt das Port 53 für Anfragen von Außen Blokiert. Ich gleube ich habe einfach generell verständnis Probleme was wofür und wie genutz werden kann. Vielen Dank für die schnelle abhilfe.

                    1 Reply Last reply Reply Quote 0
                    • JeGrJ
                      JeGr LAYER 8 Moderator
                      last edited by

                      @caracush said in Abuse-Message : Offene DNS-Resolver in AS24940:

                      Nutze lediglich den DNS Forwarder. Habe jetzt das Port 53 für Anfragen von Außen Blokiert. Ich gleube ich habe einfach generell verständnis Probleme was wofür und wie genutz werden kann. Vielen Dank für die schnelle abhilfe.

                      Dann ist entweder der Report ein False-Positive, du hast irgendwo sonst noch einen DNS laufen der unter der monierten IP erreichbar ist oder was sehr schräges im DNS Forwarder eingestellt UND diesen zum WAN hin absichtlich geöffnet. Ansonsten müsstest du entweder eh alles zum WAN geöffnet haben (gravierender Sicherheitsmangel) damit DNS von extern überhaupt erreichbar ist. Das würde mich wundern. Genauso warum man vom WAN aus Zugriff auf den Forwarder/Resolver freigeben sollte. Hattest du das gemacht? Denn "explizit blocken" musst du auf dem WAN gar nichts, wenns nicht vorher geöffnet wurde?

                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.