Abuse-Message : Offene DNS-Resolver in AS24940



  • bin neu hier, meine PFSANSE Läuft soweit, allerdings bekomme ich seit neusten folgende Mails von meinem Hoster, welche sicherheitsmassnahmen muss ich ergreifen, ich finde einfach keine erklärung für dieses Problem:

    wir haben einen Sicherheitshinweis vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten. Bitte beachten Sie die Originalmeldung ganz unten.

    Sehr geehrte Damen und Herren,
    offene DNS-Resolver werden tglich zur Durchfhrung von DDoS-Reflection/Amplification-Angriffen gegen IT-Systeme Dritter missbraucht.

    Betroffene Systeme in Ihrem Netzbereich:
    Format: ASN | IP | Timestamp (UTC)
    24940 | xxx.xxx.xxx.xxx | 2019-11-19 02:28:49
    Wir mchten Sie bitten zu prfen, ob die offenen Resolver in Ihrem Netzbereich beabsichtigt als solche konfiguriert sind und falls ja, ob entsprechende Schutzmanahmen zur Verhinderung des Missbrauchs der Server fr DDoS-Reflection-Angriffe implementiert wurden.

    Was mache ich Falsch, wie löse ich das Problem!



  • Du wirst darauf hingewiesen, dass du einen DNS Server im Internet betreibst und wirst aufgefordert, diesen gegen DDoS-Angriffen zu schützen.

    Betreibst du diesen bewusst?
    Falls nicht, vermutlich hast du den DNS Resolver laufen, der auf pfSense Standard ist, gehe in dessen Konfiguration (Services > DNS Resolver > General Settings) und wähle bei "Network Interfaces" nur diejenigen internen Interfaces aus, die du benötigst.
    Vermutlich ist da All ausgewählt.


  • LAYER 8 Moderator

    @viragomann said in Abuse-Message : Offene DNS-Resolver in AS24940:

    Vermutlich ist da All ausgewählt.

    Was auch völlig legitim ist. Wenn man die pfSense nach außen öffnet, sollte man wissen, was und warum man das tut. Und den DNS Resolver/Forwarder auf dem WAN zu erlauben gehört nicht zu den Dingen, die sinnvoll sind. Der Resolver ist kein DNS Server wie Bind, PowerDNS o.ä. und auch nicht dafür zu nutzen. Das Problem ist dann primär die Regel, nicht dass der Resolver per default auf jedes Interface hört (kann man natürlich auch eingrenzen, schafft aber dafür dann an anderer Stelle gern mal Probleme).

    Daher bitte mal prüfen, ob damit überhaupt die pfSense gemeint ist oder angeben ob du selbst nen DNS Server betreibst und diesen einfach nur schlecht konfiguriert hast. Aus der Mail selbst geht zumindest erstmal nicht hervor, ob das überhaupt ein Thema der pfSense ist.

    Grüße



  • @JeGr
    Ist "All" hier nicht der Defaultwert?

    Bei der Regel war ich mir nicht sicher, ob das Lauschen des Resolvers an einem Interface nicht automatisch den Port öffnet. Beim DHCP-Server ist das ja so, ohne dass eine Regel explizit dafür gesetzt wird.


  • LAYER 8 Moderator

    @viragomann said in Abuse-Message : Offene DNS-Resolver in AS24940:

    Ist "All" hier nicht der Defaultwert?

    Doch absolut. Das Problem ist nur aus meiner Sicht nicht, dass - technisch - der DNS Resolver auf alles hört, sondern ob/das jemand den DNS vom WAN aus erreichbar macht. Wenn(!) sich die Mail überhaupt auf den DNS Resolver und die Firewall bezieht - denn das hat ja noch niemand bestätigt. Vielleicht betreibt der OP ja einen richtigen DNS Server hinter der Firewall (tun wir ja bspw. auch in 3-facher Ausführung) und die Abuse Mail bezieht sich darauf.

    Nur weil es in dem alten Topic um eben das oben angesprochene Problem ging (dass jemand fälschlich den DNS Resolver absichtlich über WAN erreichbar gemacht hat um quasi DNS Server zu spielen), heißt ja nicht, dass dies in diesem Fall wieder der Fall ist :)



  • @JeGr said in Abuse-Message : Offene DNS-Resolver in AS24940:

    Vielleicht betreibt der OP ja einen richtigen DNS Server hinter der Firewall (tun wir ja bspw. auch in 3-facher Ausführung) und die Abuse Mail bezieht sich darauf.

    Nur zum Verständnis... Einen DNS im LAN zu betreiben ist ja nicht ungewöhnlich, z.B. bei Einsatz eines Domain Controllers. Aber müsste dann nicht auch der entsprechende Port (53) weitergeleitet werden?


  • LAYER 8 Moderator

    @inciter said in Abuse-Message : Offene DNS-Resolver in AS24940:

    Nur zum Verständnis... Einen DNS im LAN zu betreiben ist ja nicht ungewöhnlich, z.B. bei Einsatz eines Domain Controllers. Aber müsste dann nicht auch der entsprechende Port (53) weitergeleitet werden?

    Aber natürlich. Wenn du selbst einen DNS Server - wohlgemerkt einen richtigen DNS Server à la Bind, PowerDNS, etc. - betreibst und dieser nicht nur für dich intern funktionieren soll, sondern z.B. auch autoritativ für deine eigene Domain agieren soll, muss dieser natürlich mit tcp/53 und udp/53 von außen erreichbar sein. Keine Frage :)

    Aber:

    offene DNS-Resolver werden tglich zur Durchfhrung von DDoS-Reflection/Amplification-Angriffen gegen IT-Systeme Dritter missbraucht.

    Es geht in der Meldung des BSI um den Punkt, dass ein DNS Resolver gefunden wurde, der offen ist für die "Welt" (alle) und der dazu falsch konfiguriert wurde bzw. ein Bug hat (DDoS Reflection Attack).

    Da der Resolver Part normalerweise nur von intern erlaubt ist und ansonsten lediglich Abfragen von außen auf die public Domain(s) ist das kein Problem. Wie gesagt, wir betreiben selbst 3 Authoritative DNS Server die etliche hunderte Domains tragen. Überhaupt kein Ding. Aber solang man nicht weiß, ob nun ein DNS Server schuld ist, ob die pfSense mit DNS auf deren Resolver offen ist etc. etc. kann man nichts darüber sagen, was falsch oder warum die Meldung an den Benutzer kam :)



  • Sorry, das ich erst jetzt wieder dazu komme.
    der DNS Resolver ist bei mir nicht aktiv. Nutze lediglich den DNS Forwarder. Habe jetzt das Port 53 für Anfragen von Außen Blokiert. Ich gleube ich habe einfach generell verständnis Probleme was wofür und wie genutz werden kann. Vielen Dank für die schnelle abhilfe.


  • LAYER 8 Moderator

    @caracush said in Abuse-Message : Offene DNS-Resolver in AS24940:

    Nutze lediglich den DNS Forwarder. Habe jetzt das Port 53 für Anfragen von Außen Blokiert. Ich gleube ich habe einfach generell verständnis Probleme was wofür und wie genutz werden kann. Vielen Dank für die schnelle abhilfe.

    Dann ist entweder der Report ein False-Positive, du hast irgendwo sonst noch einen DNS laufen der unter der monierten IP erreichbar ist oder was sehr schräges im DNS Forwarder eingestellt UND diesen zum WAN hin absichtlich geöffnet. Ansonsten müsstest du entweder eh alles zum WAN geöffnet haben (gravierender Sicherheitsmangel) damit DNS von extern überhaupt erreichbar ist. Das würde mich wundern. Genauso warum man vom WAN aus Zugriff auf den Forwarder/Resolver freigeben sollte. Hattest du das gemacht? Denn "explizit blocken" musst du auf dem WAN gar nichts, wenns nicht vorher geöffnet wurde?


Log in to reply