Neuradni T-2 forum

Vnovič je opazno povečano število ojačitvenih DDoS napadov preko DNS infrastrukture... Uporabnikom (pa ne le T-2, temveč VSEM) toplo priporočam, da ustrezno zaščitijo svoje DNS resolverje pred zlorabami!

Če imaš vpisan DNS od T-2 potem ni težav?

T-2 DNS resolverji razrešujejo zahtevke le za T-2 naročnike (oz. za tiste v T-2 omrežju). Problemi so ponavadi sledečega izvora:

1. NEUSTREZNO NASTAVLJENI USMERJEVALNIKI STRANK

Nekateri DSL in kabelski usmerjevalniki imajo privzeto nastavitev
vklopljenega DNS strežnika, čeprav tega stranka ne potrebujejo, saj
uporabljajo DNS strežnike operaterja. Vsem tem strankam se lahko svetuje
izklop DNS strežnika na usmerjevalniku.

2. AVTORITATIVNI STREŽNIKI ZA DOMENE STRANK

Kadar naročnik za svoje domene upravlja z lastnimi DNS strežniki, morajo
ti biti seveda dostopni od povsod. Če pa upravitelj na istem strežniku
vklopi še možnost rekurzivnih poizvedb, potem lahko nevede omogoči
napadalcem uporabo strežnika za posredne napade. Če strežnik to dovoljuje,
naj naročnik omeji rekurzivne poizvedbe na svoja lokalna omrežja (ISC
BIND to omogoča, Microsoft Windows Server pa žal ne), sicer pa naj omeji
dostop do porta 53 od zunaj. Alternativno lahko izklopi možnost rekurzivnih
poizvedb in uporablja strežnik svojega ponudnika (torej vašega).

3. NAMENOMA ODPRTI REKURZIVNI DNS STREŽNIKI

Nekateri DNS strežniki so namenoma odprti celotnim omrežjem. Nekateri
ponudniki tako ponujajo storitve (OpenDNS ali Google Public DNS), vsi pa
svojim naročnikom ponujajo DNS strežnike za normalno delo na internetu.
Če gre za odprt strežnik, ki je pod vašim upravljanjem, potem razmislite,
ali lahko omejite dostop do njega za omrežja pod vašim nadzorom. Dodatno
lahko uvedete rate-limiting za DNS poizvedbe.

Evo, če koga zanima kaj o varnosti in napadih: http://www.cert.si/fileadmin/slike/si-c ... o_2012.pdf

Kodo za preverjanje odprtih DNS resolverjev sem malce posodobil, sedaj izriše veselega ali žalostnega smeškota, odvisno od odprtosti resolverja - hkrati pa izpiše besedilo v angleščini
edit: dodano še preverjanje verzije DNS servisa ter navodila za odpravo ranljivosti v primeru odprtega resolverja - zdaj pa rečte, če nism dobr ko kruh!

Skripta za testiranje odprtih DNS razreševalnih strežnikov se nahaja na naslovu http://www.rula.net/dnscheck.php

NoName dober si kot kremšnita

Strani so polne opozoril glede omenjenih napadov in če izvzamem nekaj jedrnatih izjem za tiste uporabnike, ki poganjajo svoj lastni dns strežnik, konkretnih navodil za laične uporabnike nihče ni bil zmožen sestaviti. Težave oz. način razreševanja težav se nekoliko razlikuje glede na proizvajalca in tip usmerjevalnika. V principu naj bi šlo za omejevanje ali bolje, "speljevanje" morebitnega napada na portu 53 na neobstoječo napravo na lokalnem omrežju, torej neuporabljen ip naslov (naj me kdo popravi, če pišem netočnosti).

Usmerjevalniki naj bi že po osnovnih nastavitvah take poizvedbe preprečevali. Problem nastane, ko omenjena privzeta nastavitev pri usmerjevalniku ne deluje. V tem primeru je posodobitev programske opreme (firmware) naprave prvi ukrep. V kolikor to ne pomaga, sledi urejanje dodatnih nastavitev usmerjevalnika. Tu se je v mojem primeru zataknilo. Kot kaže pri usmerjevalniku D-Link DIR-100 nastavitev (DNS relay) nima efekta, zato sem po predlogu tehnične službe iz T-2 poizkusil z nastavitvami DNS prometa. Na dva načina, vendar brez uspeha. Najprej v oddelku "port forwarding", nato pa še v "firewall settings". V obeh primerih je šlo za odobritev DNS prometa na portu 53, protokol UDP, na neobstoječ ip naslov v LAN omrežju.

S skripto, ki jo je uredil NoName, si ne morem pomagati, saj do interneta lahko dostopam le preko modema ponudnika - v tem primeru je algoritem skripte jasno, zadovoljen. Takoj ko vmes povežem usmerjevalnik, dostop do interneta več ne deluje. Očitno ga T-2 omrežje prepozna kot odprt nenadzorovan DNS resolver, ki ogroža varnost. Sicer je delovanje usmerjevalnika normalno - znotraj omrežja zazna vse naprave in preko njega vidim AP točko (drug usmerjevalnik) za brezžični dostop. Ali je možno, da se okvara nahaja zgolj na tistem delu opreme, ki komunicira z zunanjim WAN prometom, na LAN pa brezhibno deluje in se tolčem po glavi zaradi praktično neuporabnega routerja?

Če je komu uspelo z D-Linkom, bi bilo lepo prebrati kakšen podrobnejši nasvet. Sicer pa razmišljam o zamenjavi naprave.


edit: popravljena napačna raba izraza (človek se potrudi pri rabi slovenskega jezika in useka mimo kar vseh 8 od osmih) na katero je opozoril Skorc (glej pripombo spodaj)

Samo ena pripomba: Usmernik je naprava, ki pretvori izmenično napetost v enosmerno. V tvojem prispevku bi moral zapisati usmerjevalnik. Slednji loči, omejuje, preusmerja, ... promet med računalniškimi omrežji.

Načeloma routerji nimajo odprtega resolverja na ven, vsaj ne da bi poznal kakšnega - tako da za domače uporabnike je tukaj skrb malo odveč. T-2 omrežje nič ne blokira tvojega routerja kot "ogrožanje varnosti", k večjemu si pokurali vse IP naslove ki so ti na voljo.

Sicer pa.. kaj točno si ti delal ker izgleda ste v sodelovanju s helpdeskom (so tudi biserji tam) veselo pokvaril nastavitve routerja. Za dns resolvanje za routerjem ti ni potrebno nikakršnih portov forwardat nikamor.

@OmegaBlue: govoril sem z oddelkom dns@t-2.net. Tistih nastavitev ni težko postaviti nazav v "default". Ampak tudi če jih, dostop ostaja blokiran. Sicer pa kot praviš, "Načeloma routerji nimajo odprtega resolverja na ven", tudi pri D-Linku so nekaj delali na tem http://tsd.dlink.com.tw/temp/PMD/7043/D ... 20note.pdf. Kljub temu se zadeva nikamor ne premakne.

Aja, za priključek je dodeljen statični IP. Je pa res, da se po novem (ne vem od kdaj) do dva IP-ja dodelita tudi dinamično. To sem ugotovil potem, ko sem dostopal neposredno preko modema in mi ni šlo v glavo, zakaj ni več potrebno določiti ip, gateway in dns naslovov v omrežnih nastavitvah domačega računalnika. Sicer o spremembah glede dodeljevanja ip naslovov na priključku nismo bili obveščeni.

Tole je že od nekdaj tako, tudi če imaš statitko, ti vseeno strežnik lahko dodeli do dva ipja.

@OmegaBlue, ne le, da imajo nekateri usmerjevalniki odprt DNS resolver 'navzven', nekateri celo pošiljajo DNS requeste z - beri in piši - UDP vrat 0 (Draytek), tretji pošiljajo DNS zahtevke z enega in istega UDP porta (1024 ali kaj podobnega), četrti ne spreminjajo Transaction ID-ja, kar lahko nek zlobnež, s pomočjo nekaj znanja, izkoristi za DNS cache poisoning... Skratka, zaradi površnih implementacij tako kritičnega protokola Interneta pri nekaterih vendorjih je velik problem na medmrežju...

@PetavTrnu, torej, če prav razumem, tvoj D-Link DIR-100 še vedno veselo razrešuje zunanje DNS zahtevke, čeprav v release notes-ih za eno verzijo firmwarea prav lepo piše, da so napako odpravili. Svetujem ti, da še enkrat namestiš programsko opremo, *pred* in *po* namestitvi pa ponastaviš usmerjevalnik na tovarniške nastavitve (factory defaults), morebiti je šlo kaj po zlu med samo namestitvijo.. Če načrtuješ menjavo usmerjevalnika, gre moj glas za Mikrotik opremo, odvisno od zahtev... RB951 ali kaj podobnega, ki te ranljivosti nima, je pa malce bolj 'advanced' zadeva... Cena je pa tudi dokaj ugodna.

Ok, bolj malo imam zadnje čase opravka s kinderjajček opremo, nisem vedel da je situacija toliko v kurcu