Open-Resolver schliessen



Ähnliche Dokumente
UserManual. Handbuch zur Konfiguration einer FRITZ!Box. Autor: Version: Hansruedi Steiner 2.0, November 2014

Anleitung zum Einrichten Ihres NeckarCom DSL Routers

Einstellungen im Internet-Explorer (IE) (Stand 11/2013) für die Arbeit mit IOS2000 und DIALOG

Nutzung der VDI Umgebung

ELV Elektronik AG Leer Tel.:+49-(0)491/ Fax:+49-(0)491/7016 Seite 1 von 10

(Hinweis: Dieses ist eine Beispielanleitung anhand vom T-Sinus 154 Komfort, T-Sinus 154 DSL/DSL Basic (SE) ist identisch)

Anleitung zur Einrichtung Ihres PPPoE-Zugangs mit einer AVM FritzBox 7390 Inhalt

Anleitung zur Konfiguration eines NO-IP DynDNS-Accounts mit der TOOLBOXflex-3.2

Handbuch Synology-Server Einrichten / Firewall

Windows 2008R2 Server im Datennetz der LUH

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

1. Installation der Hardware

Schritt-für-Schritt-Anleitung So verschlüsseln Sie Ihr -Konto in Windows Live Mail

a.i.o. control AIO GATEWAY Einrichtung

Anleitung zum Login. über die Mediteam- Homepage und zur Pflege von Praxisnachrichten

Anleitungen zum Publizieren Ihrer Homepage

-Bundle auf Ihrem virtuellen Server installieren.

Novell Client. Anleitung. zur Verfügung gestellt durch: ZID Dezentrale Systeme. Februar ZID Dezentrale Systeme

Fax einrichten auf Windows XP-PC

Netzwerk-Migration. Netzwerk-Migration IACBOX.COM. Version Deutsch

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

Abwesenheitsnotiz im Exchange Server 2010

1 von :04

Urlaubsregel in David

Einrichten der Fritz Box für JOBST DSL

SMS4OL Administrationshandbuch

FTP-Server einrichten mit automatischem Datenupload für

Kurzanleitung. MEYTON Aufbau einer Internetverbindung. 1 Von 11

Abwesenheitsnotiz im Exchangeserver 2010

Diese Anleitung enthält Anweisungen, die nur durch erfahrene Anwender durchgeführt werden sollten!

Windows Server 2012 RC2 konfigurieren

Meldung Lokale Anwendung inkompatibel oder Microsoft Silverlight ist nicht aktuell bei Anmeldung an lokal gespeicherter RWE SmartHome Anwendung

Einleitung. Hinweise zur Kompatibilität: Vorbereitung. Konfiguration des DSL-320T / DSL-380T unter Mac OS X

INDEX. Öffentliche Ordner erstellen Seite 2. Offline verfügbar einrichten Seite 3. Berechtigungen setzen Seite 7. Öffentliche Ordner Offline

Los geht s. aber Anhand meines Beispiels!

Um die Installation zu starten, klicken Sie auf den Downloadlink in Ihrer (Zugangsdaten für Ihre Bestellung vom...)

Technical Note ewon über DSL & VPN mit einander verbinden

Internet- Installationsanleitung für Zyxel 660R / 660H / 660HW

Das Benutzer- Handbuch. Installation Fritz- Box

Installationsanleitung DSL Business Standleitung unter Windows 7

Hilfestellung. ALL500VDSL2 Rev.B & ALL02400N. Zugriff aus dem Internet / Portweiterleitung / Fernwartung. Router. Endgeräte. lokales.

Installationsanleitung Einrichtung PPPoE Zugang FRITZ!Box 7390

Lieber SPAMRobin -Kunde!

Anleitung zur Einrichtung des WDS / WDS with AP Modus

Anleitung zur Einrichtung Ihres PPPoE-Zugangs mit einer AVM FritzBox 7270 Inhalt

Tutorial -

GGAweb - WLAN Router Installationsanleitung Zyxel NBG 6616

Netzwerkeinstellungen unter Mac OS X

FritzCall.CoCPit Schnelleinrichtung

1 Einleitung. Lernziele. automatische Antworten bei Abwesenheit senden. Einstellungen für automatische Antworten Lerndauer. 4 Minuten.

Outlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang

Stecken Sie Ihren USB Stick oder Ihre externe USB Festplatte in den USB Steckplatz des Sinus 154 DSL SE.

Klicken Sie mit einem Doppelklick auf das Symbol Arbeitsplatz auf Ihrem Desktop. Es öffnet sich das folgende Fenster.

Anleitung Grundsetup C3 Mail & SMS Gateway V

Einrichten eines IMAP Kontos unter Outlook Express

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Installationsanleitung adsl Einwahl unter Windows 8

Um zu prüfen welche Version auf dem betroffenen Client enthalten ist, gehen Sie bitte wie folgt vor:

Anleitung: WLAN-Zugang unter Windows 8 - eduroam. Schritt 1

Anleitung OpenCms 8 Webformular Auswertung

Massenversand Dorfstrasse 143 CH Kilchberg Telefon 01 / Telefax 01 / info@hp-engineering.com

Kabellos surfen mit Ihrem D-Link DIR-615

1. Zugriff des Autostarts als Dienst auf eine Freigabe im Netz

Umstellung einer bestehenden T-Online Mailadresse auf eine kostenlose T-Online Fre -Adresse

Anleitung zum DKM-Computercheck Windows Defender aktivieren

Anleitung zur Erstellung einer Batchdatei. - für das automatisierte Verbinden mit Netzlaufwerken beim Systemstart -

START - SYSTEMSTEUERUNG - SYSTEM - REMOTE

Applikationsbeispiel für VPN Verbindung mit dem ZR150G und Net-Net Router

Funknetz HG. Konto: BLZ: UST-ID: DE Wolff A. Ehrhardt Eppsteiner Str. 2B Oberursel

OWA Benutzerhandbuch. Benutzerhandbuch Outlook Web App 2010

Internationales Altkatholisches Laienforum

Aufruf der Weboberflache des HPM- Warmepumpenmanagers aus dem Internet TIPPS

7 Tipps und Tricks für Ihren Einstieg

Inhalt: Ihre persönliche Sedcard... 1 Login... 1 Passwort vergessen... 2 Profildaten bearbeiten... 3

Virtual Channel installieren

Schritt-für-Schritt-Anleitung So verschlüsseln Sie Ihr -Konto in Outlook 2003

Anlegen eines virtuellen http Server unter Exchange 2003 mittels HOSTNAME

Was man mit dem Computer alles machen kann

ARCO Software - Anleitung zur Umstellung der MWSt

Installationsanleitung. Installieren Sie an PC1 CESIO-Ladedaten einschl. dem Firebird Datenbankserver, wie in der Anleitung beschrieben.

Manuelle Konfiguration einer DFÜ-Verbindung unter Mac OS 9.2

INTERNETZUGANG WLAN-ROUTER ANLEITUNG INSTALLATION SIEMENS GIGASET

Konfiguration eines DNS-Servers

FuxMedia Programm im Netzwerk einrichten am Beispiel von Windows 7

1 Mit einem Convision Videoserver über DSL oder ISDN Router ins Internet

1. Der Router ist nicht erreichbar Lösungsansatz: IP Adresse des Routers überprüfen ( entweder irgendwo auf dem Gerät aufgeklebt oder im Handbuch )

Kurzanleitung zur Nutzung von BITel >FHdD HotSpots< Die BITel >FHdD HotSpots< stellen einen Standard WLAN-Zugang (802.11b/g) zur Verfügung.

Installationsanleitung

Anleitung zum BW-Bank Computer-Check Windows-Firewall aktivieren

ASA Schnittstelle zu Endian Firewall Hotspot aktivieren. Konfiguration ASA jhotel

Virtual Private Network

Anleitung RS232-Aufbau

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung

Schritt-für-Schritt-Anleitung So verschlüsseln Sie Ihr -Konto in Outlook 2010

Netzlaufwerke der Domäne von zu Hause/extern verbinden

Anleitung: Einrichtung der Fritz!Box 7272 mit VoIP Telefonanschluss

Windows 2008 Server im Datennetz der LUH

Einrichtung einer VPN-Verbindung (PPTP) unter Windows XP

DVG-2001S. Kurzinstallationsanleitung

Bitte beachten Sie. Nur für Kabelmodem! - 1 -

Transkript:

Open-Resolver schliessen Kunde/Projekt: CCC Version/Datum: 1.1 6.11.2013 Autor/Autoren: green.ch Autoren Team Seite 1/11

1 Inhaltsverzeichnis 1 Inhaltsverzeichnis... 2 2 Allgemeine Bemerkungen... 3 2.1 Zweck dieses Dokuments... 3 2.2 Wie funktioniert eine DNS Amplification Attacke?... 3 2.3 Gegenmassnahmen... 4 2.3.1 Was sind PC-Zombies und wie schützt man seinen PC... 4 2.3.2 Open Resolver deaktiveren... 4 2.3.3 Server oder DNS Anschluss prüfen... 5 3 Open Resolver schliessen... 6 3.1 DSL Modem/Router... 6 3.1.1 Open Resolver bei Zyxel P660 schliessen (Bei anderen Zyxel Geräten ähnlich)... 6 3.1.2 Open Resolver bei Fritz!Box 7390 schliessen (Workaround)... 7 3.2 Windows DNS Server... 9 3.3 Bind DNS Server... 11 Seite 2/11

2 Allgemeine Bemerkungen 2.1 Zweck dieses Dokuments Offene DNS Server im Internet stellen ein hohes Risiko dar. Durch sogenannte DNS Amplification Attacks werden die offenen DNS-Server für einen Angriff auf ein beliebiges Ziel missbraucht. Dies verursacht beim Betroffenen Schaden. Zudem wird die Netz-Infrastruktur unnötig belastet. Daher ist es nötig, dass die offenen DNS-Server entweder geschlossen werden oder der IP-Range, welcher auf Anfragen reagiert, eingeschränkt wird. Dieses Dokument beschreibt, wie man die DNS-Server so konfiguriert, damit diese nicht mehr von einem Angreifer missbraucht werden können. 2.2 Wie funktioniert eine DNS Amplification Attacke? In der Kombination mit IP-Spoofing und offener Rekursion führen Angreifer eine DNS-Amplification DDoS Attacke wie folgt durch. 1. Der Angreifer sammelt eine Zombie-Armee. Diese besteht in der Regel aus kompromittierten PC s im Internet. 2. In die Zone-Datei eines eigenen (oder gehackten) Nameservers schreibt er einen Overhead, welcher möglichst grosse Antwort-Pakete generiert. 3. Der Angreifer befiehlt seinen Zombies eine kontinuierliche DNS-Anfrage der manipulierten Zone-Datei durchzuführen. Die Anfrage senden die Zombies zuerst an einen offenen DNS-Server. Als Absender IP-Adresse verwenden die Zombies die IP des anzugreifenden Ziels. 4. Hat der offene DNS-Server noch keine Anfrage an das kompromittierte Zonen-File gestellt, wird diese nun ausgeführt. Das Resultat (den Overhead) nimmt der offene DNS-Server in seinen Cache. 5. Der offene DNS-Server meint nun, dass er die Antwort einem Zombie zurückgibt. Da die IP jedoch gefälscht war (IP-Spoofing), wird die Antwort an das Opfer gesendet. 6. Nun wird das Opfer mit sinnlos grossen Antwort-Paketen zugespammt. Die grossen DNS- Antworten kommen in mehreren IP-Paketen beim Opfer an und müssen dort wieder zusammengesetzt werden. Dadurch wird A) Die Rechenlast erhöht B) Verhindert, dass das Opfer die DNS-Attacke schnell erkennt und Gegenmassnahmen einleiten kann Seite 3/11

Die Ergebnisse sind verheerend. Abhängig von den Gegenmassnahmen und der Robustheit des Ziel-DNS- Servers, wird die Funktionalität des DNS-Servers entweder stark eingeschränkt oder im schlimmsten Fall gestoppt. Dienste, für welche der DNS-Server die Namens-Auflösung bereitstellte, sind nicht mehr erreichbar. Abgesehen von den Reparatur-Arbeiten entsteht so dem Opfer auch wirtschaftlicher Schaden. 2.3 Gegenmassnahmen Leider wird es nicht möglich sein, solche Attacken generell zu verhindern. Jedoch können einem Angreifer seine Hilfsmittel entzogen werden. Hier kann an zwei Punkten angesetzt werden. 1. Beim Zombie Botnet 2. Bei den Open Resolvern 2.3.1 Was sind PC-Zombies und wie schützt man seinen PC Ein Zombie-Botnet besteht in der Regel aus einem Verbund infizierter Computer. Jeder Computer, welcher am Internet angeschlossen ist, kann durch Malware oder Viren infiziert werden. Ist der Computer mal infiziert, wird er zum Zombie und führt die Befehle seines Meisters aus. In dem hier beschriebenen Fall im Zusammenhang mit einer DNS Amplification Attacke. In dem man seinen Computer regelmässig, mit einem aktuellen Antiviren-Programm, auf Viren und Malware scannt, kann man dem einfach entgegenwirken. Zudem verhindert man den Befall mit Viren, indem man im Email keine unbekannten Anhänge öffnet und auf vertrauenswürdigen Seiten surft. 2.3.2 Open Resolver deaktiveren Open Resolver sind DNS Systeme, welche von den Internet-Benutzern bewusst oder unbewusst betrieben werden. Dies müssen nicht zwingend DNS-Server sein. Es gibt auch DSL-Modems, welche in der Standard-Konfiguration als Open-Resolver arbeiten (Beispiel: ZyXEL P660R-D1). DNS-Server wie zum Beispiel BIND oder der Windows DNS Server können ebenfalls als Open Resolver konfiguriert sein. Um die Probleme zu beheben, muss bei den DNS Servern die Recursion abgeschaltet werden. Zusätzlich sollte pro DNS Server definiert werden, welcher IP-Bereich berechtigt ist, DNS-Anfragen zu stellen (zum Beispiel nur aus dem eigenen Netzwerk). Somit wird verhindert, dass Fremde den Open Resolver missbrauchen. Bei Modems, welche als Open Resolver arbeiten, kann in der Regel in der Konfiguration die Funktion abgeschaltet werden. Seite 4/11

2.3.3 Server oder DNS Anschluss prüfen Mit einem einfachen Trick kann jeder Benutzer selbst testen, ob sein Server oder DSL-Gerät ein Open Resolver ist. ACHTUNG: Der Test-Computer darf sich nicht im gleichen Netzwerk wie der DNS-Server befinden. Machen Sie den Test von einem unabhängigen Internetzugang aus. 1. Ermitteln Sie die IP-Adresse, welche Sie prüfen wollen. Bei einem Server sollte diese bekannt sein. Bei einem DSL-Anschluss können Sie diese auf der Internetseite www.wieistmeineip.de einsehen. 2. Öffnen Sie das Kommandozeilen Interface von Windows (CMD). 3. Geben Sie in der Kommandozeile folgende Befehle ein: a) nslookup q=all (Enter) b) server <die ermittelte IP Adresse> (Enter) Beispiel: server 8.8.8.8 c) green.ch (Enter) 4. Erhalten Sie eine Antwort gemäss dem Bild unter Punkt 3, haben Sie mit grösster Wahrscheinlichkeit einen Open-Resolver in Ihrem System. Seite 5/11

Erhalten Sie ein Time-Out wie im Bild unten dargestellt, wird kein Open Resolver betrieben. 3 Open Resolver schliessen 3.1 DSL Modem/Router Sollte das DSL-Modem als Open-Resolver fungieren, konsultieren Sie bitte die Anleitung Ihres Gerätes. Folgend ein Bespiel bei einem Zyxel Modem (P660R). 3.1.1 Open Resolver bei Zyxel P660 schliessen (Bei anderen Zyxel Geräten ähnlich) Die Werkseinstellungen des Zyxel P660 beinhalten einen gegen das Internet offenen DNS Server. Den offenen DNS Server können Sie in der Web-Konsole unter Advanced - Remote MGMT DNS schliessen. Gehen Sie dazu wie folgt vor: 1. Öffnen Sie einen Browser und tippen Sie 192.168.1.1 in die Adresszeile ein. 2. Loggen Sie sich mit dem Benutzernamen und Passwort ein. Wenn Sie das Passwort nicht geändert haben, sollten folgende Standard-Werte funktionieren. Benutzername: admin Passwort: 1234 3. Gehen Sie anschliessend nach Advanced - Remote MGMT DNS und stellen Sie den Access Status von WAN auf LAN. 4. Klicken Sie auf Apply um die Änderungen zu übernehmen. Seite 6/11

3.1.2 Open Resolver bei Fritz!Box 7390 schliessen (Workaround) Sobald man bei der Fritz!Box 7390 das NAT in den Netzwerk-Einstellungen deaktiviert, fungiert die Fritz!Box 7390 als Open Resolver. Muss die NAT Einstellung zwingend deaktiviert bleiben, können Sie mit folgendem Workaround den Open Resolver schliessen: 1. Öffnen Sie Ihren Browser und tippen Sie die IP Ihrer Fritz!Box 7390 ein. Die Standard IP der Fritz!Box 7390 lautet auf 192.168.178.1. 2. Loggen Sie sich mit Passwort in die Konsole ein. 3. Prüfen Sie bei der Gelegenheit gleich die Firmware-Version und machen Sie wenn nötig ein Update. Dieser Schritt ist optional, aber sehr zu empfehlen! 4. Schalten Sie die Konsole in den Experten-Modus. Klicken Sie dazu auf Ansicht: Standard. Danach sollte die Zeile wie folgt aussehen: Seite 7/11

5. Klicken Sie nun auf Internet Zugangsdaten und wählen Sie den Reiter DNS-Server aus. Wählen Sie Andere DNSv4-Server verwenden aus und geben Sie in den Feldern Bevorzugter DNSv4-Server und Alternativer DNSv4-Server jeweils die IP 255.255.255.255 ein. Klicken Sie auf Übernehmen, um die Einstellungen zu speichern. Die zweite Variante, wie Sie den Open Resolver schliessen können, besteht darin, das NAT wieder zu aktivieren. 1. Loggen Sie sich wie in der vorherigen Anleitung beschrieben in die Konsole der Fritz!Box ein und aktivieren Sie den Experten-Modus. 2. Gehen Sie anschliessend auf Netzwerk Netzwerkeinstellungen und klicken Sie dort auf den Knopf IPv4-Adressen. Seite 8/11

3. Entfernen Sie den Haken bei NAT deaktivieren und klicken Sie auf OK, um die Änderung zu übernehmen. 3.2 Windows DNS Server 1. Öffnen Sie den Server Manager 2. Wählen Sie Ihren DNS-Server aus (rechte Maustaste) und gehen Sie auf Properties (Einstellungen). Seite 9/11

3. Im Tab Advanced (erweitert) setzen Sie den Haken bei Disable recursion (also disables forwarders). 4. Definieren Sie im Tab Interfaces, welche IP-Adressen berechtigt sind, DNS-Anfragen zu stellen. Seite 10/11

3.3 Bind DNS Server Auf Vollständigkeit dieser Anleitung wird verzichtet. Die Konfiguration von Bind ist sehr komplex. Daher werden nur zwei Tipps gegeben, wie man einen offen Bind9 Server ein wenig sicherer machen kann. Die Einstellungen müssen in der Datei named.conf.options eingetragen werden. 1. Sollten Sie Rekursion NICHT benötigen, schalten Sie diese einfach aus. Dies geschieht mit folgendem Eintrag in der named.conf.options: recursion no; Vergessen Sie nicht, den Dienst nach dem Speichern der Änderung neu zu starten. In Debian und Ubuntu macht man dies mit dem Befehl /etc/init.d/bind9 restart. Achten Sie unbedingt auf die Syntax in named.conf.options! Ein kleiner Tippfehler und der Dienst verweigert einen Neustart. 2. Schränken Sie den Zugriff von extern auf Ihren DNS Server ein. Dies geschieht mit folgendem Eintrag in der named.conf.options: allow-recursion { 192.168.1.0/24; 80.1.1.1; }; recursion yes; Dies bewirkt, dass nur Computer aus dem definierten internen oder externen Netz eine rekursive Antwort vom DNS Server erhalten. Die IP-Adressen müssen Sie gemäss Ihrer Konfiguration anpassen. Seite 11/11