Versionen im Vergleich

Alte Version 2

changes.mady.by.user Talos-Zens Alexander

Gespeichert am

verglichen mit

Neue Version 3

changes.mady.by.user Stasic Arsen

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

Bei Microsoft DNS Server kann weder ACLs noch keine ACLs. Ab Windwos Server 2008 R2 kann das Resolven abgestellt werden Microsoft Technet

werden. Hier empfiehlt es sich, das Service mit einer Firewall von außen abzuschotten.

...

https://www.us-cert.gov/ncas/alerts/TA13-088A
https://www.team-cymru.org/Services/Resolvers/instructions.html
http://technet.microsoft.com/en-us/library/cc787602.aspx
http://technet.microsoft.com/en-us/library/cc754941.aspx
http://technet.microsoft.com/en-us/library/cc771738.aspx
http://www.redbarn.org/dns/ratelimits
http://tools.ietf.org/html/bcp38

 

Wiki-Markup
{html}<style>
.wiki-content p {text-align:justify;}
.wiki-content {position:relative; left:60px; width:600px;}
</style>{html}

Inhalt
maxLevel3
minLevel2
styleflat

Tag Vuln.open_recursor

Kurzinfo

Rechner, die offene Resolver (open recursor) sind und für DNS Amplifizierung (amplification) missbraucht werden um ein fremdes Ziel zu attackieren.

Treffsicherheit

Beschreibung

Offene Resolver sind meistens auf mangelnde Konfiguration zurückzuführen. Missbraucht wird die DNS Amplifizierung und die Möglichkeit von UDP spoofing. Der DNS Resolver kann an Hand von der UDP-DNS-Anfrage nicht erkennen ob es sich um eine eine gespoofte IP Adresse handelt und schickt eine große DNS-Antwort an das zu attackierende Ziel.

Gegenmaßnahmen bei Resolvern:

Nur die eigenen Netze resolven lassen und Monitoring des Resolvers.

Bind:

Kein Format
nopaneltrue
acl ournetacl ournets { 131.130/16; 2001:62a::/31; };
options {
	allow-recursion { ournets; };
};

Unbound:

Kein Format
nopaneltrue
server:     
       access-control: 131.130.0.0/16 allow
       access-control: 2001:62a::/31 allow

dnsmasq:

Bei dnsmasq kennt das Konzept von ACLs nicht. Hier empfiehlt es sich, den Prozess nur auf localhost zu binden.

Kein Format
nopaneltrue
listen-address=127.0.0.1

Microsoft DNS Server:

Bei Microsoft DNS Server kann keine ACLs. Für Windwos Server 2008 R2 kann das Resolven abgestellt werden Microsoft Technet. Ab Windows Server 2003 kann das Resolven auch abgestellt werden Microsoft Technet. Generell empfiehlt Mircosoft, das Service mit einer Firewall von außen abzuschotten und einen Forwarder zu verwenden Microsoft Technet

Gegenmaßnahmen bei auth. Nameservern:

Konfiguration Bind, NSD und Knot DNS mit Response Rate Limiting (RRL)

Generelle Gegenmaßnahmen:

Umsetztung von BCP38

Links

https://www.us-cert.gov/ncas/alerts/TA13-088A
https://www.team-cymru.org/Services/Resolvers/instructions.html
http://www.redbarn.org/dns/ratelimits

Anker
#bcp
#bcp
http://tools.ietf.org/html/bcp38
Anker
#ms1
#ms1
http://technet.microsoft.com/en-us/library/cc787602.aspx
Anker
#ms2
#ms2
http://technet.microsoft.com/en-us/library/cc754941.aspx
Anker
#ms3
#ms3
http://technet.microsoft.com/en-us/library/cc771738.aspx

 

Erfahrungen