DNS-Sicherheitsproblem im privaten netz?

[michaa7]

Diese meldung hat mich etwas aufgeschreckt:

http://www.heise.de/newsticker/Massives ... ung/110641

Auf meinem home server, den ich als router, emailserver und p2p clienten nutze läuft auch bind (wobei mir nicht klar ist warum ich dieses paket brauche). Nach durchlesen des debian security newsletters stehe ich etwas ratlos da, weil mir eben wirklich nicht klar ist, welche aufgabe bind auf meinem system erfüllt. Dennoch werde ich mich mal durch die config wühlen und sehen wo ich den zufallsgenerator für die portauswahl aktiviere
"Verify that source port randomization is active." heißt es dazu im newsletter. Dass ich gestern mein system ( Debian / Etch ) auf den neuesten stand gebracht habe ist klar (u.a. die neuesten bind9- und irgendwelche DNS-pakete kamen herein).

Für weitere hinweise wäre ich dankbar.

[KBDCALLS]

Auch auch Prolinux gibt es diese Meldung. Auf der wird aber zu der Seite von Dan Kaminski verlinkt

http://doxpara.com/

Entweder ist die Seite total überlastet, oder funktioniert nicht richtig.

[michaa7]

Nungut, Dan Kaminski hat das problem entdeckt und wohl mit dafür gesorgt dass dies problem koordieniert angegeanngen und gelöst wurde. In soweit verspreche ich mir von dessen seite wenig neues. Ich möchte auch gar nicht möglichst tief schürfen, sondern suche praktische hinweise, welche relevanz dieses problem für (m)ein heim netzwerk hat, vor allem ob es mit aktualisierung und port randomizing getan ist (wobei ich für mein eigenes system wohl entwarnung geben kann, da bind zwar warum auch immer als abhängigkeit installiert ist, aber unter rcconf nicht auftaucht, somit wohl nicht aktiv ist).

Wenn gewünscht könnte ich hier den/die drei security newsletter posten, für diejenigen, die ihn nicht abboniert haben. Darin wird eigentlich alles beschrieben.

[habakug]

Hallo!

Von hier aus (freenet) sieht es gut aus:


Gruß, habakug

[michaa7]

Wie testet man den DNS server?

[habakug]

Hallo!

Wie testet man den DNS server?

Siehe den Link von @kbdcalls.
Wenn du dich dafür interessierst, solltest du dich hier [1] einlesen. Dan Kaminskys Arbeit basiert zum großen Teil auf der von Amit Klein. Hier [2] der Exploit, der auf der Vorhersage der Sequenznummern basiert.

Gruß, habakug

[1] http://www.trusteer.com/bind9dns
[2] http://www.securiteam.com/exploits/5DP0220MAO.html

[Spoiler]

Servus ... hätte da auch noch eine Frage dazu:

Wenn der Port per Zufallsgenerator ausgewählt wird, blockt IpTables das ja nicht, wenn ich ausgehenden Verkehr grundsätzlich freigegeben habe oder?

Die nächste Frage:
Der Link oben testet den DNS, wenn ich denn den Link anklicken kann ... wie teste ich meinen DNS, wenn ich nur per SSH draufkomme?

Danke im Voraus.

[michaa7]

Hallo!

Wie testet man den DNS server?

Siehe den Link von @kbdcalls. ...

ok, mit dem link teste ich den DNS server meines ISP, oder den selbst eingetragenen, bei mir opendns.

Dieses heise posting läßt mich allerdings erschaudern

http://www.heise.de/security/news/foren ... wthread-1/

weil ich mich eben zu den (ohne weitere hilfestellung) überforderten usern zähle. Dieses posting legt eben nahe, dass nicht nur die server, sondern eben auch die clienten betroffen sind. Das wir auch durch den MS-patch für windows systeme bestätigt, der eben dafür sorgt, dass von client seite aus DNS anfragen _nicht mehr_ über einen standard UDP port abgesetz werden, sondern eben ein zufälliger port gewählt wird. Daher ergibt sich schon die frage: Wie muß ich mein debian etch configurieren, um meine DNS anfragen über einen zufälligen port abzusetzen?

[Spoiler]

die für mich interessante Frage dabei ist: Wenn auch der Client auch einen zufälligen Port nutzt, wie konfiguriere ich dann meine Firewall??

Wie sage ich IPTables, dass es diese Anfragen handeln muss??

[stinkstiefel]

Nichts gegen deinen Forscherdrang, aber am sinvollsten wäre doch erst einmal die heut angebotenen Updates einzuspielen.

[Kelpin]

wie konfiguriere ich dann meine Firewall

Öhhm, versteh' ich das falsch, oder ist der Destination-Port nicht immer noch 53? Des sag ich meiner Firewall.
kopfeizieh

[gms]

wie konfiguriere ich dann meine Firewall

Öhhm, versteh' ich das falsch, oder ist der Destination-Port nicht immer noch 53? Des sag ich meiner Firewall.
kopfeizieh

wenn ( der Client und ) der Server eine "Port Randomization" verwendet, wäre das gar nicht gut , daher bleibt der Server-Port auf 53
Du kannst also den Kopf ruhig oben lassen

Gruß
gms

[Kelpin]

Gut ich laß den Kopf oben
Bei so wichtigen sachen wie Hohmbänking, Kann man da nicht einfach die IP-Adresse angeben und der DNS ist außen vor? Banken haben doch feste IP's.
Gruß

[Spoiler]

Hombenking, wie du so schön sagst, geht ja, also zumindest bei mir, über HTTPS.

Kann denn jemand, der den DNS hackt, auch das entsprechende Zertifikat zur Verfügung stellen??

[Danielx]

Kann denn jemand, der den DNS hackt, auch das entsprechende Zertifikat zur Verfügung stellen??

Nein.