unbound als recursiven DNS-Resolveer gemäß den Anleitungen in der c't (2017, H.12 + 2017, H.21) incl. DNSSEC und für die Geräte im Heimnetz mit DNS-Ad-Blocker eingerichtet. Funktioniert prima, auch mit IPv6. Dafür habe ich dann die ULA's fürs Heimnetz im Router aktiviert.Router ist eine Fritz!Box 7430 mit Firmware 6.8.3.
Die IPv6-Konfiguration fürs Heimnetz habe ich komplett auf SLAAC gesetzt, incl. RDNS zur Verteilung des DNS-Servers per Router-Advertisement. Den DNS-Server kann man selbst per ULA eintragen (statt des FB-eigenen). Der DHCPv6-Server ist in der Fritz!Box komplett deaktiviert.
So weit, so gut - alles funktioniert.
Zur Überprüfung habe ich dann auch Portrscans vom Internet aus durchgeführt. Mit diesem http://ipv6tech.ch/?udpportscan Scanner habe ich auch die UDP-Ports untersucht - und einen Schrecken bekommen:
Außer Port 5060 für SIP ist auch Port 547 (besagter DHCPv6-Server) "reachable". Dabei ist es egal, welche IPv6 ich dem Scanner vorgebe: lokaler PC, Laptop via WLAN oder die WAN-IP des Routers, der Port ist offen!
Dann habe ich die Probe aufs Exempel gemacht und einfach von meinem PC aus ein
Code: Alles auswählen
dig -6 @<WAN-IPv6 der Fritz!Box> debianforum.de aaaa
Da ist doch irgendwas nicht ok - oder? Ist das ein Sicherheitsrisiko, ein offener DNS-Server im Internet?
P.S.: wer auch eine Fritz!Box hat, kann's selbst einfach nachstellen, es funktioniert auch mit dem FB-internen DNS-resolver. Die WAN-IPv6 findet man unter "Internt -> Netzwerkmonitor". Es geht auch mit dem zugehörigen öffentlichen Hostnamen der FB (mit host <IPv6> ermitteln).