Video: pfSense DNS Resolver Setup (Dezember 2024)
Meine Security Watch-Kollegin Fahmida Rashid hat einen DNS-Resolver in ihrem Keller, aber für die meisten Heim- und Kleinunternehmensnetzwerke ist DNS nur ein weiterer Dienst, der vom ISP bereitgestellt wird. Wahrscheinlicher für Probleme ist, dass ein Unternehmen groß genug ist, um über eine eigene Netzwerkinfrastruktur zu verfügen, aber nicht groß genug, um einen Vollzeit-Netzwerkadministrator zu haben. Wenn ich in einer solchen Firma arbeiten würde, würde ich meinen DNS-Resolver überprüfen, um sicherzustellen, dass er nicht in eine Zombie-Armee eingezogen werden kann.
Was ist mein DNS?
Wenn Sie die Eigenschaften Ihrer Internetverbindung überprüfen oder IPCONFIG / ALL an einer Eingabeaufforderung eingeben, können Sie nicht unbedingt die IP-Adresse Ihres DNS-Servers ermitteln. Es ist gut möglich, dass in den TCP / IP-Eigenschaften der Internetverbindung festgelegt ist, dass eine DNS-Serveradresse automatisch abgerufen wird, und IPCONFIG / ALL zeigt wahrscheinlich nur eine interne NAT-Adresse wie 192.168.1.254 an.
Eine kleine Suche ergab die handliche Website http://myresolver.info. Wenn Sie diese Site besuchen, wird Ihre IP-Adresse zusammen mit der Adresse Ihres DNS-Resolvers gemeldet. Ausgestattet mit diesen Informationen hatte ich einen Plan:
- Gehen Sie zu http://myresolver.info, um die IP-Adresse Ihres rekursiven DNS-Resolvers zu ermitteln
- Klicken Sie auf den Link {?} Neben der IP-Adresse, um weitere Informationen zu erhalten
- In der resultierenden Tabelle finden Sie eine oder mehrere Adressen unter der Überschrift "Ankündigung", z. B. 69.224.0.0/12
- Kopieren Sie die erste davon in die Zwischenablage
- Navigieren Sie zu Open Resolver Project http://openresolverproject.org/ und fügen Sie die Adresse in das Suchfeld oben ein.
- Wiederholen Sie diesen Vorgang für weitere Adressen
- Wenn die Suche leer ist, sind Sie in Ordnung
Oder bist du?
Gesundheitsüberprüfung
Ich bin bestenfalls ein Netzwerk-Dilettant, sicher kein Experte, und habe meinen Plan an Matthew Prince, CEO von CloudFlare, vorbeigeführt. Er wies auf einige Fehler in meiner Logik hin. Prince bemerkte, dass mein erster Schritt wahrscheinlich "entweder den von ihrem ISP oder jemandem wie Google oder OpenDNS ausgeführten Resolver" zurückgeben wird. Er schlug stattdessen vor, dass man "herausfinden könnte, wie die IP-Adresse Ihres Netzwerks lautet, und dann den Raum dahinter überprüfen". Da myresolver.info auch Ihre IP-Adresse zurückgibt, ist das ganz einfach. Sie könnten beide überprüfen.
Price wies darauf hin, dass der aktive DNS-Resolver, der für Abfragen in Ihrem Netzwerk verwendet wird, höchstwahrscheinlich korrekt konfiguriert ist. "Die Open Resolver sind oft nicht das, was für PCs verwendet wird", sagte er, aber für andere Dienste.
Er wies auch darauf hin, dass das Open Resolver-Projekt die Anzahl der Adressen, die mit jeder Abfrage überprüft werden, auf 256 beschränkt - das ist, was "/ 24" nach der IP-Adresse bedeutet. Prince wies darauf hin, dass "das Akzeptieren von mehr dazu führen könnte, dass Bösewichte das Projekt nutzen, um selbst offene Resolver zu entdecken".
Zur Überprüfung des IP-Adressraums Ihres Netzwerks, erklärte Prince, beginnen Sie mit Ihrer tatsächlichen IP-Adresse, die die Form AAA.BBB.CCC.DDD hat. "Nehmen Sie den DDD-Teil", sagte er, "und ersetzen Sie ihn durch eine 0. Fügen Sie dann am Ende eine / 24 hinzu." Dies ist der Wert, den Sie an das Open Resolver-Projekt übergeben.
Zu meiner Schlussfolgerung, dass eine leere Suche bedeutet, dass Sie in Ordnung sind, warnte Prince, dass es nicht ganz wahr ist. Wenn Ihr Netzwerk mehr als 256 Adressen umfasst, wird möglicherweise nicht das gesamte Unternehmensnetzwerk überprüft (falsch negativ). Er fuhr fort: "Andererseits verfügen die meisten kleinen Unternehmen und Privatanwender tatsächlich über eine IP-Zuweisung, die kleiner als a / 24 ist, sodass sie effektiv IPs überprüfen, über die sie keine Kontrolle haben." Ein Nicht-OK-Ergebnis könnte daher ein falsches positives Ergebnis sein.
Prince kam zu dem Schluss, dass diese Überprüfung von Nutzen sein könnte. "Stellen Sie einfach sicher, dass Sie alle entsprechenden Vorsichtsmaßnahmen treffen", sagte er, "damit die Leute kein falsches Gefühl der Sicherheit oder Panik über den offenen Resolver ihres Nachbarn bekommen, über den sie keine Kontrolle haben."
Ein größeres Problem
Ich habe eine ganz andere Sichtweise als Gur Shatz, CEO der Website-Sicherheitsfirma Incapsula. "Zum Guten und Schlechten", sagte Shatz, "ist es einfach, offene Resolver zu erkennen. Gute Leute können sie erkennen und beheben, schlechte Leute können sie erkennen und verwenden. Der IPv4-Adressraum ist sehr klein, so dass es einfach ist, sie zuzuordnen und zu scannen." es."
Shatz ist nicht optimistisch, das Open-Resolver-Problem zu lösen. "Es gibt Millionen von offenen Resolvern", bemerkte er. "Wie hoch sind die Chancen, dass sie alle abgeschaltet werden? Es wird ein langsamer und schmerzhafter Prozess." Und selbst wenn wir Erfolg haben, ist das nicht das Ende. "Es gibt noch andere Amplifikationsattacken", bemerkte Shatz. "DNS-Reflektion ist einfach am einfachsten."
"Wir sehen immer größere Angriffe", sagte Shatz, "auch ohne Verstärkung. Ein Problem besteht darin, dass immer mehr Benutzer über Breitband verfügen, sodass Botnets mehr Bandbreite nutzen können." Das größte Problem ist jedoch die Anonymität. Wenn Hacker die ursprüngliche IP-Adresse fälschen können, ist der Angriff nicht mehr nachvollziehbar. Shatz merkte an, dass wir CyberBunker als Angreifer im SpamHaus-Fall nur kennen, wenn ein Vertreter der Gruppe Kredit beansprucht.
Ein dreizehn Jahre altes Dokument mit dem Namen BCP 38 beschreibt eindeutig ein Verfahren zur "Abwehr von Denial-of-Service-Angriffen, bei denen IP-Quelladressen-Spoofing verwendet wird". Shatz merkte an, dass kleinere Anbieter möglicherweise nichts von BCP 38 wussten, die weit verbreitete Implementierung jedoch "Spoofing an den Rändern unterbinden könnte, da die Jungs tatsächlich IP-Adressen herausgeben".
Ein übergeordnetes Problem
Das Überprüfen des DNS-Resolvers Ihres Unternehmens mithilfe der von mir beschriebenen Technik kann nicht schaden. Für eine echte Lösung ist jedoch ein Audit durch einen Netzwerkexperten erforderlich, der die erforderlichen Sicherheitsmaßnahmen versteht und umsetzt. Auch wenn Sie einen Netzwerkexperten im Haus haben, nehmen Sie nicht an, dass er sich bereits darum gekümmert hat. IT-Experte Trevor Pott gestand in The Register, dass sein eigener DNS-Resolver für den Angriff auf SpamHaus verwendet worden war.
Eine Sache ist sicher; Die bösen Jungs werden nicht aufhören, nur weil wir eine bestimmte Art von Angriff abschließen. Sie wechseln einfach zu einer anderen Technik. Die Maske abzureißen und ihre Anonymität zu verlieren, könnte tatsächlich etwas Gutes bewirken.