ubuntuusers.de

Hallo zusammen, ich bin vor einiger Zeit von PowerDNS auf Bind9 gewechselt. Nun erhalte ich von Telekom einen Brief, in dem unter anderem steht:

.. von Sicherheitsexperten haben wir Hinweise erhalten, welche Ihren Internetzugang betreffen. An Ihrem Zugang ist ein offener 'Domain Name System' (DNS) Server aktiv, der von Dritten für Angriffe missbraucht werden könnte. Bei Internetzugängen von Privatnutzern ist es fast immer der Router, der eine solche Schwachstelle aufweist.

Nun ist klar, ja der Port 53 TCP/UDP an meiner FritzBox ist offen und geht an meinen DNS-Server (Bind9) der als Docker-Container läuft. Jedoch Frage ich mich nun, ob meine Konfiguration falsch ist und er eventuell von Dritten missbraucht werden könnte, sowie es in dem Brief steht.

Dazu hier mal meine named.conf.options.

options {
  directory "/etc/bind";

  forwarders {
    // Google
    8.8.8.8;
    8.8.4.4;
    2001:4860:4860::8888;
    2001:4860:4860::8844;
  };

  // Server Addresses which this server accept notifications from.
  // For example, it's often ip addresses from zone master servers.
  allow-notify {
    none;
  };

  // Allows the clients to query the zones that your server is authoritative for
  allow-query {
    0.0.0.0/0;
    ::/0;
  };

  // Allows them to query the data that's in the cache due
  // to some client previously requesting recursion
  allow-query-cache {
    0.0.0.0/0;
    ::/0;
  };

  // Allows Clients to request recursion, which is needed to look up names in remote zones
  allow-recursion {
    // localhost
    127.0.0.1/32;
    ::1/128;

    //All
    //0.0.0.0/0;
    //::/0;
  };
  recursion yes;

  allow-transfer {
    none;
  };

  allow-update {
    none;
  };

  //========================================================================
  // If BIND logs error messages about the root key being expired,
  // you will need to update your keys.  See https://www.isc.org/bind-keys
  //========================================================================
  dnssec-validation auto;

  auth-nxdomain no;    # conform to RFC1035
  listen-on {
    any;
  };
  listen-on-v6 {
    any;
  };
};

Habe ich den Bind9-Server fehlerhaft Konfiguriert, sodass ein Missbrauch möglich ist? Wenn ja, was müsste ich ändern?

Viele Grüße Volker

Dein Bin9 loest alle beliebigen Domains auf, oder? Das nennt man dann "open (recursive) resolver" im Fachjargon, damit lassen sich DoS-Reflection Attacken fahren. Anstatt das hier selbst zu erklaeren, hier die Erklaerung (und Loesung) von CERT-BUND, von denen die Telekom vermutlich auch den Hinweis erhalten hat: https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Aktivitaeten/CERT-Bund/CERT-Reports/HOWTOs/Offene-DNS-Resolver/Offene-DNS-Resolver_node.html

Okay, vielen Dank. Ich denke nun sollte der Fehler behoben sein.

Viele Grüße Volker

Wieso hast du eigentlich den Port 53 auf deiner Fritzbox (Internet → Freigaben → Portfreigaben?) freigegeben?

Wie sollte ich denn sonst einen privaten DNS Server betreiben, wenn nicht Port 53 TCP/UDP freigegeben ist?

https://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports#0_%E2%80%A6_99

Muss jemand dein DNS von extern (Internet) abfragen können, oder nur für dein LAN intern?

mfg Stefan

Ja, es muss von außen abrufbar sein. Der DNS verwaltet meine Domains. Der Slave wird auch als Container betrieben, jedoch unter einer anderen öffentlichen IP Adresse.

Kann man davon ausgehen das du eine statische IP, da T-DSL Business, hast?

mfg Stefan

Ja, an beiden Standorten ist einen Statische IPv4 und IPv6 vorhanden.

Viele Grüße Volker

Gut, wollte nur wissen warum DNS so sinnvoll funktioniert. Kommt ja oft vor das Ports geöffnet werden ohne das es wirklich einen Grund gibt.

mfg Stefan

Achso, ja das stimmt.

Ne wie schon gesagt, der DNS verwaltet meine Domains die öffentlich registriert sind.

Viele Grüße Volker

VolkerRaschek schrieb:

Ja, es muss von außen abrufbar sein.

Naja, aber doch nicht für jedermann, ... oder?

lubux schrieb:

VolkerRaschek schrieb:

Ja, es muss von außen abrufbar sein.

Naja, aber doch nicht für jedermann, ... oder?

Doch schon, der DNS löst meine Domains und deren Subdomains auf für beispielsweise für prosody, nextcloud, gitlab, sharelatex ect.

Viele Grüße Volker

VolkerRaschek schrieb:

Doch schon, der DNS löst meine Domains und deren Subdomains auf für beispielsweise für prosody, nextcloud, gitlab, sharelatex ect.

... kleiner Scherzkeks, wa? 😉

Seine öffentlichen Zonen muss er wohl für Jedermann auflösen wenn er von extern ohne VPN darauf zugreifen will.

mfg Stefan