ubuntuusers.de

Hallo Leute,

meine Schwester hat von der Telekom eine Email-Warnung bekommen, daß Port 53/udp offen ist. Ihren Laptop mit Linux verwalte ich und natürlich habe ich da keinen openresolver drauf und auf ihrem Router den Port freigeschalten.

Die Email ist echt - Kundennummer und sonstige Angaben stimmen.

Sie hat einen von der Telekom gemieteten Router, der nach meinem Verständnis eine Fernwartung von der Telekom hat. Weder ich noch sie haben an dem Ding jemals was gemacht. Ich hab ihr schon lange empfohlen, den Router der Telekom zurückzugeben und eine günstige Fritzbox zu kaufen, aber sie will halt nichts ändern, weil bisher alles funktioniert hat.

Was soll ich bzw. sie mit der Warnung anfangen?

b20 schrieb:

meine Schwester hat von der Telekom eine Email-Warnung bekommen, daß Port 53/udp offen ist. Ihren Laptop mit Linux verwalte ich und natürlich habe ich da keinen openresolver drauf und auf ihrem Router den Port freigeschalten.

Was soll ich bzw. sie mit der Warnung anfangen?

Mach mal via Internet einen Portscan auf die öffentliche IPv4-Adresse vom Router und den TCP-Port 53 bzw. eine Abfrage:

host -v -t a <öffentliche-IPv4-Adresse-Router>

Oder hast Du ein Gerät mit öffentlicher IPv6-Adresse (als border device) im Internet (evtl. auch autom. v6-Portfreigabe und nicht Portweiterleitung weil v6, im Telekom-Router), das auf dem Port 53 erreichbar ist?

EDIT:

Benutzt deine Schwester evtl. einen öffentlichen VPN-Provider (oder gleichwertig)?

lubux schrieb:

Mach mal via Internet einen Portscan auf die öffentliche IPv4-Adresse vom Router und den TCP-Port 53 bzw. eine Abfrage:

Werde ich kommende Woche machen - aktuell ist der Router ausgeschaltet, da meine Schwester nur unter der Woche in der Wohnung ist.

Oder hast Du ein Gerät mit öffentlicher IPv6-Adresse (als border device) im Internet (evtl. auch autom. v6-Portfreigabe und nicht Portweiterleitung weil v6, im Telekom-Router), das auf dem Port 53 erreichbar ist?

Nein, da gibt es nur den Telekom-DSL-Router und ihren Linux-Laptop. Der Router läuft seit Jahren in der Standardkonfiguration.

Benutzt deine Schwester evtl. einen öffentlichen VPN-Provider (oder gleichwertig)?

Nein.

Warum sollte der Port 53 nicht offen sein? Soll diese angebliche "Telekom" sich doch mal technisch rechtfertigen, für ihre Behauptung, dass das nicht sein darf.

Der Port 53 wird für die Namensauflösung verwendet, ohne die sich zum Beispiel ubuntuuseres.de nicht erreichen ließe und auch sonst keine andere Adresse, für die man so üblicherweise den Namen der Domain in die Browser Adressleiste eintippt.

Siehe auch:

• Domain Name System ← Einsatzgebiet Namensauflösung

Er sollte aber nicht als offen erkannt werden sondern als gefiltert. Als offen erkannt könnte dies ein Hinweis auf einen Trojaner sein, es gibt Trojaner die diesen als Ausgang/Übertragungsweg für erbeutete Daten verwenden.

Mylin schrieb:

Er sollte aber nicht als offen erkannt werden sondern als gefiltert.

Das wäre dann aber der von der Telekom gemietete Router, dem Eröffnungsposting nach, in Standardeinstellungen.

Aber man kann ja mal gucken:

• Gibson Research Corporation - Privacy ← Uralte Webseite, aber IMHO vertrauenswürder als heise.

Unten "Proceed" anklicken. Auf der nächsten Seite dann ins Feld im Abschnitt "ShieldsUP!! Services", wo sich die Services auswählen lassen, die 53 eingeben und "User Specified Port Probe" anklicken. Dann nach dem Portscan unten bei "Protocol and Application" gucken was das Portscan Ergebnis auf Port 53 ist.

Mylin schrieb:

Er sollte aber nicht als offen erkannt werden …

Warum nicht als offen? Ich kann doch einen Dienst (außer DNS) im Internet via Port 53 zur Verfügung stellen, oder? //

Frage mal die KI deines Vertrauens ob das BSI in DE, die via Internet erreichbaren DNS-Server, „überwacht“.

Hab es gerade bei meiner Fritzbox ausprobiert - alle Ports sind Closed oder Stealth. Ich hab ja nichts an den Grundeinstellungen verändert, weil ich keine Dienste nach außen offen haben muß.

Wenn der Port bei dem Telekom-Router meiner Schwester offen ist, dann haben die das selber so (fehl-)konfiguriert. Und dann eine Warnmail schicken. Solche Helden braucht das Land!

lubux schrieb:

Frage mal die KI deines Vertrauens ob das BSI in DE, die via Internet erreichbaren DNS-Server, „überwacht“.

Sie scannen nicht selbst. Infos gibts hier zum nachlesen: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Reaktion/CERT-Bund/CERT-Bund-Reports/cert-bund-reports_node.html

b20 schrieb:

Wenn der Port bei dem Telekom-Router meiner Schwester offen ist, dann haben die das selber so (fehl-)konfiguriert. Und dann eine Warnmail schicken. Solche Helden braucht das Land!

Ja, Fehler können statt finden, auch bei der Telekom. Aber die „Fehlkonfiguration“ kann auch durch einen Hack zustande kommen.