<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 10pt;
font-family:Tahoma
}
--></style></head>
<body class='hmmessage'><div dir='ltr'>
Hallo nochmal,<br><br>noch spannender als unten beschrieben ist, dass der Patch nicht die Ursache war (jetzt bin ich mit Patch online), aber eine Lösung...<br>Wie seht ihr das?<br><br>Gute Nacht!<br><br><div><div id="SkyDrivePlaceholder"></div><hr id="stopSpelling">From: heinrichmartin@hotmail.com<br>To: discuss@lists.funkfeuer.at<br>Date: Tue, 12 Jun 2012 22:57:39 +0200<br>Subject: [Discuss] DNS-Amplification Attack Security Patch<br><br>
<style><!--
.ExternalClass .ecxhmmessage P
{padding:0px;}
.ExternalClass body.ecxhmmessage
{font-size:10pt;font-family:Tahoma;}
--></style>
<div dir="ltr">
Hallo,<br><br>seit einiger Zeit komm ich von meinem LAN nicht mehr ins Netz.<br>Zunächst scheint es wie ein DNS Problem, aber auch per IP surfen klappt nicht so richtig.<br><br>Die Symptome sind vage. Fix ist, dass ich von der AirGrid (= FF-Grenze) alles mögliche pingen kann.<br>Vom Router dahinter bereits nicht mehr.<br><br>Wider Erwarten hat jetzt das rückgängig Machen des Patches von Joe geholfen!?<br>Also:<br>:~# uci remove dhcp.@dnsmasq[0].notinterface<br>:~# uci commit<br>:~# reboot<br>... und ich bin wieder online.<br><br>:~# uci show dhcp<br>dhcp.@dnsmasq[0]=dnsmasq<br>dhcp.@dnsmasq[0].domainneeded=1<br>dhcp.@dnsmasq[0].boguspriv=1<br>dhcp.@dnsmasq[0].filterwin2k=0<br>dhcp.@dnsmasq[0].localise_queries=1<br>dhcp.@dnsmasq[0].rebind_protection=1<br>dhcp.@dnsmasq[0].rebind_localhost=1<br>dhcp.@dnsmasq[0].local=/lan/<br>dhcp.@dnsmasq[0].domain=lan<br>dhcp.@dnsmasq[0].expandhosts=1<br>dhcp.@dnsmasq[0].nonegcache=0<br>dhcp.@dnsmasq[0].authoritative=1<br>dhcp.@dnsmasq[0].readethers=1<br>dhcp.@dnsmasq[0].leasefile=/tmp/dhcp.leases<br>dhcp.@dnsmasq[0].resolvfile=/tmp/resolv.conf.auto<br>dhcp.lan=dhcp<br>dhcp.lan.interface=lan<br>dhcp.lan.ignore=1<br>dhcp.wan=dhcp<br>dhcp.wan.interface=wan<br>dhcp.wan.ignore=1<br><br>Ich werde den Patch jetzt wieder einspielen und mit dem Modem online gehen; ist ja doch nur ein Testnetzwerk ;-P<br>Hat jemand eine Idee, was es da hat?<br><br>:~# uci add_list dhcp.@dnsmasq[0].notinterface=air0<br>:~# uci commit dhcp<br>:~# reboot<br><br>LG,<br>heinrichmartin<br><br>From (spam-protected) Sun May 13 10:52:00 2012<br>From: (spam-protected) (Josef Semler)<br>Date: Sun, 13 May 2012 10:52:00 +0200<br>Subject: [Wien] =?iso-8859-1?q?DNS-Anplification_Attck=3A_Securty_Patch_f?=<br> =?iso-8859-1?q?=FCr_Backfire_Vienna?=<br>Message-ID: <CAPsaeQOfU7Ams8m1NkWN2rUL7a3jbDHhzBgf6wh2dxib769cYw@mail.gmail.com><br><br>Liebe Funkfeuer-Community,<br>seit geraumer Zeit treten in unserem Funkfeuer-Netz .sog. DNS-Anplification<br>Attacken <http://de.wikipedia.org/wiki/DNS_Amplification_Attack> auf. Unser<br>Aaron und seine CERT <http://www.cert.at/> haben darauf bereits im Februar<br>2012 hingewiesen <http://www.cert.at/services/blog/20120217125653-154.html>.<br>Bei diesen Angriffen werden die, in unseren Routern eingebauten DNS-Server<br>mit einer manipulierten IP-Adresse abgefragt und senden ihre Antwort an<br>diese Adresse.<br>Somit ist mit einer kurzen Anfrage von wenigen Byte eine viel längere<br>Antwort möglich (Amplification). Wenn dies von vielen DNS-Servern im Netz<br>geschieht könnt ihr euch vorstellen, was mit der Zieladresse passiert.<br><br>Im diesen Leuten die Chance zu nehmen, unsere Router für ihr böses Spiel zu<br>missbrauchen bitte ich euch, den DNS-Server auf allen ÖFFENTLCHEN<br>Interfaces zu deaktivieren. Das geht so:<br><br><br> 1. *Verbindet euch mit einem SSH-Client (z.B. Putty unter<br>Windows<http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe>)<br> mit eurem Router.*<br><br> Dazu nur den Namen eures Devices oder die IP in das Feld HostName<br> eintragen und mit "Open" einsteigen.<br> Als User "root" und dann euer Admin-Passwort eingeben, schon seid ihr<br> angemeldet.<br><br> 2. *Nur mehr für JEDE Schnittstelle, auf der ihr eine Funkfeuer<br> IP-Adresse (78.41.xx.xx, oder 193.238.xx.xx) konfiguriert habt, das Kommando<br> *<br><br> *uci add_list (spam-protected)[0].notinterface=[Name der Schnittstelle]<br> uci commit dhcp*<br><br> Anm.: Die richtigen Namen findet ihr über das Webinterface unter<br> Netzwerk, Schnittstellen. Aber VORSICHT! Wenn ihr versehentlich den<br> DNS-Server auf euren lokalen Schnittstellen (meist LAN) deaktiviert, kommt<br> ihr nur mehr eingeschränkt ins Internet<br><br> 1. *Bei Routern über die ihr aus eurem lokalen Netz ins Internet gelangt<br> ist das daher:*<br> *uci add_list (spam-protected)[0].notinterface=air0*<br> *uci commit dhcp<br><br> *<br> 2. *Router auf denen beide (oder mehrere) Schnittstellen mit<br> FunkFeuer-IPs bestückt sind (reine Mesh-Devices)<br> **uci add_list (spam-protected)[0].notinterface=air0<br> **uci add_list (spam-protected)[0].notinterface=lan<br> **uci commit dhcp<br><br> *<br> 3. *Restarten oder besser rebooten*<br><br>Anm.: Leute die ihre Änderungen auch kontrollieren wollen können über putty<br>und das Kommando "*uci show dhcp" *die Einstellungen des DNS/DHCP-Servers<br>abfragen.<br>Darin solltet ihr den Eintrag "(spam-protected)[0].notinterface=air0" oder bei<br>zwei Schnittstellen "(spam-protected)[0].notinterface=air0 lan" finden.<br><br>Sollte euch das zu mühsam sein, könnt ihr aber auch auf den Backfire-Vienna<br>Security Patch (V2.2.1) warten. (Was ich aber aufgrund der stark steigenden<br>Zahl an Attacken NICHT EMPFEHLE). Dieser wird dann gleich die Möglichkeit<br>besitzen, die Interfaces über das GUI zu konfigurieren.<br><br>PS: Danke an Aaron, Gottfried, Daniel und Runout bez. eurer zielführenden<br>Beiträge<br><br>LG<br>JoeSemler<br>Backfire Vienna Developement </div>
<br>--
Discuss mailing list
Discuss@lists.funkfeuer.at
https://lists.funkfeuer.at/mailman/listinfo/discuss</div> </div></body>
</html>