Liebe Funkfeuer-Community,<div>seit geraumer Zeit treten in unserem Funkfeuer-Netz .sog. <a href="http://de.wikipedia.org/wiki/DNS_Amplification_Attack">DNS-Anplification Attacken</a> auf. Unser Aaron und seine <a href="http://www.cert.at/">CERT</a> haben darauf <a href="http://www.cert.at/services/blog/20120217125653-154.html">bereits im Februar 2012 hingewiesen</a>.</div>
<div>Bei diesen Angriffen werden die, in unseren Routern eingebauten DNS-Server mit einer manipulierten IP-Adresse abgefragt und senden ihre Antwort an diese Adresse.</div><div>Somit ist mit einer kurzen Anfrage von wenigen Byte eine viel längere Antwort möglich (Amplification). Wenn dies von vielen DNS-Servern im Netz geschieht könnt ihr euch vorstellen, was mit der Zieladresse passiert.</div>
<div><br></div><div>Im diesen Leuten die Chance zu nehmen, unsere Router für ihr böses Spiel zu missbrauchen bitte ich euch, den DNS-Server auf allen ÖFFENTLCHEN Interfaces zu deaktivieren. Das geht so:</div><div><br></div>
<div><ol><li><u>Verbindet euch mit einem SSH-Client (z.B. <a href="http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe">Putty unter Windows</a>) mit eurem Router.</u><br><br>Dazu nur den Namen eures Devices oder die IP in das Feld HostName eintragen und mit "Open" einsteigen.<br>
Als User "root" und dann euer Admin-Passwort eingeben, schon seid ihr angemeldet.<br><br></li><li><u>Nur mehr für JEDE Schnittstelle, auf der ihr eine Funkfeuer IP-Adresse (78.41.xx.xx, oder 193.238.xx.xx) konfiguriert habt, das Kommando</u><br>
<br><b>uci add_list dhcp.@dnsmasq[0].notinterface=[Name der Schnittstelle]<br>uci commit dhcp</b><br><br>Anm.: Die richtigen Namen findet ihr über das Webinterface unter Netzwerk, Schnittstellen. Aber VORSICHT! Wenn ihr versehentlich den DNS-Server auf euren lokalen Schnittstellen (meist LAN) deaktiviert, kommt ihr nur mehr eingeschränkt ins Internet<br>
<br></li><ol><li><u>Bei Routern über die ihr aus eurem lokalen Netz ins Internet gelangt ist das daher:</u><br><b>uci add_list dhcp.@dnsmasq[0].notinterface=air0</b><br><b>uci commit dhcp<br><br></b></li><li><u>Router auf denen beide (oder mehrere) Schnittstellen mit FunkFeuer-IPs bestückt sind (reine Mesh-Devices)<br>
</u><b>uci add_list dhcp.@dnsmasq[0].notinterface=air0<br></b><b><b>uci add_list dhcp.@dnsmasq[0].notinterface=lan<br></b></b><b>uci commit dhcp<br><br></b></li></ol><li><u>Restarten oder besser rebooten</u></li></ol><div>
Anm.: Leute die ihre Änderungen auch kontrollieren wollen können über putty und das Kommando "<b>uci show dhcp" </b>die Einstellungen des DNS/DHCP-Servers abfragen.</div></div><div>Darin solltet ihr den Eintrag "dhcp.@dnsmasq[0].notinterface=air0" oder bei zwei Schnittstellen "dhcp.@dnsmasq[0].notinterface=air0 lan" finden.</div>
<div><br></div><div>Sollte euch das zu mühsam sein, könnt ihr aber auch auf den Backfire-Vienna Security Patch (V2.2.1) warten. (Was ich aber aufgrund der stark steigenden Zahl an Attacken NICHT EMPFEHLE). Dieser wird dann gleich die Möglichkeit besitzen, die Interfaces über das GUI zu konfigurieren.</div>
<div><br></div><div>PS: Danke an Aaron, Gottfried, Daniel und Runout bez. eurer zielführenden Beiträge</div><div><br></div><div>LG</div><div>JoeSemler</div><div>Backfire Vienna Developement</div><div><br></div><div><br></div>
<div><br></div>