[Discuss] DNS-Amplification Attack Security Patch

[Erich N. Pekarek]

Hallo!

Ihr könnt, wenn Ihr wollt, den Patch von Joe abdrehen und die 
Einstellungen händisch vornehmen:

1. Login als root per ssh
2. vi /etc/init.d/dnsmasq_protection
3. Als zweite Zeile von oben "exit 0" einfügen, esc : x enter
4. vi /etc/dnsmasq.conf
5. Am Ende zwei Zeilen hinzufügen:
      bind-interfaces
      interface=lo
6. /etc/init.d/dnsmasq restart

Der Lösungsweg von Joe deaktiviert alle (bekannten) 
Funkfeuer-Interfaces. Im Falle, dass ein Host eine externe IP außerhalb 
dieser Netze hat, ist er dort wieder betroffen. Der richtigere 
Lösungsweg von Markus - alle Interfaces zu deaktivieren - ist ohne 
Eingriff über die Shell nur mittels Standard-Konfiguration direkt in der 
Datei dnsmasq.conf möglich.

Das bisherige Problem ist, dass das Init-Skript unter die OpenWRT für 
dnsmasq unvollständig ist und uCI-Konfigurationen in dieser Hinsicht 
schlicht ignoriert (/etc/config/dnsmasq). Ein trivialer Patch hierfür 
ist auf dem Weg in Richtung OpenWRT/LuCI-Entwickler und wird somit auch 
in späteren Builds hoffentlich enthalten sein. Für uns hat das den 
Vorteil, dass wir dann mit Standardkonfiguationen statt Code-Hacks 
arbeiten können.

Mit den obigen Zeilen ist Markus Vorschlag, Dnsmasq zunächst auf allen 
Interfaces bis auf Loopback zu deaktiveren, sodann realisiert und kommt 
allen OpenWRT-Nutzern zugute.
Ein LuCI-Patch ist ebenfalls bereits unterwegs. Der Einfachheit halber 
wird der Patch IP-Adressen verwenden und nicht (direkt) Interfaces -er 
wird mittels "listen-address" arbeiten. Wer mehr braucht, sei auf die 
Lektüre der Dnsmasq-Man-Page 
<http://www.thekelleys.org.uk/dnsmasq/docs/dnsmasq-man.html> verwiesen.

LG
Erich

P.S.: siehe untenstehende Kommentare

Am 2012-06-13 09:01, schrieb Markus Kittenberger:
>
>
> 2012/6/12 Martin Heinrich <(spam-protected) 
> <mailto:(spam-protected)>>
>
>     Hallo,
>
>     seit einiger Zeit komm ich von meinem LAN nicht mehr ins Netz.
>     Zunächst scheint es wie ein DNS Problem
>
> nun wenn der dns patch es auslöst, dann ist es aber wohl ein dns 
> problem,..
>
> fraglich ist nur wieso du deinen dnsmasq auf einem meshinterface 
> erreichen willst
> (oder ob joes patch nicht immer macht was er soll)

Das interne Interface wird von ihm nicht modifiziert. Nur bekannte, 
externe Interfaces werden ausgeschaltet.
Es hat aber dennoch den Anschein als ob dnsmasq auf dem externen 
Interface liefe - das ist normal: siehe Man-Page.
Einzig geantwortet wird auf dem Port nicht. Vereinfacht ausgedrückt: 
mittels "bind-interfaces" lässt sich das Interface komplett offline nehmen.
>
> lg Markus
>
>

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.funkfeuer.at/pipermail/discuss/attachments/20120613/b7e2c1bd/attachment.htm>