[Discuss] DNS-Amplification Attack Security Patch

Erich N. Pekarek (spam-protected)
Do Jun 14 12:03:06 CEST 2012 

Hallo Adi!

Am 2012-06-14 11:27, schrieb Adi Kriegisch:
> Nein, sind wir nicht. Und ob der in OpenWRT drinnen ist oder nicht, 
> ist genau vollkommen uninteressant, weil OpenWRT auf eben die 
> erwähnten Heimnetze abgestimmt ist. (Das ist genau das gleiche Problem 
> mit zB dem QoS-Package) 

Ist es das? Das darf bezweifelt werden, denn die für Heimnetze und 
"Heimnutzer" relevanten Pakete wirst Du bei aktueller Hardware mühsam 
aus dem Trunk nachinstallieren müssen.
Das "Produkt" OpenWRT hat ein breites Anwendungsspektrum und es steht 
Dir frei, Deine Anforderungen beim Projekt einzubringen oder einen 
eigenen Flavour zu kreieren.

>> Warum sollten wir? Richtig konfiguriert hat er mehr Vorteile als 
>> Nachteile. 
> Die da wären? Ich seh nur einen Vorteil: einfachere Imageerzeugung, weil so
> niemand was nachinstallieren muß um einen DHCP-Server zu bekommen.
DNS-Caching, TFTP zum Flashen anderer Geräte im Netzwerksegment, ein 
Paket für all dies, ...
Das mit der einfacheren Imageerzeugung bezweifle ich, aber die Nutzung 
wird dadurch einfacher.

> Sonst eher Nachteile:
> - schickt parallele Requests an _alle_ eingestellten DNS-Server
Dann stell halt nur einen ein oder konfiguriere es anders. Hier ist der 
Parameter:

*--all-servers*
    By default, when dnsmasq has more than one upstream server
    available, it will send queries to just one server. Setting this
    flag forces dnsmasq to send all queries to all available servers.
    The reply from the server which answers first will be returned to
    the original requester. 

Setze "all-servers" nicht, und er sendet nur einen Request.

> - bietet -- wie wir alle sehen konnten -- eine nicht unwesentliche
>    Angriffsfläche
Eh klar, wenn man per Default Port 53 auf allen Interfaces aufmacht, ist 
das so, wie wenn Du den Einbrechern einen mehrsprachigen, gut sichtbaren 
Hinweis auf die Unversperrtheit Deiner Wohnung aufstellst... aber warum 
würdest Du das tun wollen?

Es ist leicht gegen eine Sache Bashing zu betreiben, aber sachliche 
Argumente und Informiertheit wären vorzuziehen.
> - Hat eine "kaputte" Konfiguration. "Richtig" konfigurieren geht über GUI
>    im Moment garnicht.
Dann implementiere es. Alle nötigen Einstellungen sind in dhcp.lua für 
LuCI und uCI-Werte liest /etc/init.d/dnsmasq aus.
Es ist nicht wirklich umwerfend kompliziert, ich hatte es als Laie auf 
dem Gebiet in 30 Minuten. RTFM hilft.

>    (Und wenn wir wollen, daß die Konfiguration der Router "einfach" und "wie
>    von selbst" geht, müssten wir endlich anfangen, richtige Zonennamen zu
>    propagieren an Stelle von air0 und wan. So wird das mit dem dnsmasq nur
>    ein Knieschuß)
Oje,...
Besser als ein Filter ist es, den Port gar nicht erst aufzumachen. So 
eine Firewall kann einen schon in falscher Sicherheit wiegen, wenn man 
nicht weiß, was man tut.

>
> Abgesehen davon kann jeder dieser Router auch ganz einfach andere
> DNS-Server als dnsmasq auf localhost verwenden, indem man sie einfach in
> /etc/resolv.conf einträg.
Und das geht über das Interface?
Ich dachte, man trägt das beim Interface ein und überläßt uCI den Eintrag?
Btw: die Datei, die Du meinst ist /tmp/resolv.conf - die andere wird zur 
Laufzeit meines Wissens gar nicht ausgelesen.
Du kannst das leicht auf einer Neuinstallation austesten, die statisch 
konfiguriert ist. Über eine Rückmeldung wäre ich dankbar! Es kann sein, 
dass meine Information überkommen ist.

> Auch jeder Rechner hinter einem NAT-Gateway kann andere DNS-Server
> verwenden, wenn sie ihm der DHCP-Server liefert.
Er kann sie auch dann benützen, wenn man sie händisch einträgt. DHCP ist 
sowieso überflüssig... die User kennen die Konfiguration des Netzwerkes 
sowieso immer besser. Darum löschen sie auch ständig das Internet... ;->

>
> lg Adi

Darf ich aus Deinem Interesse an dem Thema schließen, dass Du gewillt 
bist, die Patches zu testen?
Du bist herzlich willkommen, meine Behauptungen zu widerlegen und 
bessere Lösungswege zu finden - ich bin offen dafür.

SG
Erich

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.funkfeuer.at/pipermail/discuss/attachments/20120614/4a3e81ed/attachment.htm>

Mehr Informationen über die Mailingliste Discuss