[Discuss] DNS-Amplification Attack Security Patch

[Erich N. Pekarek]

Lieber Markus!


Am 2012-06-14 13:00, schrieb Markus Gschwendt:
> ...
>
> ich bin der meinung, dass nicht der dnsmasq das problem ist, sondern die
> die derzeitige default-config.
Ack.
> bzw. die art der umsetzung der config im openwrt.
Ack.
>
> eine option 'notinterface' sagt schon alles... ein fehlkonzept.
Nicht unbedingt. Das Konzept geht davon aus, dass der Dienst prinzipiell 
auf allen Interfaces auf Port 53 horcht, aber Anfragen ignoriert, die 
auf "not*" konfiguriert sind. Ich halte das auch nicht für optimal und 
das Argument der besseren Wartbarkeit für widersprüchlich - aber die 
Software bietet ja auch den anderen Weg. Wofür man sich letztlich 
entscheidet, ist Sache des Anwenders.

Das Fehlkonzept in Openwrt besteht darin, dass sich wohl niemand 
Gedanken über Sicherheitsaspekte gemacht hat.
> es ist immer schlecht zuerst alles aufzumachen und dann das zuzusperren
> was man nicht offen haben will. das sollte genau umgekehrt sein.
Ganz meine Rede. Mit der Option --bind-interfaces in Kombination mit 
--interface=lo tust Du genau das. Alternativ kannst Du auch die 
IP-Adressen mit --listen-address=w.x.y.z angeben.
Dann macht er genau das, was er soll.


Interessanterweise habe ich vor drei Wochen auch noch über Dnsmasq 
geschimpft. Seit ich das Manual gelesen habe, bin ich sogar recht 
angetan davon.
>
> markus
>
>
>

LG
Erich
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.funkfeuer.at/pipermail/discuss/attachments/20120614/df2f05cf/attachment.htm>