[Discuss] DNS-Amplification Attack Security Patch

Erich N. Pekarek (spam-protected)
Fr Jun 15 10:11:01 CEST 2012


Hallo Martin!

Am 2012-06-15 09:07, schrieb Martin Heinrich:
> Hallo,
>
> toll, dass solche diskussionen geführt werden :-) *schwarmintelligenz*
>
> > Wahrscheinlich handelt es sich um eine alte Defaultkonfiguration, die
> > mitgeschleppt wurde. In aktuellen Builds (OpenWRT) gibt es sie AFAIK
> > nicht. In 1163 ist sie mir auch noch nicht aufgefallen.
>
> dazu eine input:
> sollten wir eine möglichkeit schaffen "default bis auf das wesentliche 
> wieder herstellen".
Das könnte man über ein Repository an Default-Konfigurationen erreichen. 
Dazu bräuchte es ein Skripterl, mit dem sich der Router wget sich die 
aktuellen Konfigurationen abholt. Ideal wäre sowas wie run-parts, was 
vermutlich mit uCI noch nicht geht - dann könnte man pro Sektion einer 
Konfiguration ein eigenes File anlegen, sodass nur der Teil abgerufen 
wird, der Änderungen erfahren soll. Das scheint mir aber noch ein 
bisschen weit entfernt, da Besonderheiten (siehe mac-Adresse in Wifi und 
Co.) besondere Behandlung erfahren müssten.

Wenn Du konkrete Vorschläge hast, bitte poste sie!
>
> das problem:
> wenn man (aufgrund von bugfixes oder dgl) die übersicht über die 
> aktuelle konfig verlogen hat, müsste man flashen um sicher wieder beim 
> original zu sein.
Flashen ist nicht immer richtig. Es genügt zumeist, die rootfs_data zu 
löschen, sodass der Router sie neu initialisiert.
Gerade auf AR72xx-SoCs, die u.a. in TP-Link und UBnt verbaut sind, geht 
das recht einfach.

Bevor man jedoch löscht, noch ein Tip: Bei all den Geräten, bei denen 
ein Reset über das QSS-Knopferl möglich ist (TP-Link TL-WR1043, 
TL-WR842ND, TL-741ND, ...), kann man beim Booten in den Recovery-Mode 
das Einbinden der Rootfs-data übergehen und die Root-Partition mittels 
mount_root später zum Schreiben einbinden. - Das ist hilfreich, wenn man 
z.B.: "nur" die Firewall "geschossen" hat. Dann muss man nämlich nicht 
bei Null beginnen.
- Das nur am Rande :-)


> das bedeutet aber angefangen beim passwort über ip-addressen alles 
> wieder von vorne konfigurieren zu müssen.
> haben wir einen überblick über "welche sind die relevanten 
> konfigurationsdateien"?
Im Wesentlichen /etc/config/*
Erläuterungen siehe OpenWRT-Doku.
>
> mögliche lösung:
> die default-konfig (also die summe aller relevanten konfig-dateien) 
> gepackt zur verfügung stellen.
Variiert nach Gerät und Build, und ist daher nicht unbedingt zweckmäßig, 
sondern vermutlich eher verwirrend.
Du kannst aber jederzeit nach einer Einrichtung das Verzeichnis 
/etc/config auf Deinen Rechner sichern und hast so den aktuellen Stand. 
(Afaik: macht das "Sichern" der LuCI genau dieses Archiv). Bitte 
überprüfe das einmal.

> dann kann man auf der konsole (zunächst manuell) ein diff betrachten 
> und alles wieder richtung original gerade ziehen bis dass diff ein 
> wohldefiniertes überschaubares maß erreicht hat.
> in einer 2. stufe könnte man einen solchen check skripten...
Hmmm, ...
ich bin davon noch nicht überzeugt, obwohl ich den Nutzen erkenne. Wie 
gesagt, eine Sicherung tut es auch.
Ein Archiv der jeweils aktuellen Defaults pro Build klingt aber sinnvoll.

>
> ganz generell:
> 1. solche diskussionen über fehlerbilder werden deutlich kürzer, wenn 
> man ganz schnell ziemlich sicher sein kann, dass das device nicht 
> ver-konfiguriert ist.
Was bei einem Sysupgrade leicht passieren kann, da die Konfigurationen 
beibehalten werden.
ABER: opkg legt in diesem Fall meines Wissens eine neue Datei mit dem 
Suffix "-opkg" an, sodass man die Inhalte manuell vergleichen kann.
Man muss also nach einem Upgrade nur prüfen, ob da neuere Dateien 
vorhanden sind.
Ich bin mir in dieser Sache im Moment nicht sicher - Ob das jemand für 
mich testen möchte?


> 2. bei einem image-update, welche konfig wird dabei überschrieben? 
> oder bleibt immer die alte drin??? --> siehe 1.

Siehe Antwort zu 1.

>
> lg,
> martin

LG
Erich
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.funkfeuer.at/pipermail/discuss/attachments/20120615/3910f671/attachment.htm>


Mehr Informationen über die Mailingliste Discuss