[Wien] DNS-Anplification Attck: Securty Patch für Backfire Vienna

Josef Semler (spam-protected)
So Mai 13 10:52:00 CEST 2012 

Liebe Funkfeuer-Community,
seit geraumer Zeit treten in unserem Funkfeuer-Netz .sog. DNS-Anplification
Attacken <http://de.wikipedia.org/wiki/DNS_Amplification_Attack> auf. Unser
Aaron und seine CERT <http://www.cert.at/> haben darauf bereits im Februar
2012 hingewiesen <http://www.cert.at/services/blog/20120217125653-154.html>.
Bei diesen Angriffen werden die, in unseren Routern eingebauten DNS-Server
mit einer manipulierten IP-Adresse abgefragt und senden ihre Antwort an
diese Adresse.
Somit ist mit einer kurzen Anfrage von wenigen Byte eine viel längere
Antwort möglich (Amplification). Wenn dies von vielen DNS-Servern im Netz
geschieht könnt ihr euch vorstellen, was mit der Zieladresse passiert.

Im diesen Leuten die Chance zu nehmen, unsere Router für ihr böses Spiel zu
missbrauchen bitte ich euch, den DNS-Server auf allen ÖFFENTLCHEN
Interfaces zu deaktivieren. Das geht so:


   1. *Verbindet euch mit einem SSH-Client (z.B. Putty unter
Windows<http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe>)
   mit eurem Router.*

   Dazu nur den Namen eures Devices oder die IP in das Feld HostName
   eintragen und mit "Open" einsteigen.
   Als User "root" und dann euer Admin-Passwort eingeben, schon seid ihr
   angemeldet.

   2. *Nur mehr für JEDE Schnittstelle, auf der ihr eine Funkfeuer
   IP-Adresse (78.41.xx.xx, oder 193.238.xx.xx) konfiguriert habt, das Kommando
   *

   *uci add_list (spam-protected)[0].notinterface=[Name der Schnittstelle]
   uci commit dhcp*

   Anm.: Die richtigen Namen findet ihr über das Webinterface unter
   Netzwerk, Schnittstellen. Aber VORSICHT! Wenn ihr versehentlich den
   DNS-Server auf euren lokalen Schnittstellen (meist LAN) deaktiviert, kommt
   ihr nur mehr eingeschränkt ins Internet

   1. *Bei Routern über die ihr aus eurem lokalen Netz ins Internet gelangt
      ist das daher:*
      *uci add_list (spam-protected)[0].notinterface=air0*
      *uci commit dhcp

      *
      2. *Router auf denen beide (oder mehrere) Schnittstellen mit
      FunkFeuer-IPs bestückt sind (reine Mesh-Devices)
      **uci add_list (spam-protected)[0].notinterface=air0
      **uci add_list (spam-protected)[0].notinterface=lan
      **uci commit dhcp

      *
   3. *Restarten oder besser rebooten*

Anm.: Leute die ihre Änderungen auch kontrollieren wollen können über putty
und das Kommando "*uci show dhcp" *die Einstellungen des DNS/DHCP-Servers
abfragen.
Darin solltet ihr den Eintrag "(spam-protected)[0].notinterface=air0" oder bei
zwei Schnittstellen "(spam-protected)[0].notinterface=air0 lan" finden.

Sollte euch das zu mühsam sein, könnt ihr aber auch auf den Backfire-Vienna
Security Patch (V2.2.1) warten. (Was ich aber aufgrund der stark steigenden
Zahl an Attacken NICHT EMPFEHLE). Dieser wird dann gleich die Möglichkeit
besitzen, die Interfaces über das GUI zu konfigurieren.

PS: Danke an Aaron, Gottfried, Daniel und Runout bez. eurer zielführenden
Beiträge

LG
JoeSemler
Backfire Vienna Developement
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.funkfeuer.at/pipermail/wien/attachments/20120513/d31fd9c7/attachment.htm>

Mehr Informationen über die Mailingliste Wien