[Wien] floridsdorf wieder online

gerhard poller (spam-protected)
Mi Okt 24 00:55:02 CEST 2012 

hab gestern dienstag mit einer hauruck aktion eine 5ghz verbindung auf
den knoten biss zu zelter7  gebaut
dabei musste ich einen knoten ausperren (gesondertes mail an user)
wegen dns atacken

neue backfire rc1 ist da zu finden
ftp://oe1xrw.ozw.wien.funkfeuer.at/Firmware/Base/RC1/ar71xx/  ....  
sysupgrade.bin


neue freifunk ist da zu finden
http://ipkg.funkfeuer.at/autoupdate/freifunk-openwrt-autoupdate-1.7.4.11-0xff-markit-recommended.trx



hf akku


/quote aus vergangenen mail/

"Keep our network clean and fast"


Liebe Funkfeuer Community,

wie einige von euch in Erinnerung haben, gibt es bei uns im Netz noch eine  
Menge sogenannte offen rekursive DNS server (dnsmasq ist bei vielen  
Funkfeuer Knoten falsch konfiguriert).

Der Effekt von diesen offen rekursiven DNS servern ist, dass Seiten wie  
z.B. heise.de attackiert werden.
Siehe auch:  
http://www.heise.de/security/meldung/DDoS-auf-Heise-ueber-zu-offene-DNS-Server-1674636.html

Ob jetzt bei dem Angriff auf heise.de Funkfeuer IPs mit im Spiel waren,  
weiss ich nicht. Aber das aendert nichts an der Tatsache, dass unbedachte,  
offene rekursive nameserver keine gute Idee sind (ausser man weiss, was  
man tut zum Beispiel der Server von Google 8.8.8.8 ist OK).

Ich habe mit Mihi mitgeloggt, wie viele offene rekursive nameserver bei  
uns im Netz sind.
Die Zahl wird leider nicht wirklich weniger. Initial hatten wir ~250. Nach  
der ersten Mail gab es ca. 70 weniger. Aber dann blieb es konstant.

Bild: http://vixie.funkfeuer.at/stats.png




Was kann ich tun?
================
1) neueste Backfire Vienna installieren. Da sollte das Problem behoben  
sein (-> Joe? Korrekt?)
2) Sicher gehen, dass die eigene Funkfeuer IP (openwrt box) nciht auf DNS  
Anfragen von ausserhalb des Funkfeuer Netzes reagiert.
Check: http://centralops.net/co/NsLookup.aspx aufrufen. Die eigene IP bei  
"server" eintragen und probieren.
Es sollte aussehen, wie auf dem Bild:



3) Wenn dnsmasq aktiv ist, dann sollte der nur auf das lokale LAN  
interface hoeren (dort wo euer Heim-PC dran haengt) und an keinem anderen  
interface.


Bei Fragen, bitte einfach auf die Liste posten.
Ich hoffe, es kann sich eine motivierte Seele ein paar Minuten Zeit nehmen  
und diese Empfehlungen ins Wiki geben (und natuerlich verbessern!). Das  
waren jetzt nur ein schneller Zwischenbericht aus unserem open recursor  
Monitoring Projekt.

lg,
Aaron.
"Keep our network clean and fast"


Credits: Michael Bauer, Aaron. Danke an Alex Szlezak fuer's Bereitstellen  
des externen VServers.

-- 
Erstellt mit Operas revolutionärem E-Mail-Modul: http://www.opera.com/mail/

Mehr Informationen über die Mailingliste Wien