KB-3500

Open DNS Resolver

Hin und wieder weisen Provider ihre Kunden unter dem Stichwort "Open DNS Resolver" auf ein mögliches Sicherheitsrisiko hin. Der Inhalt der Benachrichtigung lautet in etwa wie folgt:

"...haben festgestellt, dass die von Ihnen benutzte IP-Adresse als "Open Resolver" DNS-Anfragen bearbeitet. Entweder betreiben Sie einen offenen DNS-Server oder Ihr Router beantwortet DNS-Anfragen aus dem Internet."

Für den Besitzer eines solchen Anschlusses besteht dabei zwar kein unmittelbares Sicherheitsrisiko, jedoch lassen sich derart eingerichtete Router relativ einfach für sogenannte DNS Amplification Attackenzweckentfremden. Der eigene Router wird dabei als Werkzeug für einen gezielten Angriff auf eine dritte Partei missbraucht. Diese Angriffe nehmen in jüngster Zeit zu und verursachen eine nicht unerheblichen Belastung der Provider-Netzwerke. Um solchen Angriffen die Basis zu entziehen, ist es wichtig, entsprechende Lücken so weit wie möglich zu schliessen.

Auch wenn die Beantwortung von DNS-Anfragen aus dem Internet keine direkte Gefahr auf das eigene Netzwerk darstellt, kann der Provider entsprechende Anschlüsse vom Netz nehmen. Somit sähe man sich zumindest mit einem Unterbruch der Konnektivität konfrontiert.

Wie teste ich meinen Anschluss?

Thinkbroadband bietet eine einfache aber aussagekräftige Testmöglichkeit. Der Testserver initiiert dabei eine DNS-Anfrage auf die öffentliche IP-Adresse des eigenen Netzwerkes. Das Ergebnis gibt darüber Auskunft, ob die DNS-Anfrage beantwortet wurde oder nicht.

Test mit nslookup
 

In komplexeren WAN-Anbindungen, zum Beispiel mit Routern im Transparent-Routing-Mode zur Terminierung von PPPoE und Einsatz mehrerer öffentlichen IP-Adressen, bietet sich der Befehl nslookup an. Dieser stellt eine DNS-Anfrage zur Namensauflösung an eine festgelegte IP-Adresse und zeigt das Ergebnis an.

Wichtig: Die öffentlichen IP-Adressen des eigenen Netzwerks lassen sich so nicht prüfen! Der Rechner für den Test muss sich in einem unabhängigen Netz befinden. Die Befehle lassen sich gleichermassen unter Windows in der Eingabeaufforderung oder unter OSX im Terminal absetzen.

1. NsLookup ausführen: nslookup -q=any
    
2. Zu prüfende WAN-IP als DNS-Server festlegen: server 8.8.8.8
    
3. Beliebigen gültigen DNS-Namen zur Auflösung eingeben: www.switch.ch

Wird der Name aufgelöst, zeigt NsLookup die IP-Adresse und einige weitere Informationen zum DNS-Eintrag an. Ist die geprüfte IP-Adresse hingegen für DNS-Anfragen dicht, wird die Anfrage mit einer Fehlermeldung quittiert.

FAQ

Ein Port-Scanner meint, Port 53 sei aus dem Internet erreichbar. Ist mein Netzwerk jetzt offen für DNS-Anfragen?
 

DNSTools führt über den Menüpunkt "Port Scan" einen Test auf die eigene WAN-IP-Adresse aus und listet offene Ports auf. Der Port 53 für DNS-Anfragen sollte normalerweise geschlossen sein. Ein offener Port bedeutet aber noch nicht zwingend, dass auf eine Anfrage auch ein entsprechender Dienst antwortet. Mehr Gewissheit bietet der Test von Thinkbroadband.

Ist das beschriebene Verhalten ein Bug des Routers?
 

Netzwerktechnisch spricht nichts dagegen, eine DNS-Anfrage aus dem Internet zu beantworten. Die Anfrage wird korrekt entgegengenommen, der mitgelieferte Domänenname aufgelöst und die dahinterstehende IP-Adresse zurückgeliefert. Erst der Missbrauch für Angriffe machte es notwendig, Anfragen in der Grundkonfiguration abzuweisen. Einige Router ohne Firewall bieten unter Umständen aber keine Möglichkeit, DNS-Anfragen zu filtern oder den DNS-Dienst zu deaktivieren. Andere Router erfordern manuelle Konfigurationsanpassungen.

Mein Netzwerk beantwortet DNS-Anfrage aus dem Internet. Wie kann ich das verhindern?

Die Mehrheit der von Zyxel in Verkehr gebrachten Router blockiert DNS-Anfrage aus dem Internet bereits in den Werkseinstellungen. Falls nicht, hilft folgendes Vorgehen:
 

• Sicherstellen, dass die Firewall aktiviert ist.
   
• Viele ADSL-Router der Prestige 660-Serie können den DNS-Dienst auf das LAN-Interface beschränken. Dazu im Menü "Advanced > Remote MGNT > DNS" die Einstellung "Access Status" auf "LAN" setzen.
   
• Portweiterleitung von Port 53 auf unbenutzte IP, z.B. 192.168.1.250. Ein Portscanner meldet zwar immer noch einen offenen Port. Eine konkrete DNS-Anfrage läuft so aber ins Leere.

Können alle Router und Firewalls DNS-Anfragen aus dem Internet blockieren?

Einige Modell oder spezielle Betriebsarten lassen sich nicht oder nur bedingt für DNS-Anfragen einschränken.
 

• Router im Transparent-Routing-Mode: Zur Zeit keine Lösung bekannt. Alternativ lässt sich der Router im Bridge-Mode betreiben. Dies erfordert aber möglicherweise weitere Konfigurationsanpassungen im Netzwerk.
   
• P870H/HN: Bei Konfiguration über Wizard nicht ansprechbar für DNS-Anfragen aus dem Internet. Bei manueller Konfiguration im Internet-Profil ptm.0/ppp.0 die Firewall auf enable setzen. Nur bis Firmware Version 3 notwendig, spätere Versionen beinhalten angepasste Grundkonfigurationen.

Weitere Informationen und Links zum Thema:

http://securitywatch.pcmag.com/hacking/310118-are-you-a-zombie-how-to-check-for-open-dns-resolvers

http://www.green.ch/Portals/0/Support/pdf/Anleitung_OpenResolver_DE.pdf

http://www.thinkbroadband.com/tools/dnscheck.html

http://www.dnstools.ch/

http://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1