KB-3500
Letzte Aktualisierung: 24.02.2022
Erstellt am 12.02.2014
Hin und wieder weisen Provider ihre Kunden unter dem Stichwort "Open DNS Resolver" auf ein mögliches Sicherheitsrisiko hin. Der Inhalt der Benachrichtigung lautet in etwa wie folgt:
"...haben festgestellt, dass die von Ihnen benutzte IP-Adresse als "Open Resolver" DNS-Anfragen bearbeitet. Entweder betreiben Sie einen offenen DNS-Server oder Ihr Router beantwortet DNS-Anfragen aus dem Internet."
Für den Besitzer eines solchen Anschlusses besteht dabei zwar kein unmittelbares Sicherheitsrisiko, jedoch lassen sich derart eingerichtete Router relativ einfach für sogenannte DNS Amplification Attackenzweckentfremden. Der eigene Router wird dabei als Werkzeug für einen gezielten Angriff auf eine dritte Partei missbraucht. Diese Angriffe nehmen in jüngster Zeit zu und verursachen eine nicht unerheblichen Belastung der Provider-Netzwerke. Um solchen Angriffen die Basis zu entziehen, ist es wichtig, entsprechende Lücken so weit wie möglich zu schliessen.
Auch wenn die Beantwortung von DNS-Anfragen aus dem Internet keine direkte Gefahr auf das eigene Netzwerk darstellt, kann der Provider entsprechende Anschlüsse vom Netz nehmen. Somit sähe man sich zumindest mit einem Unterbruch der Konnektivität konfrontiert.
Wie teste ich meinen Anschluss?
Thinkbroadband bietet eine einfache aber aussagekräftige Testmöglichkeit. Der Testserver initiiert dabei eine DNS-Anfrage auf die öffentliche IP-Adresse des eigenen Netzwerkes. Das Ergebnis gibt darüber Auskunft, ob die DNS-Anfrage beantwortet wurde oder nicht.
Test mit nslookup
In komplexeren WAN-Anbindungen, zum Beispiel mit Routern im Transparent-Routing-Mode zur Terminierung von PPPoE und Einsatz mehrerer öffentlichen IP-Adressen, bietet sich der Befehl nslookup an. Dieser stellt eine DNS-Anfrage zur Namensauflösung an eine festgelegte IP-Adresse und zeigt das Ergebnis an.
Wichtig: Die öffentlichen IP-Adressen des eigenen Netzwerks lassen sich so nicht prüfen! Der Rechner für den Test muss sich in einem unabhängigen Netz befinden. Die Befehle lassen sich gleichermassen unter Windows in der Eingabeaufforderung oder unter OSX im Terminal absetzen.
Wird der Name aufgelöst, zeigt NsLookup die IP-Adresse und einige weitere Informationen zum DNS-Eintrag an. Ist die geprüfte IP-Adresse hingegen für DNS-Anfragen dicht, wird die Anfrage mit einer Fehlermeldung quittiert.
Ein Port-Scanner meint, Port 53 sei aus dem Internet erreichbar. Ist mein Netzwerk jetzt offen für DNS-Anfragen?
DNSTools führt über den Menüpunkt "Port Scan" einen Test auf die eigene WAN-IP-Adresse aus und listet offene Ports auf. Der Port 53 für DNS-Anfragen sollte normalerweise geschlossen sein. Ein offener Port bedeutet aber noch nicht zwingend, dass auf eine Anfrage auch ein entsprechender Dienst antwortet. Mehr Gewissheit bietet der Test von Thinkbroadband.
Ist das beschriebene Verhalten ein Bug des Routers?
Netzwerktechnisch spricht nichts dagegen, eine DNS-Anfrage aus dem Internet zu beantworten. Die Anfrage wird korrekt entgegengenommen, der mitgelieferte Domänenname aufgelöst und die dahinterstehende IP-Adresse zurückgeliefert. Erst der Missbrauch für Angriffe machte es notwendig, Anfragen in der Grundkonfiguration abzuweisen. Einige Router ohne Firewall bieten unter Umständen aber keine Möglichkeit, DNS-Anfragen zu filtern oder den DNS-Dienst zu deaktivieren. Andere Router erfordern manuelle Konfigurationsanpassungen.
Mein Netzwerk beantwortet DNS-Anfrage aus dem Internet. Wie kann ich das verhindern?
Die Mehrheit der von Zyxel in Verkehr gebrachten Router blockiert DNS-Anfrage aus dem Internet bereits in den Werkseinstellungen. Falls nicht, hilft folgendes Vorgehen:
Können alle Router und Firewalls DNS-Anfragen aus dem Internet blockieren?
Einige Modell oder spezielle Betriebsarten lassen sich nicht oder nur bedingt für DNS-Anfragen einschränken.
Weitere Informationen und Links zum Thema:
http://securitywatch.pcmag.com/hacking/310118-are-you-a-zombie-how-to-check-for-open-dns-resolvers
http://www.green.ch/Portals/0/Support/pdf/Anleitung_OpenResolver_DE.pdf
http://www.thinkbroadband.com/tools/dnscheck.html
http://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1