Ihre Virtuelle Maschine (VM) kann und wird sich im Falle eines Open DNS Resolvers an Angriffen gegen andere Netzwerke beteiligen. Befolgen Sie die folgenden Anweisungen zum Beheben des Problems.
Ein "Open DNS Resolver" ist ein DNS-Server der rekursive DNS-Anfragen für Jedermann im Internet beantwortet. Das ist ähnlich wie ein offenes SMTP-Relay, mit welchem böswillige dritte Parteien Spam verschicken können. Bei Open DNS Resolvern besteht das Problem darin, dass sie für Denial-of-Service-Angriffe ausgenutzt werden können welche als DNS Amplification Attack bezeichnet werden.
Die Art und Weise eines solchen Angriffs ist simpel - weil Ihr Server rekursive DNS-Abfragen von jedermann beantwortet kann ein Angreifer den Server an einer DDoS-Attacke teilnehmen lassen indem er Ihrem Server eine solche rekursive DNS-Abfrage schickt. Diese wird mit einer viel grösseren Menge an Daten beantwortet als das ursprüngliche DNS-Anfragepaket. Durch Spoofing (Fake) der IP-Adresse des Angreifers schickt Ihr DNS-Server diesen zusätzlichen Traffic (die Antwort auf die DNS-Abfrage) auf den Computer des Opfers der DDoS-Attacke. Auf diese Weise kann jemand mit relativ wenig Bandbreite einen Denial-of-Service-Angriff um ein vielfaches verstärken.
Folgende Methoden können das verhindern:
Bind DNS-Server (Linux/Unix)
Bei Bind bietet es sich an Recursion nur aus gewissen Netzen zu erlaufen. Hier eine Beispiel-Konfiguration:
options {
directory "/var/named/master";
allow-recursion { 127.0.0.1; 10.0.0.0/8; 192.168.0.0/16; 172.16.0.0/12; };Damit sagen Sie Bind, dass eine Auflösung nur aus den 4 definierten IPs/IP-Ranges zugelassen ist.
Windows DNS-Server
Leider bietet Windows DNS keine Möglichkeit, Recursion auf gewisse Netze einzugrenzen. Folgende 2 Methoden bieten Alternativen:
Methode 1: Blockieren via Firewall
- Loggen Sie sich unter https://cp.iwaycloud.ch/ ein und wählen Sie die betroffene VM aus.
- Öffnen Sie die Firewall-Rules der VM via "Networking" → "Firewall" und erstellen Sie eine neue Regel gemäss folgenden Angaben:
- Bestätigen Sie durch klicken auf "Apply Firewall Rules"
Alternativ kann diese Blockade auch über die in Windows integrierte Firewall eingerichtet werden.
Methode 2: Recursion deaktivieren (benutzen Sie diese Methode wenn Ihr DNS Server als Name Server für Public Domains eingesetzt wird)
Siehe dazu auch https://technet.microsoft.com/en-us/library/cc771738(v=ws.11).aspx
- Öffnen Sie den DNS Manager
- Wählen Sie "Properties" via Rechtsklick auf den Servernamen Ihres DNS-Hosts
- Wechseln Sie auf das Tab "Advanced"
- Unter "Server options" aktivieren Sie die Option "Disable recursion (also disables forwarders)
Achtung: Ab diesem Zeitpunkt können andere interne Systeme im selben Active Directory die den betroffenen DNS Server zur Namensauflösung verwenden auch nur noch interne Namen auflösen. Ein auflösen externer Domains ist nicht mehr möglich. Dieses Problem kann nur mit einem zweiten DNS-Server im selben Active Directory umgangen werden wobei einer der DNS-Server als Resolver fungiert und der andere als Authoritative.
Eine gute Beschreibung über den Unterschied von Authoritative-DNS und Recursive-DNS finden Sie unter https://blog.opendns.com/2014/07/16/difference-authoritative-recursive-dns-nameservers/
