Router - beantworten DNS-Anfragen aus dem Internet - Sicherheitsproblem - ALL-VPN20 ALL-VPN10
Geschrieben von on 08 November 2013 09:35
|
|
Wenn der ALL-VPN20 DNS-Anfragen aus dem Internet beantwortet, ist dies ein Sicherheitsproblem und kann z.B. von Hackern für Attacken auf Geräte im Internet missbraucht werden.
Überprüfung des möglichen Problems: Ein PC an einem anderen Internet-Anschluss bekommt nur die WAN-Adresse des ALL-VPN20 als DNS-Server konfiguriert. Wenn man dann im Internet normal surfen kann, funktioniert der ALL-VPN20 fälschlicherweise als DNS-Server !
Alternativer Test mit "nslookup" im DOS-Fenster eines Client-PCs:
C:\>nslookup -q=all <-- nslookup mit Option starten Standardserver: all8idc2.allnet.de Address: 10.20.10.14 > server 188.174.82.149 <-- ALL-VPN20 als alleinigen DNS-Server einstellen DNS request timed out. timeout was 2 seconds. Standardserver: [188.174.82.149] Address: 188.174.82.149 > allnet.de <-- So sieht es aus, wenn ALL-VPN20 korrekt DNS-Anfragen blockiert Server: [188.174.82.149] Address: 188.174.82.149 DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. *** Zeitüberschreitung bei Anforderung an [188.174.82.149] > allnet.de <-- So sieht es aus, wenn der ALL-VPN20 fälschlicherweise als DNS-Server funktioniert Server: [188.174.82.149] Address: 188.174.82.149 Nicht autorisierte Antwort: allnet.de primary name server = ns.inetra.de responsible mail addr = wmbauer.allnet.de serial = 2011010271 refresh = 43200 (12 hours) retry = 7200 (2 hours) expire = 604800 (7 days) default TTL = 86400 (1 day) allnet.de nameserver = ns2.inetra.de allnet.de nameserver = ns.inetra.de allnet.de internet address = 212.18.29.151 allnet.de MX preference = 5, mail exchanger = mail.allnet.de allnet.de text = "v=spf1 ip4:212.18.29.0/24 -all" mail.allnet.de internet address = 212.18.29.59 > Lösung und Ursache des Problems: Das Problem tritt nur auf, wenn der Benutzer die Firewall im ALL-VPN20 abschaltet. Wird diese wieder aktiviert unter "Firewall" - "General Policy" ist das Problem behoben.
Alternative Lösung bei abgeschalteter Firewall: Falls die Firewall aus guten Gründen deaktiviert sein soll, kann man das Problem auch anders lösen. Unter "Advanced Function" richtet man für den Service "DNS" eine Port-Weiterleitung auf eine unbenutzte IP-Adresse im LAN-Subnetz ein. Damit werden eventuelle DNS-Anfragen aus dem Internet in's Nirwana geleitet. | |
|