Knowledgebase: ALLNET Produkte
Router - beantworten DNS-Anfragen aus dem Internet - Sicherheitsproblem - ALL-VPN20 ALL-VPN10
Posted by on 08 November 2013 09:35

Wenn der ALL-VPN20 DNS-Anfragen aus dem Internet beantwortet, ist dies ein Sicherheitsproblem und kann z.B. von Hackern für Attacken auf Geräte im Internet missbraucht werden.

 

Überprüfung des möglichen Problems:

Ein PC an einem anderen Internet-Anschluss bekommt nur die WAN-Adresse des ALL-VPN20 als DNS-Server konfiguriert. Wenn man dann im Internet normal surfen kann, funktioniert der ALL-VPN20 fälschlicherweise als DNS-Server !

 

Alternativer Test mit "nslookup" im DOS-Fenster eines Client-PCs:

 

C:\>nslookup -q=all <-- nslookup mit Option starten

Standardserver: all8idc2.allnet.de

Address: 10.20.10.14

> server 188.174.82.149 <-- ALL-VPN20 als alleinigen DNS-Server einstellen

DNS request timed out.

timeout was 2 seconds.

Standardserver: [188.174.82.149]

Address: 188.174.82.149

> allnet.de <-- So sieht es aus, wenn ALL-VPN20 korrekt DNS-Anfragen blockiert

Server: [188.174.82.149]

Address: 188.174.82.149

DNS request timed out.

timeout was 2 seconds.

DNS request timed out.

timeout was 2 seconds.

*** Zeitüberschreitung bei Anforderung an [188.174.82.149]

> allnet.de <-- So sieht es aus, wenn der ALL-VPN20 fälschlicherweise als DNS-Server funktioniert

Server: [188.174.82.149]

Address: 188.174.82.149

Nicht autorisierte Antwort:

allnet.de

primary name server = ns.inetra.de

responsible mail addr = wmbauer.allnet.de

serial = 2011010271

refresh = 43200 (12 hours)

retry = 7200 (2 hours)

expire = 604800 (7 days)

default TTL = 86400 (1 day)

allnet.de nameserver = ns2.inetra.de

allnet.de nameserver = ns.inetra.de

allnet.de internet address = 212.18.29.151

allnet.de MX preference = 5, mail exchanger = mail.allnet.de

allnet.de text =

"v=spf1 ip4:212.18.29.0/24 -all"

mail.allnet.de internet address = 212.18.29.59

>

Lösung und Ursache des Problems:

Das Problem tritt nur auf, wenn der Benutzer die Firewall im ALL-VPN20 abschaltet. Wird diese wieder aktiviert unter "Firewall" - "General Policy" ist das Problem behoben.

 

Alternative Lösung bei abgeschalteter Firewall:

Falls die Firewall aus guten Gründen deaktiviert sein soll, kann man das Problem auch anders lösen. Unter "Advanced Function" richtet man für den Service "DNS" eine Port-Weiterleitung auf eine unbenutzte IP-Adresse im LAN-Subnetz ein. Damit werden eventuelle DNS-Anfragen aus dem Internet in's Nirwana geleitet.


Comments (0)
Post a new comment
 
 
Angezeigter Name:
Email:
Comments:
CAPTCHA Verification 
 
Bitte geben Sie den Text, welchen Sie im Bild sehen, in die Textzeile ein.