PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : DNS-Exploit: Wo bleiben die Routerupdates?


Gast
2008-07-29, 22:24:10
DD-wrt und tomato veröffentlichten bereits firmware-Versionen die gegen die neuerlichen DNS-Angriffe, die nicht nur die DNS-Server sondern auch clients betreffen sicher sein sollen, allerdings: Wo bleiben die updates der Orginalfirmware? Nicht jeden Router kann man mit den Alternativen bespielen, welche Massnahmen kann man ergreifen?

Argo Zero
2008-07-30, 11:43:08
Feste IPs vergeben und DNS-Server abschalten. Damit sollte das Problem doch gelöst sein?!

Grestorn
2008-07-30, 11:49:13
Ist das Problem nicht nur dann vorhanden, wenn der DNS von außen erreichbar ist, was doch eigentlich im Normalfall so gut wie nie der Fall ist?

The_Invisible
2008-07-30, 12:28:51
Ist das Problem nicht nur dann vorhanden, wenn der DNS von außen erreichbar ist, was doch eigentlich im Normalfall so gut wie nie der Fall ist?

mir ist auch nur bekannt das dns resolver angreifbar sind. bei nem client ist der port nur für den bruchteil einer sekunde offen und wird eigentlich immer für neuverbindungen geblockt.

mfg

Gast
2008-07-30, 12:36:39
lesen....
http://www.heise.de/security/Telekom-hinkt-mit-DNS-Sicherheitspatch-hinterher--/news/meldung/113442

Gast
2008-07-30, 16:30:10
zitat aus dem heise Artikel:
"Darüber hinaus erfordern auch DNS-Clients ein Update, weil sie prinzipiell ebenfalls angreifbar sind, aktuell aber noch nicht im Fokus stehen – was sich aber ändern kann. Zusätzlich sollten sich Administratoren anschauen, ob eine externe Firewall oder ein NAT-Router möglicherweise die Wirkungsweise des Patches zunichte macht und die zufälligen Ports des Nameservers für externe Verbindungen aus bestimmten Gründen nur über einen Port abwickelt."

also für mich sieht das schon danach aus, daß auch die home-router ein update benötigen

Gast
2008-07-30, 16:38:26
ebenfalls Zitat aus dem heise Artikel:(das meinte ich)
"Aus Sicherheitsgründen empfehlen Dienstleister daher auch den ursprünglichen Tipp von Dan Kamsinsky zu befolgen, alternative Domain Name Systems wie OpenDNS zu nutzen. OpenDNS arbeitet wie ein den offiziellen Root-Nameservern vorgeschalteter Filter, der jedoch den anerkannten Namensraum nicht manipuliert. Die OpenDNS-Server sollen die Anfrage nach bekannten Phishing-Servern erkennen sowie Anwender auf Warnseiten umleiten und sind nach eigenen Angaben immun gegen die bekannten Cache-Poisoning-Angriffe."

Grestorn
2008-07-30, 17:50:39
lesen....
http://www.heise.de/security/Telekom-hinkt-mit-DNS-Sicherheitspatch-hinterher--/news/meldung/113442

Ok, das Problem ist tatsächlich sehr real und gefährlich für praktisch alle Internet Nutzer. Ich werde in der nächsten Zeit auf alle ungesicherten AutoUpdates (also ohne Signaturprüfung) verzichten.

Damit bleibt eigentlich nur noch MS-Update... Wieso sind eigentlich Signaturen bei SW die aus dem Netz auf den Rechner kommt nicht generell üblich? MS macht das seit Jahren vor, kriegt aber nur Schelte. Jetzt zeigt sich, wozu das gut ist.

Gast
2008-07-30, 17:50:46
die aktuelle DNS-Problematik scheint aus 2 Teilen zu bestehen:
1. Angriff auf(über) die DNS-Server
2. Angriff auf DNS-clients
Wenn ich das richtig verstehe kann man sich mit dem opendns-Eintrag nur vor Punkt 1 schützen.
Über eine besuchte Webseite kann man beim client die dns-Auflösung ebenfalls manipulieren(?), dafür gabs teilweise schon patches von MS und Co.

Die Router scheinen sehr wohl auch noch eine Baustelle zu sein, Zitat Heise:"..ein NAT-Router möglicherweise die Wirkungsweise des Patches zunichte macht und die zufälligen Ports des Nameservers für externe Verbindungen aus bestimmten Gründen nur über einen Port abwickelt."

DD-wrt und tomato wurden nun auch mit dem Verweis auf die DNS-exploits updated, also kann man davon ausgehen, daß alle home-router ein update benötigen.
Kurz bei dlink, netgear und trendnet nachgesehen aber keine firmwareupdates gefunden. Sieht eh sehr düster aus, teilweise bei den aktuellen topmodellen firmware von 2006 :( .

Botcruscher
2008-07-30, 18:20:03
Nein:

We did also incorporate the patches for the recently published dns exploit issue. We'd like to make clear that the DD-WRT default configuration in v23 / v24 is not vulnerable, so there was and is no risk for dd-wrt users.



Kurz bei dlink, netgear und trendnet nachgesehen aber keine firmwareupdates gefunden. Sieht eh sehr düster aus, teilweise bei den aktuellen topmodellen firmware von 2006 .

Geräte mit offener Firmware kaufen.

Gast
2008-07-30, 19:05:36
Also ich würde meine alte wrt54gl-Krücke schon gerne mal gegen was aktuelles mit wireless a/n und gigabit-ethernet tauschen.
Die offene firmware ist ein netter bonus aber irgendwann will man auch mal etwas mehr speed und wer sagt mir, daß die 3-4 Leute bei dd-wrt oder tomato nicht einfach mal die Entwicklung einstellen?

eth0
2008-07-30, 21:44:51
Die offene firmware ist ein netter bonus aber irgendwann will man auch mal etwas mehr speed und wer sagt mir, daß die 3-4 Leute bei dd-wrt oder tomato nicht einfach mal die Entwicklung einstellen?

Allerdings stellen die kommerziellen Hersteller die Entwicklung der Firmware sofort bei Auslieferung des ersten Gerätes ein :-)

Mirko

Gast
2008-07-31, 11:47:23
Allerdings stellen die kommerziellen Hersteller die Entwicklung der Firmware sofort bei Auslieferung des ersten Gerätes ein :-)

Das stimmt so nicht.

Sk4tz
2008-07-31, 12:36:58
stimmt ich habe im april erst für mein ziemlich altes speedport nen update bekommen ;)

edit: und vor 2 tagen hat sich wohl selbst eins installiert denn ich wurde aufgefordert aufgrund eines upates den cache zu leeren. in der nacht gab es aber probleme mit der verbindung, ich weiss nicht was da los war ;)

joni
2008-08-08, 22:35:25
Also wenn ich bei Arcor bin und über deren DNS Server online gehe, dann bin ich sicher, wenn die Ihren gepatcht haben?
Irgendwie sollte man das mal für Laien verständlicher machen......so langsam bekomme ich Angst..und dabei ist Homebanking m. M. nach bis jetzt eine sehr feine Sache gewesen :(

Gast
2008-08-08, 23:33:23
Dieser Patch hebt nur den Schwierigkeitsgrad bei einem Angriff an. Statt 16 Bit muss man nun 32 Bit erraten. Unmöglich wird der Angriff dadurch aber nicht.

Prinzipiell sind Angriffe gegen alle Komponenten möglich, die bei der Namensauflösung beteiligt sind - vorausgesetzt sie speichern Antworten zwischen. Ein Angriff gegen einen Client ist allerdings wenig effizient, da man so nur eine Adresse bei einem Nutzer (oder einer stark begrenzten Gruppe von Nutzern) manipuliert.

NAT-Router können übrigens selbst zum Problem werden, wenn sie die Ports bei ausgehenden Verbindungen nicht zufällig, sondern vorhersagbar wählen. Dann bringt es dann auch nichts, wenn der DNS-Server im maskierten Netz dahinter vollkommen zufälllige Ports verwendet.

Und zum Schluss: OpenDNS manipuliert sehr wohl den Adressraum, in einer üblen Weise. Laut denen ist das eine tolle Sache.

Botcruscher
2008-08-08, 23:45:58
Also ich würde meine alte wrt54gl-Krücke schon gerne mal gegen was aktuelles mit wireless a/n und gigabit-ethernet tauschen.



Dann mach es doch einfach.:rolleyes:

http://www.dd-wrt.com/wiki/index.php/Supported_Devices

Das stimmt so nicht.

Ja wenn man viel Glück hat gibt auch noch ein Jahr später etwas.

Gast
2008-08-08, 23:47:04
Noch ein Nachtrag: Clients anzugreifen ist noch dadurch deutlich schwieriger, dass man diesen dazu bekommen muss tausende DNS-Anfragen durchzuführen. Da er keine Anfragen von außen entgegennimmt, kann das der Angreifer ja nicht selbst tun.

Gast
2008-08-09, 17:52:32
Dann mach es doch einfach.:rolleyes:

http://www.dd-wrt.com/wiki/index.php/Supported_Devices




Ich finde nicht ein einziges Gerät mit GigE und a+n in der Liste. :rolleyes:

Undertaker
2008-08-09, 18:27:09
WRT600N?

Botcruscher
2008-08-09, 19:33:57
Nebenbei ist a relativ weil es schon mindestens h sein sollte.

http://en.wikipedia.org/wiki/IEEE_802.11

Nebenbei kotzt mich die Verzögerung bei WRT600n an. Das Ding gibt es jetzt seit 4Monaten in den US und A.

$169.99 Sofortkauf bei Egay. Das sind pi mal Daumen 110 bis 120€.

Gast
2008-08-10, 08:42:46
das liegt daran, daß die Originalfirmware im aktuellen Zustand unbenutzbar ist: Abstürze, reboots, lahm

und im forum von dd-wrt steht bisher auch nicht viel positives, die benötigen auch noch einige Monate, bis es ordentlich auf dem wrt600n läuft

BTT: die Gewinnspannen im Routerbusiness sind wohl zu klein für passablen firmwaresupport
linksys und avm sind die berühmten Ausnahmen von der Regel(natürlich auch nicht perfekt)