Warnung: Betreibst Du einen Open DNS/Resolver und weißt es gar nicht?

Bei euserv betreibe ich einen einfachen Linux-Server, der allerdings ohne Apache, PHP usw auskommen muss. Er dient ausschließlich als mySQL-Server (+ Backup) und benötigt daher auch keine Domain, die auf ihn verweist. Ich spreche das Ding einfach per IP an.

Vor kurzem erhielt ich folgende e-Mail von euserv:

# english text see below

Sehr geehrter Kunde,

folgende eMail des BSI erhielten wir für Ihre IP.
Bitte führen Sie dringend eine Absicherung des DNS Servers / Resolvers durch und geben Sie uns bis spätestens 04.07.2014, 12:00 CEST eine entsprechende Rückmeldung.

Sie können Ihre IP direkt unter https://openresolver.com prüfen.

Bitte entschuldigen Sie, wenn Sie für jede IP eine extra eMail erhalten.

#################
#english version#
#################
Dear customer,

we have received an email from the german BSI for a IP you use.
This ip address seems to be an open dns resolver, that may/is be used for dns amplification attacks.
Please secure your dns server / resolver as soon as possible and give as a feedback lately till: 2014/07/04, 12:00 CEST

You can check your IP directly with the website https://openresolver.com

Mit freundlichen Grüßen / kind regards
ISPpro Internet KG Abuse Department
EUserv Internet / KOS-Online / KeepFree.de

=====Teilausschnitt der BSI Nachricht für Ihre IP====== [CERT-Bund#2014070228001441]

Sehr geehrte Damen und Herren,

CERT-Bund hat eine Liste in Deutschland gehosteter offener DNS-Resolver erhalten. Diese können zur Durchführung von DDoS-Angriffen mittels DNS-Amplification-Attacks missbraucht werden.

Nachfolgend senden wir Ihnen eine Liste betroffener DNS-Resolver in Ihrem Netzbereich.

Wir möchten Sie bitten, den Sachverhalt zu prüfen und entsprechende Maßnahmen zur Absicherung der DNS-Resolver zu treffen.

Mit freundlichen Grüßen
Team CERT-Bund

Bundesamt für Sicherheit in der Informationstechnik (BSI) Referat C21 – CERT-Bund Godesberger Allee 185-189
D-53175 Bonn

Daten zur betroffenen IP:

ASN | IP | Timestamp (UTC) | Min. Amplification | DNS version
XXXXX| X.X.X.X| 2014-07-01 02:01:13 | 1.3810 | dnsmasq-2.55

Am Ende der zitierten Email vom Bundesamt für Informationstechnik BSI kam auch schon der entscheidene Hinweis: dnsmasq

Was ist dnsmasq und wofür brauche ich das?
dnsmasq is ein sehr einfacher DHCP-Server und Domain Name Server mit eingeschränkter Funktionalität. Auf Linux-Mashinen wird er oft als Dienst gestartet. Wer dnsmasq nicht braucht, weil er weder Namensauflösung (resolve) noch Vergabe von IP-Adresse via DHCP benötigt, schaltet den Dienst einfach ab und sorgt dafür, dass er während des Bootens auch nicht wieder gestartet wird. Ansonsten wird eine umfangreichere Konfiguration fällig!

Problem erkannt, Problem gebannt.

Ein Erneuerter Test auf openresolver.com ergab:

To manually test an IP address
      dig +short test.openresolver.com TXT @1.2.3.4

      (replace 1.2.3.4 with the IP address or domain name of the DNS server you are testing)
If you get “open-resolver-detected” in response, then you have a problem 🙂

Or, use a form:

Recursive resolver is not detected on X.X.X.X

IP address X.X.X.X is not vulnerable to DNS Amplification attacks.