bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] Telekom will mein Business Anschuss in DBG für Mensa sc

To: Schulen ans Netz - Anwender <schan-user@xxxxxxxxxxxxxxxxx>
Subject: Re: [Schan-user] Telekom will mein Business Anschuss in DBG für Mensa schlissen...
From: Philipp Flesch <philipp@xxxxxxxxxxx>
Date: Wed, 24 Jul 2013 19:14:53 +0200
Am 24.07.2013 18:39, schrieb Helmut Hullen:
Hallo, Philipp,

Du meintest am 24.07.13:

nein ist ist keine Geldmache - sondern geprüfter Zustand.
Einzig die Zuordnung IP <-> Account könnte defekt sein.
Was wurde denn da geprüft?
Das hat die Telekom ja sehr schön beschrieben, wie sie an die Daten gekommen ist ...

Problem bei dem Ganzen kann man im BSI-Paper "Zunahme von DDoS-Angriffen durch DNS-Reflection" (https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_downloads/angriffsmethoden/BSI-CS_042.pdf) nachlesen ...
Dein Lösungsansatz zum Thema SPAM-Verschicken mit Port 25 sperren ist
die Musterlösung.
Warum?
Die Telekom hat nirgendwo erwähnt, dass von diesem Rechner aus Spam
verschickt worden sei.
Nein - aber das Thema "ausgehender SPAM" wurde im Laufe des Threads angesprochen ... und das schöne an Arktur ist ja, dass man z.B. NAT ganz deaktivieren kann. Und schon kann kein Client (und sei er noch so infiziert) E-Mails per Port 25 verschicken ;-)
Was Du ganz einfach kontrollieren solltest:
Ist Port 53 (TCP und UDP) eingehend auf dem externen Interface
deaktiviert?
Wichtiger dürfte sein, was denn der "Whistleblower" mit seinem
"rekursiven Nameserver" eigentlich gemeint haben könnte.
siehe oben ... da ist das sehr schön beschrieben.

Lösungsansatz hat das BSI auch gleich parat: "Sichere Bereitstellung von DNS-Diensten" (https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_downloads/empfehlungen/IT-Dienstleister/BSI-CS-055.pdf

Eigentlich sollte es bei Arktur aber reichen, DNS-Dienste nicht auf dem externen Interface anzubieten (z.B. durch geeignete Firewallregeln) ...

Testen kann man sehr schön mit http://www.thinkbroadband.com/tools/dnscheck.html (eigene IP) oder http://dns.measurement-factory.com/cgi-bin/openresolvercheck.pl (bestimmte IP)


Viele Grüße

Philipp

_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user

 « Vorige im Thread  Dieser Thread  Nächste im Thread » 

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 24.07.2013