Hallo, es gab halt doch einen, der meinte, mich direkt anschreiben zu müssen, aber bei dem wurde die Kernfrage schon richtig gestellt:
darf ich fragen, warum genau die genannten DNS Adressen nicht die von Google/anderen sein dürfen/sollten? Also ich nutze dienstlich auch nur die von der RWTH, aber bin eben neugierig warum die anderen ggf. ein Sicherheitsrisiko sein könnten?
<off> ausnahmsweise antworte ich mal ;-) Der Kollege ist nett, und er hätte auch genau obiges in diese Liste schreiben können. </off> Ich bin ja so aufgewachsen (mit dem Netz seit 1989), dass man unnötigen Traffic vermeidet. Wenn also der RWTH-DNS-Server die Antowrt bereits gecached hat, muss ich nicht noch die Welt fragen ...
"Dienstlich"
Genau darum geht es hier. Wir müssen das RWTH-Netz nicht als Mittel zur Befriedigung privater Bedürfnisse begreifen, sondern sind an Gesetze und Vorschriften gebunden (aka Netzordnung). Besonders perfide stellt sich hier die Datenschutzgrundverordnung dar, die an allen möglichen Stellen vom "Stand der Technik" redet. Und damit kommen wir zum
"Sicherheitsrisiko"
Stand der Technik ist es heute, einen "DNS Umbrella" (Vorsicht: evtl. Markenname) einzusetzen, also kurzerhand DNS-Auflösungen, die zu bekannten Schadsoftware-, Phsihing,- oder ähnlichen Seiten führen, zu unterbinden. Des weiteren: wo stehen die großen erwähnten DNS Server der (kommerziellen!) Anbieter? Nun, am DE-CIX. Und dazu gab es die interessante Aussage der Geheimdienste, dass sie dauerhaft zweistellige Prozentzahlen des Traffics dort abziehen und gelegentlich hohe zweistellige. Also eine gute Gelegenheit, seine Daten nicht nur dem Kommerz, sondern auch noch den Schlapphüten in den Rachen zu werfen. ;-) Am 14.10.21 um 17:13 schrieb Benedikt Meier:
würde mich halt gerne wissen, wieso das ein Problem ist?
S.o.
Ich habe eigentlich den DNS Server vom ITC eingestellt,
gut.
jedoch wenn das Netzwerk vom ITC wieder mal nicht richtig funktioniert
hoho...
und ich auf Ticket keine vernünftige Antwort bekomme.
no comment :-/
Dann "Ping" ich oft externe Server an, die sehr einfach einzugeben und zu merken sind.
"ping" ist bei dem hiesigen Topic kein Problem.
(Da ist 1.1.1.1 , 9.9.9.9 oder 8.8.8.8 am Einfachsten!) Oder habt ihr einen Einfachen Server IP Adresse?
<off topic> Bei Netzproblemen gehe *ich* so vor: a) Gateway anpingen: wenn tot, IT Center anrufen b) traceroute auf 1.1.1.1 (oder eine Adresse Deiner Wahl), dann sieht man genauer, was klemmt. "ping 1.1.1.1" ist ein bischen ungenau zur Analyse </off topic>
Was haltet ihr von DNS over HTTPS?
"DoH"? Kommt drauf an. Macht man DoH zu Anbietern aus dem kommerziellen Umfeld, sollte man sich bewußt bleiben, wem man da sein Surfprofil liefert. Für die Verwendung im RWTH-Netz möchte ich auf einen Beitrag vom Sicherheitsbeauftragten der Max-Planck Gesellschaft Prof. Gerling hinweisen: https://www.dfn-cert.de/dokumente/workshop/2020/Folien_Gerling.pdf Ich stehe DoH soweit es im RWTH-Netz stattfindet, höchst ablehnend gegenüber. Soweit es Institusnetze betrifft. Im "Privatbetrieb" gilt wieder obiges (kommerzielle Anbieter!). Allerdings: wir haben hier "Luxus" von (und für) Sudentenwohnheimen, mit denen man hier traditionell etwas laxer umgeht. Aber: wenn wir Sicherheitsvorfälle der unangenehmeren Art haben ----- Phishing E-Mail über Kambodscha Webmailer eingetütet mit dem Text: Können Sie jetzt eine dringende Zahlung leisten? und gefälschtem Absender des Geschäftsführers an die Mitarbeiterin ----- und die IP auf unserer Seite nur mit Google-DNS redet, dann werde ich sauer. Und das führt dann zu solchen Hinweisen in dieser Mailingliste. <off> womit die Kollegin, die mich im NOC Security Chat antalkte, auch ihre Antwort hat </off>
Darf man eigentlich seinen eigenen DNS Server betreiben am Lehrstuhl oder zerstört man dann euer Monitorring?
Kommt drauf an, wie. Für das LAN OK, wenn man es im Griff hat, und nicht irgendwann bei uns Tickets aufmacht. Dann weisen wir schnell auf den "DNS-Admin" für die die RWTH Nameserver hin, und ich muss (ich war immer DNS "Kunde"!) sagen, das Ding ist klasse! Was auch zu solchen Hinweisen führt, ist die bloße Statistik des Netzwerktraffics. Betrachtet werden hier die Netflows während der Arbeitszeit am Mittwoch mit dem angegebenen Filter am RWTH-Internet Interface. Gelistet sind die Top Adressen mit den Flows bzgl. Ziel Port 53, Quelle RWTH --------------- (proto UDP and dst port 53) and (( src net 134.130.0.0/16 or src net 137.226.0.0/16 or src net 134.61.0.0/16 or src net 2a00:8a60::/32 ) ) ) Top 10 IP Addr ordered by flows: Date first seen Duration Proto IP Addr Flows(%) Packets(%) Bytes(%) pps bps bpp 2021-10-13 07:59:44.123 32705.825 any 8.8.8.8 8.8 M(19.9) 9.3 M(19.3) 694.3 M(13.1) 283 169826 74 Google 2021-10-13 07:59:50.379 32699.565 any 2a00:8a60:0:f012::2 6.6 M(15.1) 6.6 M(13.8) 780.2 M(14.8) 202 190886 117 RWTH DNS als Client 2021-10-13 07:59:48.340 32701.598 any 2a00:8a60:0:f013::2 6.6 M(15.0) 6.6 M(13.8) 777.8 M(14.7) 202 190269 117 RWTH DNS als Client 2021-10-13 07:59:57.617 32692.331 any 137.226.35.6 6.3 M(14.4) 6.6 M(13.8) 451.8 M( 8.5) 202 110554 68 bondig.de als CLient 2021-10-13 07:59:43.255 32706.695 any 134.130.5.214 5.0 M(11.4) 5.0 M(10.5) 663.9 M(12.6) 154 162400 131 RWTH DNS als Client 2021-10-13 07:59:46.852 32703.096 any 134.130.5.210 4.9 M(11.2) 5.0 M(10.4) 657.0 M(12.4) 152 160711 132 RWTH DNS als Client 2021-10-13 07:59:43.255 32706.695 any 54.194.223.253 3.1 M( 7.1) 3.2 M( 6.6) 586.3 M(11.1) 96 143400 185 Sophos 2021-10-13 07:59:50.364 32699.561 any 2a00:8a60:0:5::1 3.0 M( 6.8) 6.0 M(12.5) 753.5 M(14.3) 184 184348 125 RWTH DNS als Server, hier fragt der Physik-Cluster 2021-10-13 07:59:27.799 32722.152 any 1.1.1.1 1.9 M( 4.4) 2.2 M( 4.6) 188.9 M( 3.6) 68 46185 84 Cloudflare 2021-10-13 07:59:48.340 32701.563 any 2600:1480:e800::c0 1.5 M( 3.3) 1.5 M( 3.1) 167.3 M( 3.2) 44 40934 113 Hoho. Was isn das? Summary: total flows: 43913285, total bytes: 5.3 G, total packets: 48.0 M, avg bps: 1.3 M, avg pps: 1467, avg bpp: 110 Time window: 2021-10-08 12:16:14 - 2021-10-13 17:04:59 --------------- Das ist schon auffällig mit über 20% Anfragen an "kommerzielle". WILL MAN DAS WIRKLICH? Am 14.10.21 um 17:56 schrieb hrnz:
sehr beliebt ist auch der Webservers von sprint mit der Adresse 2600::.
ooohkeyyy. Not yet seen here.
DNS over HTTPS ist eine ausgezeichnete Technologie, um zu verhindern, dass der BOFH einem "aus sehr guten Gründen" einen Lügenresolver unterschiebt.
Die Stelle vom BOFH wurde Ende der 80er am "Rechenzentrum" leider gestrichen. Ich trauere dem auch nach ;-) Ansonsten: in der "Wildnis" mag das passen. Wenn man dem DoH Provider traut. <off> "hrnz"? Bist Du der Vetter von "hurtz" (Hape Kerkeling)? :-)</off> Am 14.10.21 um 19:52 schrieb Hinrikus Wolf:
Wir betreiben schon seit einiger Zeit unseren eigenen DNS-Resolver.
Kommt ja drauf an welchem Mode, gell?
Da auch trotz längerem Austausch mit dem ITC es nicht gelungen ist den DNS-Eintrag eines Debian-Repository korrekt aufzulösen.
Äh, war *ich* da involviert? Nein? Dann sollten wir mal darüber reden. E-Mail. An mich.
Ich sehe nicht wie dadurch Monitoring kaputt gehen soll.
jaaa. Und Nein. Seit den Sperrungsverfügungen des RP Düsseldorf von 2003 (oder so) gegen drei Nazi-Domains setzen wir hier eine "passive DNS Replikation" ein, die reported, welcher Name zu einer IP gehört. Die Clients, die das Anfragen, werden nicht aufgezeichnet, aber wenn wir in die Netflows (s.o.) gucken, können dazugehörige Namen helfen, eine Malwaresituation zu beurteilen. Wenn es um Sicherheitszwischenfälle geht, freut man sich schon, wenn man Daten hat, welche Namen die IP, die Gegenstand der Untersuchung ist, angefragt hat. Und genau das ist unser (non-bofh!) Szenario, in dem solche Daten eingesehen werden.
Aber Jens, was hast du denn dagegen, dass externe DNS-Server (wie die von dir genannten) benutzt werden?
S.o.? Reicht das?
Insbesondere in einer Sperrung sehe ich in Zeiten von Docker und co große Probleme,
richtig. Docker-Images sind auch ein Security Problem ;-) Und zwar ein heftiges.
da diese doch gerne mal komplett konfiguriert sind, im Zweifel auch mit Google-DNS.
Die Welt draussen ist schlecht. Vergesst das nicht. Größeres Problem sind dann noch security Update für Docker-Images.
Wir müssen uns nicht darüber unterhalten, wie sinnvoll das ist. Das ist aber die Realität.
Tja. Sollten wir da mal in der RWTH wirklich radikaler werden, müßt Ihr lernen, damit umzugehen, bzw. die Produzenten von so einem Bullshit auf die notwendige Parametrisierung solcher Images hinweisen. Und aif Updates ;-) Gruß, Jens Hektor -- Dipl.-Phys. Jens Hektor, Computer Security Incidents Response Team RWTH Aachen University, Center for Computing and Communication Room 2.04, Wendlingweg 10, 52074 Aachen (Germany) Phone: +49 241 80 29206 - Fax: +49 241 80 22100 https://www.rz.rwth-aachen.de - csi@rwth-aachen.de