expertenaustausch > comp.* > comp.security.misc

Helmut Schneider (26.07.2008, 11:48)
Hi,

sehe ich das richtig, dass bind noch so gute Zufallsports generieren kann,
mir das hinter einem NAT relativ wenig bringt, wenn dieses wieder
vorhersagbare Ports prodiziert?!

Gibt es ein Tool, welches für eine Menge x von Zonen die Schlüssel erstellt
und gleich in die (bind-)Zonen files packt? Händisch macht das keinen Spass.

Danke und Gruß, Helmut
Andreas Beck (26.07.2008, 12:26)
Helmut Schneider wrote:
> sehe ich das richtig, dass bind noch so gute Zufallsports generieren kann,
> mir das hinter einem NAT relativ wenig bringt, wenn dieses wieder
> vorhersagbare Ports prodiziert?!


Hä? Dein NAT produziert vorhersagbare Ports für UDP-outbound, wenn die
Originalquelle wild springt? Lustig.

Aber wie Lutz schon bemerkte: Das ist ein Unlimited Ammo Cheat. Du
drückst halt die Zeit um 2^16 hoch. Gut, kann genug sein, aber ...

> Gibt es ein Tool, welches für eine Menge x von Zonen die Schlüssel erstellt
> und gleich in die (bind-)Zonen files packt? Händisch macht das keinen Spass.


bash, for, maximal noch sed? Wo siehst Du das Problem?

Wozu mir einfällt, dass ich meine secondaries und den nächsten Level mal
ansprechen muss, zwecks DNSSEC.

CU, Andy
Helmut Schneider (26.07.2008, 12:53)
Andreas Beck <becka-news-nospam-2008-05> wrote:
> Helmut Schneider wrote:
>> sehe ich das richtig, dass bind noch so gute Zufallsports generieren
>> kann, mir das hinter einem NAT relativ wenig bringt, wenn dieses wieder
>> vorhersagbare Ports prodiziert?!

> Hä? Dein NAT produziert vorhersagbare Ports für UDP-outbound, wenn die
> Originalquelle wild springt? Lustig.


[root@BSDHelmut ~]# dig @localhost +short porttest.dns-oarc.net TXT
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b. a.pt.dns-oarc.net.
"79.229.225.123 is POOR: 26 queries in 4.4 seconds from 26 ports with std
dev 7.65"
[root@BSDHelmut ~]# uname -rs
FreeBSD 7.0-RELEASE-p3
[root@BSDHelmut ~]#

Ich weiss, dass FreeBSD 6.3 eine Standardabweichung von ca. 18000 produziert
und will mir gerade nicht vorstellen, dass FreeBSD 7 derart patzt.

> Aber wie Lutz schon bemerkte: Das ist ein Unlimited Ammo Cheat. Du
> drückst halt die Zeit um 2^16 hoch. Gut, kann genug sein, aber ...


Wo?

>> Gibt es ein Tool, welches für eine Menge x von Zonen die Schlüssel
>> erstellt und gleich in die (bind-)Zonen files packt? Händisch macht
>> das keinen Spass.

> bash, for, maximal noch sed? Wo siehst Du das Problem?


Dass aus DNSSEC *niemals* **nie** *nicht* etwas wird, wenn die Pflege allein
dem Admin überlassen wird.
Florian Weimer (26.07.2008, 13:02)
* Helmut Schneider:

> sehe ich das richtig, dass bind noch so gute Zufallsports generieren
> kann, mir das hinter einem NAT relativ wenig bringt, wenn dieses
> wieder vorhersagbare Ports prodiziert?!


Ja. Wobei es auch NAT-Implementierungen gibt, die die ursprünglichen
Quellports beizubehalten versuchen.

> Gibt es ein Tool, welches für eine Menge x von Zonen die Schlüssel
> erstellt und gleich in die (bind-)Zonen files packt? Händisch macht
> das keinen Spass.


BIND 9.6 soll das können. Bis dahin dauert es noch ein bißchen. Das
Skripten der automatischen Neusignierung ist in der Tat etwas nervig.
Stefan Kanthak (26.07.2008, 14:55)
"Helmut Schneider" <jumper99> schrieb:

> Andreas Beck <becka-news-nospam-2008-05> wrote:
> [root@BSDHelmut ~]# dig @localhost +short porttest.dns-oarc.net TXT
> z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b. a.pt.dns-oarc.net.
> "79.229.225.123 is POOR: 26 queries in 4.4 seconds from 26 ports with std
> dev 7.65"
> [root@BSDHelmut ~]# uname -rs
> FreeBSD 7.0-RELEASE-p3
> [root@BSDHelmut ~]#
> Ich weiss, dass FreeBSD 6.3 eine Standardabweichung von ca. 18000 produziert
> und will mir gerade nicht vorstellen, dass FreeBSD 7 derart patzt.


Autsch!
Welchen Sinn macht die Angabe der Standardabweichung bei einer Probe,
die NICHT einer Normalverteilung, sondern einer Gleichverteilung
folgen soll?

Andererseits: als Indikator ist obiger Test durchaus sinnvoll.

Und: was sagt Dir der Test [ Check my DNS ] auf doxpara.com?
Der verwendet zwar nur 5 Queries/Replies, nennt aber die verwendeten
Ports und TX-Ids.

>> Aber wie Lutz schon bemerkte: Das ist ein Unlimited Ammo Cheat. Du
>> drückst halt die Zeit um 2^16 hoch. Gut, kann genug sein, aber ...

> Wo?


TX-Id ist 1 - 65535, Port-# ebenso. Nachdem vor gut 1.5 Jahren die
Schwaeche bei der Randomisierung der TX-Id gefixt wurde bringt die
Randomisierung der Ports jetzt halt wieder 2**16.

>>> Gibt es ein Tool, welches für eine Menge x von Zonen die Schlüssel
>>> erstellt und gleich in die (bind-)Zonen files packt? Händisch macht
>>> das keinen Spass.

>> bash, for, maximal noch sed? Wo siehst Du das Problem?

> Dass aus DNSSEC *niemals* **nie** *nicht* etwas wird, wenn die Pflege allein
> dem Admin überlassen wird.


Richtig: die allermeisten Endbenutzersysteme duerften ein System haben,
das DNSSEC ueberhaupt nicht unterstuetzt.

Stefan
[
Juergen P. Meier (26.07.2008, 15:14)
Stefan Kanthak <dont.delete-this.dont.remove-this.nospam>:
> Richtig: die allermeisten Endbenutzersysteme duerften ein System haben,
> das DNSSEC ueberhaupt nicht unterstuetzt.


Das wird auch durch wiederholung nicht wahr. Die allermeisten
Endbenutzer haben Systeme, die "DNS forwarder" beherrschen. Dort
stellt Otto Normalsterblich einfach einen Recursor ein, der DNSSEC
verifiziert.
Helmut Schneider (26.07.2008, 15:39)
Stefan Kanthak
dont.delete-this.dont.remove-this.nospam
wrote:
> "Helmut Schneider" <jumper99> schrieb:
> Autsch!
> Welchen Sinn macht die Angabe der Standardabweichung bei einer Probe,
> die NICHT einer Normalverteilung, sondern einer Gleichverteilung
> folgen soll?
> Andererseits: als Indikator ist obiger Test durchaus sinnvoll.
> Und: was sagt Dir der Test [ Check my DNS ] auf doxpara.com?


Bestätigt die Annahme:

Your name server, at 79.229.225.123, may be safe, but the NAT/Firewall in
front of it appears to be interfering with its port selection policy. The
difference between largest port and smallest port was only 7.
Please talk to your firewall or gateway vendor -- all are working on
patches, mitigations, and workarounds.

Requests seen for 767b067f3af4.toorrr.com:
79.229.225.123:63580 TXID=18981
79.229.225.123:63581 TXID=41322
79.229.225.123:63583 TXID=7360
79.229.225.123:63584 TXID=4830
79.229.225.123:63587 TXID=7481
Helmut Hullen (26.07.2008, 17:18)
Hallo, Helmut,

Du (jumper99) meintest am 26.07.08:

>>>> die Originalquelle wild springt? Lustig.


>> Und: was sagt Dir der Test [ Check my DNS ] auf doxpara.com?


> Bestätigt die Annahme:


> Your name server, at 79.229.225.123, may be safe, but the
> NAT/Firewall in front of it appears to be interfering with its port
> selection policy. The difference between largest port and smallest
> port was only 7.


Hmmm - meiner (genauer der Nameserver meines Providers) bietet immerhin
27.
Da wird T-elekom noch ein wenig arbeiten müssen (und mein Provider
auch).

Viele Gruesse!
Helmut
Carsten Krueger (26.07.2008, 17:39)
Am Sat, 26 Jul 2008 13:14:16 +0000 (UTC) schrieb Juergen P. Meier:

> Das wird auch durch wiederholung nicht wahr. Die allermeisten
> Endbenutzer haben Systeme, die "DNS forwarder" beherrschen.


Dann muss er weiterhin dem Recursor trauen und als Aufbewahrungsort für
Zertifikate funktioniert DNS dann weiterhin nicht.

> Dort stellt Otto Normalsterblich einfach einen Recursor ein, der DNSSEC
> verifiziert.


Einstellen tut Otto garnichts. Der DSL-Router bekommt den DNS-Server per
PPPoE zugewiesen und lässt sich bei dem Home-Schrottzeug auch nicht auf dem
Router manuell einstellen.
Otto könnte also auf dem Client was anders einstellen, aber dann
funktioniert DNS im LAN nicht mehr. Außerdem versteht Otto garnicht wie man
DNS-Server einstellt, bisher lief alles mit DHCP.

Noch schlimmer wird die Sache schätzungsweise bei nem AD.

Gruß Carsten
Florian Weimer (26.07.2008, 21:44)
* Helmut Hullen:

> Hmmm - meiner (genauer der Nameserver meines Providers) bietet
> immerhin 27. Da wird T-elekom noch ein wenig arbeiten müssen (und
> mein Provider auch).


Ist das vom dns-oarc.net-Test? Der gibt nur die Port-Zahl aus, nicht den
Abstand.
Helmut Hullen (26.07.2008, 22:05)
Hallo, Florian,

Du (fw) meintest am 26.07.08:

>> Hmmm - meiner (genauer der Nameserver meines Providers) bietet
>> immerhin 27. Da wird T-elekom noch ein wenig arbeiten müssen (und
>> mein Provider auch).


> Ist das vom dns-oarc.net-Test? Der gibt nur die Port-Zahl aus, nicht
> den Abstand.


"doxpara.com". "dns-oarc" wollte sich nicht mit meinem Rechner
unterhalten.

Viele Gruesse!
Helmut
Lutz Donnerhacke (27.07.2008, 01:22)
* Helmut Schneider wrote:
> Gibt es ein Tool, welches für eine Menge x von Zonen die Schlüssel erstellt
> und gleich in die (bind-)Zonen files packt? Händisch macht das keinen Spass.


Das script ist schnell geschrieben. Wenn Du Zeit gewinnen willst, machst Du
Outsourcing bei mir:
Lutz Donnerhacke (27.07.2008, 01:23)
* Stefan Kanthak wrote:
> Richtig: die allermeisten Endbenutzersysteme duerften ein System haben,
> das DNSSEC ueberhaupt nicht unterstuetzt.


Es ist ja auch der Resolver, der es können soll.
Stefan Kanthak (27.07.2008, 20:15)
"Lutz Donnerhacke" <lutz> schrieb:

> * Stefan Kanthak wrote:
>> Richtig: die allermeisten Endbenutzersysteme duerften ein System haben,
>> das DNSSEC ueberhaupt nicht unterstuetzt.

> Es ist ja auch der Resolver, der es können soll.


Falsch ist, dass die allermeisten Endbenutzersysteme KEINEN Resolver
haben. Ohne lokalen Resolver funktioniert DNS so schlecht.

Wenn Du allerdings diesem Resolver beibringst, nur/genau einen Dir
bekannten, DNSSEC nutzenden DNS-Server Deines ISPs zu befragen und
keinerlei Antworten anderer DNS-Server zu akzeptieren, dann waere
der lokale Resolver nicht angreifbar. Dummerweise lassen sich
IP-Adressen faelschen (und TX-IDs sowie Portnummern erraten, zur Not
wird der Resolver hat ueberflutet).

Sprich: DNSSEC willst Du genau wie SSL von Ende zu Ende.

Stefan
[
Stefan Kanthak (27.07.2008, 20:20)
"Florian Weimer" <fw> schrieb:

> * Helmut Hullen:
>> Hmmm - meiner (genauer der Nameserver meines Providers) bietet
>> immerhin 27. Da wird T-elekom noch ein wenig arbeiten müssen (und
>> mein Provider auch).

> Ist das vom dns-oarc.net-Test? Der gibt nur die Port-Zahl aus, nicht den
> Abstand.


schon, und noch einiges mehr.

Stefan
[

Ähnliche Themen