[Risolto] Avviso provider Falla DNS

[pinkflo]

A sorpresa ho ricevuto una comunicazione scritta dal mio provider, che mi avvisa che hanno riscontrato un problema di sicurezza segnalato da terzi, che riguarda il DNS.

Un estratto dello scritto:

"La invitiamo a controllare la configurazione DNS del vostro Router, poiché ci è stato indicato un problema di tipo Open DNS Resolver che la riguarda. Gli Open Resolver vengono sfruttati per un attacco tipo DDoS (Distributed Denial of Service).
Sotto questo indirizzo voi trovate un test: http://www.thinkbroadband.com/tools/dnscheck.html

Se il test risulta positivo, allora le consigliamo di aggiornare il Firmware del proprio Router il più presto possibile o di chiudere la porta 53 sul vostro Firewall (WAN)."

Allora Se chiudo la porta 53 non funziona più internet, ho aggiornato il firmware del router, ma la prova al sito sopra menzionato da sempre come risultato che c'è una vulnerabilità. Non so che fare.

[il_muflone]

per navigare non serve nessuna porta aperta in ingresso.

tu tieni la porta 53 aperta sul router?

[Alka-Seltzer PLUS]

Ciao !

Che DNS utilizzi ?

[pinkflo]

per navigare non serve nessuna porta aperta in ingresso.

tu tieni la porta 53 aperta sul router?

Non sono molto esperto di DNS, si la porta dovrebbe essere aperta in TPC e UDC, ho un router zyxel abbastanza recente. Ho anche una rete interna LAN che se chiudo la porta non funziona più correttamente, mi spieghi come dovrei fare per chiudere la porta in ingresso? Via Firewall? Grazie

[pinkflo]

Ciao !

Che DNS utilizzi ?

Adesso ho cambiato i dns, ho messo quelli di FoolDNS e non più quelli che vengono dati automaticamente dal router (che penso siano i DNS del provider). Ma il test a questo sito, http://www.thinkbroadband.com/tools/dnscheck.html, continua a dare esito positivo, nel senso che c'è vulnerabilità.

[il_muflone]

la porta NON deve essere aperta sul router.
la lan interna non ha bisogno delle porte aperte in ingresso sul router.
se hai aperto le porte 53 sul router, chiudile, non servono per navigare.
se non funziona internet il motivo va ricercato altrove, non si aprono porte per navigare.

[pinkflo]

la porta NON deve essere aperta sul router.
la lan interna non ha bisogno delle porte aperte in ingresso sul router.
se hai aperto le porte 53 sul router, chiudile, non servono per navigare.
se non funziona internet il motivo va ricercato altrove, non si aprono porte per navigare.

ho riprovato a chiudere la 53 per la precisione sia TPC che UDC valido per tutti gli IP, ma appunto non funza più internet...

[pinkflo]

Nel router, sotto la configurazione del firewall ci sono queste possibilità:

ICMP: su wan&lan, disabilita, lan, wan

+ scegliere se non rispondere al ping dei servizi non autorizzati

REGOLA FIREWALL:

-regola di modifica firewall: tutti gli IP, singolo IP, gamma IP, intervallo IP,

-elenco servizi da bloccare (customizzabile) e in TPC, UDC o entrambi

-pianifica blocco: orari, giorni, ecc.

-registro attiva i log


Alla fine come devo settare??

[il_muflone]

non c'entrano niente quelle voci
tu devi andare sul port forwarding/virtual server

[pinkflo]

non c'entrano niente quelle voci
tu devi andare sul port forwarding/virtual server

non lo trovo sotto quali sezioni sta di solito all'interno del router? Non ci capisco una mazza

[Alka-Seltzer PLUS]

Cerca tra le impostazioni avanzate oppure in " WAN "

[pinkflo]

Cerca tra le impostazioni avanzate oppure in " WAN "

Non trovo le voci... queste impostazioni possono avere altri nomi?

[il_muflone]

l'hai configurato tu questo router?
le porte non si aprono da sole, se sono aperte le hai aperte tu.

ti ricordi di aver configurato qualche volta il DMZ oppure provato ad aprire le porte per emule/msn/torrent o simili?

[pinkflo]

Per cortesia qualcuno potrebbe eseguire il test al link sotto e mi dite che risultato vi da? A me risulta che a livello di DNS il sistema è
vulnerabile!



http://www.thinkbroadband.com/tools/dnscheck.html

[pinkflo]

l'hai configurato tu questo router?
le porte non si aprono da sole, se sono aperte le hai aperte tu.

ti ricordi di aver configurato qualche volta il DMZ oppure provato ad aprire le porte per emule/msn/torrent o simili?

si l'ho configurato io, anche per l'altro portatile in wireless e ho aperto le porte NAT per amule

[il_muflone]

Success! We detected your IP address as X.X.X.X and did not find an open DNS resolver running.

idem in ufficio.

se hai aperto le porte per amule, devi andare in quella sezione.

[pinkflo]

Success! We detected your IP address as X.X.X.X and did not find an open DNS resolver running.

idem in ufficio.

se hai aperto le porte per amule, devi andare in quella sezione.

grazie mille, invece nel mio caso la risposta del test è:

Warning! We detected your IP address as xxxxxxxx and found an open DNS resolver running.

This may be either running on your computer or on your broadband router. It is advisable that you don't run a resolver which can be queried from the Internet. It is possible that you could be vulnerable to a DNS poisoning attack. More details are available in the CERT Advisory or you can carry out a more detailed test at doxpara.com or dns-oarc.net. 

[il_muflone]

vai su http://www.canyouseeme.org e inserisci la porta 53 e copia qui la risposta
purtroppo questo testa solo TCP e non UDP ma tanto vale verificare.

[pinkflo]

vai su http://www.canyouseeme.org e inserisci la porta 53 e copia qui la risposta
purtroppo questo testa solo TCP e non UDP ma tanto vale verificare.

Provato più volte e il risultato è questo:

Error: I could not see your service on xxxxxxx on port (53)
Reason: Connection timed out

[il_muflone]

se quello è era ancora il tuo ip, a me risulta chiusa la porta dei dns, sia in tcp che udp