[phpBB Debug] PHP Notice: in file /viewtopic.php on line 986: date(): It is not safe to rely on the system's timezone settings. You are *required* to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and you are still getting this warning, you most likely misspelled the timezone identifier. We selected the timezone 'UTC' for now, but please set date.timezone to select your timezone.
[phpBB Debug] PHP Notice: in file /viewtopic.php on line 986: getdate(): It is not safe to rely on the system's timezone settings. You are *required* to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and you are still getting this warning, you most likely misspelled the timezone identifier. We selected the timezone 'UTC' for now, but please set date.timezone to select your timezone.
HanseNet-User-Forum • Thema anzeigen - Sicherheitsloch DNS-Server

Sicherheitsloch DNS-Server

Hier könnt ihr eure Lieblings-Software, -Websites und -Sonstwas vorstellen.

Moderator: Moderatoren

Sicherheitsloch DNS-Server

Beitragvon Andreas123 » Do, 24 Jul 2008 12:06

Hallo,
möchte nochmal auf das Sicherheitsloch bei den gecashten DNS -Server hinweisen :o

Diese Sicherheitslücke wurde für den PC selbst, mittels Windows-Flicken, im Juli klammheimlich gestopft. 8-)

Hier zu der Problematik:
http://www.heise.de/security/Massives-DNS-Sicherheitsproblem-gefaehrdet-das-Internet--/news/meldung/110641
und
http://www.heise.de/security/Exploits-fuer-DNS-Schwachstellen-veroeffentlicht--/news/meldung/113266

Bei den allermeisten DNS-Servern wurde aber bisher nicht nachgebessert bzw. gepatcht :(

Die mögliche Verwundbarkeit deines zugewiesenen DNS-Servers kannst hier testen:
http://www.doxpara.com/

Einzigster DNS-Server der Uni Stuttgart ist gepatcht worden: http://www.rus.uni-stuttgart.de/nks/netzdienste/vpn_service/dial_in_konfigurationen/

PS. Meine DNS-Server hatte ich noch nie automatisch bezogen, sondern immer per Hand ausgesucht und eingetragen.
Zur Zeit nehme ich den gepatchten DNS-Server der Uni Stuttgart: 129.69.1.28
Nur tote Fische schwimmen mit dem Strom ;-)
Benutzeravatar
Andreas123
 
Beiträge: 475
Registriert: Mo, 21 Feb 2005 9:07

Beitragvon Segfault » Do, 24 Jul 2008 12:38

Ich hab kein DNS Server. Nur einen Router und der fragt wiederum den Alice DNS Server ab. Brauch ich nun den Patch ??? Und wenn ja warum ?

Hab Zone Alarm PRO deutsch und dafür gibt es noch kein Patch und deshalb habe ich den MS Patch auch noch nicht installiert. Ist das echt soooo kritisch ?
Benutzeravatar
Segfault
 
Beiträge: 1536
Registriert: Do, 17 Jul 2008 11:30
Plz/Ort: Potsdam
Anschluss: Fremdanbieter
Tarif: anderer
Tarifoptionen: Easybell nur DSL Anschluss
Modem: Speedport W 701V

Re: Sicherheitsloch DNS-Server

Beitragvon hell » Do, 24 Jul 2008 13:39

Andreas123 hat geschrieben:Sicherheitsloch bei den gecashten DNS -Server

Äh... Hat das was mit Johnny Cash zu tun?

Andreas123 hat geschrieben:Einzigster

Argh :roll:
Die korrekte Steigerungsform von einziger ist natürlich einzigerstererler...

Und Leute die ZoneAlarm installiert haben verdienen sowieso ein langes qualvolles Computerproblem.. haben sie ja auch meistens :D
hell
 
Beiträge: 229
Registriert: Do, 27 Sep 2007 19:34
Plz/Ort: 26789
Anschluss: NGN-Anschluß - T-Resale
Tarif: Alice Light m. DSL-Flat
Modem: Elsa 56k

Re: Sicherheitsloch DNS-Server

Beitragvon Segfault » Do, 24 Jul 2008 13:47

hell hat geschrieben:Und Leute die ZoneAlarm installiert haben verdienen sowieso ein langes qualvolles Computerproblem.. haben sie ja auch meistens :D


Sorry, aber ich hab absolut keine Probleme mit ZA Pro ... ist sehr zuverlässig und erlaubt es mir zu steuern welche Programme ins Netz dürfen und welche nicht. Ich hatte noch nie Probleme damit.

Achja und zu Thema "Einzigster"... Kann es sein, dass das ein typisch Deutsches Problem ist ? Alle Leute die ich kenne mit Migrationshintergrund regen sich darüber auf, dass die Deutschen immer das vor "einzig" steigern.
Benutzeravatar
Segfault
 
Beiträge: 1536
Registriert: Do, 17 Jul 2008 11:30
Plz/Ort: Potsdam
Anschluss: Fremdanbieter
Tarif: anderer
Tarifoptionen: Easybell nur DSL Anschluss
Modem: Speedport W 701V

Beitragvon Andreas123 » Do, 24 Jul 2008 14:47

@hell ... Danke Herr Genosse Oberlehrer!

Mehr hast nicht zu sagen? :evil:

Nachtrag nach 8 Minuten 58 Sekunden:

@Segfault.. klar hast du keinen DNS-Server, aber die Namensauflösung mußt du über den führen.

In Analogie zu einer Telefonauskunft soll DNS bei Anfrage mit einem Hostnamen (dem „Adressaten“ im Internet – zum Beispiel de.wikipedia.org) als Antwort die zugehörige IP-Adresse (die „Anschlussnummer“ – zum Beispiel 91.198.174.2)
Nur tote Fische schwimmen mit dem Strom ;-)
Benutzeravatar
Andreas123
 
Beiträge: 475
Registriert: Mo, 21 Feb 2005 9:07

Beitragvon Segfault » Do, 24 Jul 2008 14:59

Ich weiß wie DNS funktioniert, aber mir konnte bisher noch niemand erklären wofür ich dieses Patch für Windows brauch und ob ich es brauche.

Aus deiner Antwort schließe ich jetzt mal: Ich hab keinen Server also brauche ich auch nix patchen?!
Benutzeravatar
Segfault
 
Beiträge: 1536
Registriert: Do, 17 Jul 2008 11:30
Plz/Ort: Potsdam
Anschluss: Fremdanbieter
Tarif: anderer
Tarifoptionen: Easybell nur DSL Anschluss
Modem: Speedport W 701V

Beitragvon Andreas123 » Do, 24 Jul 2008 15:29

Hallo Segfault,
wenn du keine DNS Auflösung brauchen würdest, dann findest du keine URL im weiten Netz :wink:

Ansonsten: Zwei Bugs in der DNS-Implementation von Windows ermöglichen das Fälschen von Adress-Einträgen im DNS-Cache (DNS-Cache-Poisoning).

Nachtrag nach 3 Minuten 19 Sekunden:

..hiermit verabschiede ich mich hiermit, da scheinbar kein ernsthaftes Interesse besteht - siehe Oberlehrer @hell
Nur tote Fische schwimmen mit dem Strom ;-)
Benutzeravatar
Andreas123
 
Beiträge: 475
Registriert: Mo, 21 Feb 2005 9:07

Beitragvon Segfault » Do, 24 Jul 2008 15:48

Interesse schon, aber WIR reden an einander vorbei.
Aber egal du wirst schon recht haben :D
Benutzeravatar
Segfault
 
Beiträge: 1536
Registriert: Do, 17 Jul 2008 11:30
Plz/Ort: Potsdam
Anschluss: Fremdanbieter
Tarif: anderer
Tarifoptionen: Easybell nur DSL Anschluss
Modem: Speedport W 701V

Beitragvon G-Punkt2000 » Do, 24 Jul 2008 18:53

Um es hier mal auf den Punkt zu bringen. Einzig und alleine ISPs und Andere, die öffentliche DN-Server zur Verfügung stellen, müssen ihre Server patchen.

Und "einzig" kann man nicht steigern, sonst würde daraus ja ein "mehrzig"
:P

So, ich werde mir mal wieder den Rot-Stift nehmen und weiter Fehler in euren Texten markieren. ROFL
Alice Fun Max flat/ISDN
FritzBox 7270/54.04.94-13781 (Laborversion)
G-Punkt2000
 
Beiträge: 485
Registriert: Sa, 10 Jun 2006 2:42
Plz/Ort: Hamburg
Anschluss: POTS-Anschluß
Tarif: Alice Fun
Tarifoptionen: Option Mobile
Modem: FB7390

Beitragvon hell » Do, 24 Jul 2008 19:58

Andreas123 hat geschrieben:@hell ... Danke Herr Genosse Oberlehrer!

Sozialistischen Gruß zurück Genosse Andreas :wink:
Jeder macht Fehler, aber wenn aus cached cashten wird verwirrt das die Leser doch ungemein, oder?
Wenn jetzt jeder den Server der Uni benutzt macht das diesen zu einem lohnenden Ziel von Manipulationen, ich denke Hansenet wird, wenn nicht schon geschehen, alle Server patchen... Für mich aktuell kein Grund zur Sorge.
hell
 
Beiträge: 229
Registriert: Do, 27 Sep 2007 19:34
Plz/Ort: 26789
Anschluss: NGN-Anschluß - T-Resale
Tarif: Alice Light m. DSL-Flat
Modem: Elsa 56k

Beitragvon Martin Fitzgerald » Do, 24 Jul 2008 21:59

Schon genial wie sich hier manche gleich aufregen, nur weil irgendsoein Troll hier die Rechtschreibung "bemängelt".

Nicht füttern! :mrgreen:
Benutzeravatar
Martin Fitzgerald
 
Beiträge: 181
Registriert: Sa, 19 Apr 2008 20:28
Anschluss: POTS-Anschluß
Tarif: Alice Fun
Modem: FB 7270

Beitragvon Segfault » Fr, 25 Jul 2008 9:41

Danke G-Punkt ... da beruhigt mich erstmal.... irgendwann werde auch ich mein Windows patschen.... *fg*
Benutzeravatar
Segfault
 
Beiträge: 1536
Registriert: Do, 17 Jul 2008 11:30
Plz/Ort: Potsdam
Anschluss: Fremdanbieter
Tarif: anderer
Tarifoptionen: Easybell nur DSL Anschluss
Modem: Speedport W 701V

und was mache ich NUN

Beitragvon horstchen » Di, 29 Jul 2008 9:12

http://www.heise.de/security/Telekom-hinkt-mit-DNS-Sicherheitspatch-hinterher--/news/meldung/113442
Telekom hinkt mit DNS-Sicherheitspatch hinterher

DAS hätte iich auch nicht anders erwartet; hilft mir aber auch nicht wirklich weiter. Sind denn nun die DNS-Server von Hansenet gepatcht oder noch nicht? Sollte man nun die Einträge der DNS-Server irgendwohin (wohin?) umbiegen oder ist das nicht nötig.

Ich bin weit davon entfernt das Problem 100%ig zu durchschauen und normalerweise kümmert sich Otto N. nicht um die benutzten DNS-Server. Da ich mein Siemens C2 als Router nutze, habe ich aber irgendwann eine LAN-Verbindung mit IP-Adresse kofigurieren müssen (sonst kommt man nicht in das Modemmenü) und bei der Gelegenheit auch DNS-Server aus der Liste hier irgendwo im Forum eingetragen. Insofern WÄRE es ja im Prinzip möglich auf sichere Server auszuweichen.

Weiß also jmd. etwas genaueres???

BTW. und ist das hier eigentlich das richtige Unterforum für dieses sicherheitsrelevante Thema, die HN als ISP und weniger den heimischen PC betrifft? Ich bin über die Forensuche darauf gestoßen, hätte es aber eher unter Probleme oder Fragen Bestandskunden erwartet.
horstchen
 
Beiträge: 830
Registriert: Mi, 28 Feb 2007 14:12
Anschluss: Fremdanbieter
Tarif: anderer
Tarifoptionen: wilhelm.tel
Komplettanschluss 100/20 Mbit/s down/up, ISDN
Modem: Fritzbox 6360 cable

Beitragvon Segfault » Di, 29 Jul 2008 9:47

Also meiner Meinung nach wird diese Problematik auch zu sehr hoch gespielt.
Es gibt mittlerweile exploits die diese Lücke ausnutzen, aber von einer echten Man-in-the-Middle Attacke habe ich bis jetzt noch nichts gehört.

Warum sich auch das Leben so schwer machen ? Einfach eine Mail mit nem Trojaner verschicken und gut ist....viel einfacher... und irgendwo gibt's immer einen Idioten der .exe Datei in E-Mails öffnet.
Benutzeravatar
Segfault
 
Beiträge: 1536
Registriert: Do, 17 Jul 2008 11:30
Plz/Ort: Potsdam
Anschluss: Fremdanbieter
Tarif: anderer
Tarifoptionen: Easybell nur DSL Anschluss
Modem: Speedport W 701V

Beitragvon hell » Di, 29 Jul 2008 12:14

https://www.dns-oarc.net/oarc/services/dnsentropy hat geschrieben:
1. 62.109.123.196 (dnsp07.hansenet.de) appears to have POOR source port randomness and GREAT transaction ID randomness.
2. 213.191.92.84 (dnsp02.hansenet.de) appears to have POOR source port randomness and GREAT transaction ID randomness.
3. 213.191.74.11 (dnsp01.hansenet.de) appears to have POOR source port randomness and GREAT transaction ID randomness.
4. 213.191.74.12 (dnsp03.hansenet.de) appears to have UNKNOWN source port randomness and UNKNOWN transaction ID randomness.

Wenn die Server gepatcht sind sollte dort eigentlich nur GREAT rauskommen...
http://www.doxpara.com/ wird von Hansenet scheinbar seit kurzem blockiert oder ist überlastet
hell
 
Beiträge: 229
Registriert: Do, 27 Sep 2007 19:34
Plz/Ort: 26789
Anschluss: NGN-Anschluß - T-Resale
Tarif: Alice Light m. DSL-Flat
Modem: Elsa 56k

Beitragvon G-Punkt2000 » Di, 29 Jul 2008 12:41

hell hat geschrieben:...
http://www.doxpara.com/ wird von Hansenet scheinbar seit kurzem blockiert oder ist überlastet ...


Hansenet blockiert keine Seiten! Aber der Server von doxpara.com scheint überlastet.
Alice Fun Max flat/ISDN
FritzBox 7270/54.04.94-13781 (Laborversion)
G-Punkt2000
 
Beiträge: 485
Registriert: Sa, 10 Jun 2006 2:42
Plz/Ort: Hamburg
Anschluss: POTS-Anschluß
Tarif: Alice Fun
Tarifoptionen: Option Mobile
Modem: FB7390

bei heise wurde u.a. empfohlen

Beitragvon horstchen » Di, 29 Jul 2008 13:02

http://www.opendns.com/

nachdem, was bei heise und im dortigen forum so getuschelt wurde, werde ich es wohl heute abend mal mit den opendns-Servern versuchen. Solltet Ihr etwas negatives darüber wissen, wäre jetzt noch Zeit, mich dem vermeintlichen GAU zu retten.

Viele Grüße
horstchen
 
Beiträge: 830
Registriert: Mi, 28 Feb 2007 14:12
Anschluss: Fremdanbieter
Tarif: anderer
Tarifoptionen: wilhelm.tel
Komplettanschluss 100/20 Mbit/s down/up, ISDN
Modem: Fritzbox 6360 cable

Re: bei heise wurde u.a. empfohlen

Beitragvon hell » Di, 29 Jul 2008 21:35

War bei mir als ich es vor einiger Zeit ausprobiert habe langsamer als der vom ISP gestellte DNS Server.

G-Punkt2000 hat geschrieben:Hansenet blockiert keine Seiten! Aber der Server von doxpara.com scheint überlastet.

Anfragen wie 2a47aac0a3eb.doxdns1.com a0db187e631d.doxdns1.com usw. zu blockieren würde aber dem Cache Poisioning einen Riegel vorschieben, der Test ist ja im Prinzip ein Angriff ohne etwas zu vergiften.
hell
 
Beiträge: 229
Registriert: Do, 27 Sep 2007 19:34
Plz/Ort: 26789
Anschluss: NGN-Anschluß - T-Resale
Tarif: Alice Light m. DSL-Flat
Modem: Elsa 56k

Beitragvon tom1978 » Do, 31 Jul 2008 10:14

Also laut http://entropy.dns-oarc.net/test/ scheinen die Hansenet-DNS-Server noch immer nicht gepatched zu sein:

Source Port Randomness: POOR
Transaction ID Randomness: GREAT
tom1978
 
Beiträge: 783
Registriert: Sa, 08 Dez 2007 20:28
Anschluss: NGN-Anschluß - QSC/TLF
Tarif: Alice Fun
Tarifoptionen: Option Mobile Basic
Modem: AVM IAD

Beitragvon guzolany » Do, 31 Jul 2008 16:34

Hattest Du etwas anderes erwartet?

Vermutlich hat sich Alice mit ihrer langen Schleppe beim Patchversuch in einem der Serverräume verheddert und ist dort verhungert... Dass es sich eher um ein Softwareproblem handelt, hätte man ihr aber vorher sagen sollen... Vielleicht können ja Majowski oder Paul Potts vom Rosa Riesen schnell für sie einspringen, damit wenigstens die Werbung weiter läuft, wenn auch weniger ästhetisch?!

Via OpenDNS geht's hier übrigens schnell und wird auch mit einem doppelten "GREAT" belohnt.

Grüße, guzolany
guzolany
 
Beiträge: 24
Registriert: Mi, 06 Jun 2007 19:43
Plz/Ort: Hamburg-Bronx

Beitragvon tom1978 » Do, 31 Jul 2008 17:04

Nee Danke, OpenDNS leitet fehlgeschlagene Anfragen auf eigene Werbeseiten um und sammelt darüber hinaus Daten über die Nutzer - das tue ich mir nicht an.
tom1978
 
Beiträge: 783
Registriert: Sa, 08 Dez 2007 20:28
Anschluss: NGN-Anschluß - QSC/TLF
Tarif: Alice Fun
Tarifoptionen: Option Mobile Basic
Modem: AVM IAD

Beitragvon guzolany » Do, 31 Jul 2008 17:39

Was wären derzeit sinnvolle und überwachungsfreie DNS-Alternativen für Hansenetter (mit 2x "GREAT"), bis Alice reanimiert wurde und gepatcht hat?

Übersichten wie bei stanar.de sind ja schön, aber eben unkommentiert, wenn ich das richtig sehe?!

Grüße, guzolany
guzolany
 
Beiträge: 24
Registriert: Mi, 06 Jun 2007 19:43
Plz/Ort: Hamburg-Bronx

Beitragvon tom1978 » Do, 31 Jul 2008 17:53

guzolany hat geschrieben:Was wären derzeit sinnvolle und überwachungsfreie DNS-Alternativen für Hansenetter (mit 2x "GREAT"), bis Alice reanimiert wurde und gepatcht hat?


Hast Du das allererste Posting in diesem Thread gelesen?
tom1978
 
Beiträge: 783
Registriert: Sa, 08 Dez 2007 20:28
Anschluss: NGN-Anschluß - QSC/TLF
Tarif: Alice Fun
Tarifoptionen: Option Mobile Basic
Modem: AVM IAD

Beitragvon guzolany » Do, 31 Jul 2008 18:30

Aber immer! - Und nu? Kommt doch noch 'ne sinnvolle Antwort auf meine Frage?
guzolany
 
Beiträge: 24
Registriert: Mi, 06 Jun 2007 19:43
Plz/Ort: Hamburg-Bronx

Re: Sicherheitsloch DNS-Server

Beitragvon tom1978 » Do, 31 Jul 2008 19:24

Am Ende des ersten Postings steht doch ganz konkret die Antwort auf Deine Frage:

Andreas123 hat geschrieben:Zur Zeit nehme ich den gepatchten DNS-Server der Uni Stuttgart: 129.69.1.28
tom1978
 
Beiträge: 783
Registriert: Sa, 08 Dez 2007 20:28
Anschluss: NGN-Anschluß - QSC/TLF
Tarif: Alice Fun
Tarifoptionen: Option Mobile Basic
Modem: AVM IAD

Nächste

Zurück zu Empfehlungen



Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder

cron