HanseNet-User-Forum

[Andreas123]

Hallo,
möchte nochmal auf das Sicherheitsloch bei den gecashten DNS -Server hinweisen

Diese Sicherheitslücke wurde für den PC selbst, mittels Windows-Flicken, im Juli klammheimlich gestopft.

Hier zu der Problematik:
http://www.heise.de/security/Massives-DNS-Sicherheitsproblem-gefaehrdet-das-Internet--/news/meldung/110641
und
http://www.heise.de/security/Exploits-fuer-DNS-Schwachstellen-veroeffentlicht--/news/meldung/113266

Bei den allermeisten DNS-Servern wurde aber bisher nicht nachgebessert bzw. gepatcht

Die mögliche Verwundbarkeit deines zugewiesenen DNS-Servers kannst hier testen:
http://www.doxpara.com/

Einzigster DNS-Server der Uni Stuttgart ist gepatcht worden: http://www.rus.uni-stuttgart.de/nks/netzdienste/vpn_service/dial_in_konfigurationen/

PS. Meine DNS-Server hatte ich noch nie automatisch bezogen, sondern immer per Hand ausgesucht und eingetragen.
Zur Zeit nehme ich den gepatchten DNS-Server der Uni Stuttgart: 129.69.1.28

[Segfault]

Ich hab kein DNS Server. Nur einen Router und der fragt wiederum den Alice DNS Server ab. Brauch ich nun den Patch ??? Und wenn ja warum ?

Hab Zone Alarm PRO deutsch und dafür gibt es noch kein Patch und deshalb habe ich den MS Patch auch noch nicht installiert. Ist das echt soooo kritisch ?

[hell]

Sicherheitsloch bei den gecashten DNS -Server

Äh... Hat das was mit Johnny Cash zu tun?

Einzigster

Argh
Die korrekte Steigerungsform von einziger ist natürlich einzigerstererler...

Und Leute die ZoneAlarm installiert haben verdienen sowieso ein langes qualvolles Computerproblem.. haben sie ja auch meistens

[Segfault]

Und Leute die ZoneAlarm installiert haben verdienen sowieso ein langes qualvolles Computerproblem.. haben sie ja auch meistens

Sorry, aber ich hab absolut keine Probleme mit ZA Pro ... ist sehr zuverlässig und erlaubt es mir zu steuern welche Programme ins Netz dürfen und welche nicht. Ich hatte noch nie Probleme damit.

Achja und zu Thema "Einzigster"... Kann es sein, dass das ein typisch Deutsches Problem ist ? Alle Leute die ich kenne mit Migrationshintergrund regen sich darüber auf, dass die Deutschen immer das vor "einzig" steigern.

[Andreas123]

@hell ... Danke Herr Genosse Oberlehrer!

Mehr hast nicht zu sagen?

Nachtrag nach 8 Minuten 58 Sekunden:

@Segfault.. klar hast du keinen DNS-Server, aber die Namensauflösung mußt du über den führen.

In Analogie zu einer Telefonauskunft soll DNS bei Anfrage mit einem Hostnamen (dem „Adressaten“ im Internet – zum Beispiel de.wikipedia.org) als Antwort die zugehörige IP-Adresse (die „Anschlussnummer“ – zum Beispiel 91.198.174.2)

[Segfault]

Ich weiß wie DNS funktioniert, aber mir konnte bisher noch niemand erklären wofür ich dieses Patch für Windows brauch und ob ich es brauche.

Aus deiner Antwort schließe ich jetzt mal: Ich hab keinen Server also brauche ich auch nix patchen?!

[Andreas123]

Hallo Segfault,
wenn du keine DNS Auflösung brauchen würdest, dann findest du keine URL im weiten Netz

Ansonsten: Zwei Bugs in der DNS-Implementation von Windows ermöglichen das Fälschen von Adress-Einträgen im DNS-Cache (DNS-Cache-Poisoning).

Nachtrag nach 3 Minuten 19 Sekunden:

..hiermit verabschiede ich mich hiermit, da scheinbar kein ernsthaftes Interesse besteht - siehe Oberlehrer @hell

[Segfault]

Interesse schon, aber WIR reden an einander vorbei.
Aber egal du wirst schon recht haben

[G-Punkt2000]

Um es hier mal auf den Punkt zu bringen. Einzig und alleine ISPs und Andere, die öffentliche DN-Server zur Verfügung stellen, müssen ihre Server patchen.

Und "einzig" kann man nicht steigern, sonst würde daraus ja ein "mehrzig"


So, ich werde mir mal wieder den Rot-Stift nehmen und weiter Fehler in euren Texten markieren. ROFL

[hell]

@hell ... Danke Herr Genosse Oberlehrer!

Sozialistischen Gruß zurück Genosse Andreas
Jeder macht Fehler, aber wenn aus cached cashten wird verwirrt das die Leser doch ungemein, oder?
Wenn jetzt jeder den Server der Uni benutzt macht das diesen zu einem lohnenden Ziel von Manipulationen, ich denke Hansenet wird, wenn nicht schon geschehen, alle Server patchen... Für mich aktuell kein Grund zur Sorge.

[Martin Fitzgerald]

Schon genial wie sich hier manche gleich aufregen, nur weil irgendsoein Troll hier die Rechtschreibung "bemängelt".

Nicht füttern!

[Segfault]

Danke G-Punkt ... da beruhigt mich erstmal.... irgendwann werde auch ich mein Windows patschen.... *fg*

[horstchen]

http://www.heise.de/security/Telekom-hinkt-mit-DNS-Sicherheitspatch-hinterher--/news/meldung/113442
Telekom hinkt mit DNS-Sicherheitspatch hinterher

DAS hätte iich auch nicht anders erwartet; hilft mir aber auch nicht wirklich weiter. Sind denn nun die DNS-Server von Hansenet gepatcht oder noch nicht? Sollte man nun die Einträge der DNS-Server irgendwohin (wohin?) umbiegen oder ist das nicht nötig.

Ich bin weit davon entfernt das Problem 100%ig zu durchschauen und normalerweise kümmert sich Otto N. nicht um die benutzten DNS-Server. Da ich mein Siemens C2 als Router nutze, habe ich aber irgendwann eine LAN-Verbindung mit IP-Adresse kofigurieren müssen (sonst kommt man nicht in das Modemmenü) und bei der Gelegenheit auch DNS-Server aus der Liste hier irgendwo im Forum eingetragen. Insofern WÄRE es ja im Prinzip möglich auf sichere Server auszuweichen.

Weiß also jmd. etwas genaueres???

BTW. und ist das hier eigentlich das richtige Unterforum für dieses sicherheitsrelevante Thema, die HN als ISP und weniger den heimischen PC betrifft? Ich bin über die Forensuche darauf gestoßen, hätte es aber eher unter Probleme oder Fragen Bestandskunden erwartet.

[Segfault]

Also meiner Meinung nach wird diese Problematik auch zu sehr hoch gespielt.
Es gibt mittlerweile exploits die diese Lücke ausnutzen, aber von einer echten Man-in-the-Middle Attacke habe ich bis jetzt noch nichts gehört.

Warum sich auch das Leben so schwer machen ? Einfach eine Mail mit nem Trojaner verschicken und gut ist....viel einfacher... und irgendwo gibt's immer einen Idioten der .exe Datei in E-Mails öffnet.

[hell]

1. 62.109.123.196 (dnsp07.hansenet.de) appears to have POOR source port randomness and GREAT transaction ID randomness.
2. 213.191.92.84 (dnsp02.hansenet.de) appears to have POOR source port randomness and GREAT transaction ID randomness.
3. 213.191.74.11 (dnsp01.hansenet.de) appears to have POOR source port randomness and GREAT transaction ID randomness.
4. 213.191.74.12 (dnsp03.hansenet.de) appears to have UNKNOWN source port randomness and UNKNOWN transaction ID randomness.

Wenn die Server gepatcht sind sollte dort eigentlich nur GREAT rauskommen...
http://www.doxpara.com/ wird von Hansenet scheinbar seit kurzem blockiert oder ist überlastet

[G-Punkt2000]

...
http://www.doxpara.com/ wird von Hansenet scheinbar seit kurzem blockiert oder ist überlastet ...

Hansenet blockiert keine Seiten! Aber der Server von doxpara.com scheint überlastet.

[horstchen]

http://www.opendns.com/

nachdem, was bei heise und im dortigen forum so getuschelt wurde, werde ich es wohl heute abend mal mit den opendns-Servern versuchen. Solltet Ihr etwas negatives darüber wissen, wäre jetzt noch Zeit, mich dem vermeintlichen GAU zu retten.

Viele Grüße

[hell]

War bei mir als ich es vor einiger Zeit ausprobiert habe langsamer als der vom ISP gestellte DNS Server.

Hansenet blockiert keine Seiten! Aber der Server von doxpara.com scheint überlastet.

Anfragen wie 2a47aac0a3eb.doxdns1.com a0db187e631d.doxdns1.com usw. zu blockieren würde aber dem Cache Poisioning einen Riegel vorschieben, der Test ist ja im Prinzip ein Angriff ohne etwas zu vergiften.

[tom1978]

Also laut http://entropy.dns-oarc.net/test/ scheinen die Hansenet-DNS-Server noch immer nicht gepatched zu sein:

Source Port Randomness: POOR
Transaction ID Randomness: GREAT

[guzolany]

Hattest Du etwas anderes erwartet?

Vermutlich hat sich Alice mit ihrer langen Schleppe beim Patchversuch in einem der Serverräume verheddert und ist dort verhungert... Dass es sich eher um ein Softwareproblem handelt, hätte man ihr aber vorher sagen sollen... Vielleicht können ja Majowski oder Paul Potts vom Rosa Riesen schnell für sie einspringen, damit wenigstens die Werbung weiter läuft, wenn auch weniger ästhetisch?!

Via OpenDNS geht's hier übrigens schnell und wird auch mit einem doppelten "GREAT" belohnt.

Grüße, guzolany

[tom1978]

Nee Danke, OpenDNS leitet fehlgeschlagene Anfragen auf eigene Werbeseiten um und sammelt darüber hinaus Daten über die Nutzer - das tue ich mir nicht an.

[guzolany]

Was wären derzeit sinnvolle und überwachungsfreie DNS-Alternativen für Hansenetter (mit 2x "GREAT"), bis Alice reanimiert wurde und gepatcht hat?

Übersichten wie bei stanar.de sind ja schön, aber eben unkommentiert, wenn ich das richtig sehe?!

Grüße, guzolany

[tom1978]

Was wären derzeit sinnvolle und überwachungsfreie DNS-Alternativen für Hansenetter (mit 2x "GREAT"), bis Alice reanimiert wurde und gepatcht hat?

Hast Du das allererste Posting in diesem Thread gelesen?

[guzolany]

Aber immer! - Und nu? Kommt doch noch 'ne sinnvolle Antwort auf meine Frage?

[tom1978]

Am Ende des ersten Postings steht doch ganz konkret die Antwort auf Deine Frage:

Zur Zeit nehme ich den gepatchten DNS-Server der Uni Stuttgart: 129.69.1.28