Unitymedia Sicherheitswarnung - Open DNS Resolver

Moin,

ich habe gestern eine Email von Unitymedia bekommen.

Auszug:
"wir konnten in den letzten Tagen feststellen, dass der von Ihnen verwendete
Router ein Sicherheitsproblem darstellt. Auf Ihrem Router ist ein sogenannter
Open-DNS Resolver aktiv."

"Ist das zu viel „Fach-chinesisch“?
Vereinfacht heißt das: Kriminelle können Ihren Router z.B. für Angriffe
gegen andere Internetnutzer missbrauchen."

Hat jemand hier schon einmal etwas ähnliches bekommen?

Die Mail war auf vielen Ebenen komisch.
Vor allem: Was fällt Unitymedia ein meinen Traffic zu scannen?
Oder reagiere ich da jetzt über?

Gruß Thefar

Hallo,

das kommt in letzter Zeit bei vielen Nutzern vor (insb. jedoch in den USA). Wir haben nun mit vielen Nutzern Tests durchgeführt und festgestellt, dass diese Behauptung bei allen haltlos ist. Ich hoffe Du hast keine Ports (insb. nicht Port 53) vom Pi-hole nach "außen" freigegeben.

Die Vermutung des Pi-hole Entwicklerteams sieht folgendermaßen aus;
Kunden verwenden üblicherweise über den Router die DNS-Server des Providers (in Deinem Fall Unitymedia). Dies ist nun bei Dir nicht mehr der Fall (Du verwendest über Pi-hole Google, DNS.WATCH, o.A.). Unitymedia hat nun bemerkt dass weiterhin Internetverkehr über die Leitung abgewickelt wird, sie aber keine DNS-Logs mehr von Deinem Anschluss haben und somit effektiv nicht mehr wissen was Du machst. Denn wenn sie Deinen Traffic abschnüffeln würden, wäre das rechtswidrig. Ein Log des DNS-Servers zu behalten ist dahingegen jedoch eine Grauzone.

Soweit die Theorie - ich weiß selbst dass sie nicht so richtig überzeugen klingt, aber das ist das beste was wir haben.

P.S.: Führe doch bitte einmal folgenden Tests mit Deiner öffentlichen IP Adresse aus:
http://openresolverproject.org (im Adressfeld einfach Enter drücken)
http://openresolver.com

2 Likes

Hi,

danke für die schnelle Antwort.
Über den Zugriff von Außen habe ich mir keine sorgen gemacht.
Ich komm nicht mal von Außen drauf. :smile:

Das mit dem DNS Resolver ist schlüssig.
Ich habe mich noch gewundert, weil dies schlichtweg rechtswidrig gewesen wäre und die mit dieser Email das auch noch zugeben würden.

Ich weiß nicht ob ich es gut finden, oder verurteilen soll was da in der Email steht.
Dann man empfiehlt mir eine Softwareupdate, da mein "Router" gefährdet wäre.
Ohne auch nur zu wissen, was ich den überhaupt nutze.

Aber am Ende hat es mich nur noch mehr bestätigt, dass dieses Projekt klasse ist.

Wenn die E-Mail keine persönlichen Daten enthält würde ich mich darüber freuen, wenn Du sie mir mal per privater Nachricht zukommen lassen könntest.

Ich bin selbst Telekom-Kunde und ich hatte bereits das ein oder andere Telefonat mit meinem Provider aus verschiedensten Gründen. Eine von mir als hinreiched vertraunswürdige Quelle innerhalb der Telekom hat mir versichert, dass die Telekom an solchen Praktiken nicht interessiert ist und es Nutzern selbstverständlich freisteht hinter Ihrem Anschluss einen privaten DNS-Server/-Forwarder zu betreiben.

Sende ich dir gerne. Ich entferne einfach meinen Namen.
Da ich neu hier im Forum bin... Wie sendet man PMs?`:sweat_smile:

Auf mein Benutzerbild klicken und dann [Message] auswählen.

Kein Mesage Button.
Firefox 52.0.2

Komisch...

Hmm ...

Ok. Jetzt habe ich den Trustlevel 1 erreicht. Ich dachte mir schon so etwas.
PM kommt.

Ja, den Trust Level habe ich angeschoben.

Offiziell heißt es in der Dokumentation:

If a user sticks around long enough to read a bit, Discourse now trusts them as a basic user.

They can get to trust level 1 by

  • entering at least 5 topics
  • reading at least 30 posts
  • spend a total of 10 minutes reading posts
    ...

sowie

Users at trust level 0 cannot...

  • Send private messages to other users
    ...

Die Nachricht ist ja echt etwas seltsam. Hast Du die Tests mal beide durchgeführt? Alternativ könntest Du mir noch Deine externe IP (IPv4) und/oder IPv6 Adresse Deines Pi-hole-Gerätes per PM schicken und ich schaue von hier ob ich Deinen Server für die Namensauflösung verwenden könnte. Nur um sicher zu gehen dass wir nichts übersehen haben.

P.S.: Sie müssen bei Dir aber einen Portscan durchgeführt haben um überhaupt das zu bemerken was Du siehst. Ich bezweifle dass das legal ist.

Da ich keinen externen Zugriff auf meine PI eingerichtet habe... Wie finde ich heraus wie die öffentliche IP von der Pihole ist?

Edit: Ich finde es auch extrem komisch, wie die darauf kommen solche Emails zu versenden. Das einzige was die bemerken müssen ist, dass ich nicht mehr ihren DNS benutze. Aber dann gleich solche Aussagen treffen?

Wenn das wirklich stimmt, dass die einen OPEN-DNS Resolver bei mir gefunden haben...
Dann haben die mich gescannt. Und da bin ich deiner Meinung. Das kann nicht gut sein.

Update: Die Pihole hatte ich ursprünglich mal als Exposed Host angelegt.
Das war wohl ein Fehler. Definitiv wurde dadurch das Ganze von außerhalb ansprechbar.
Getestet mit openresolver.com - Danke nochmals an MrD.

Ich habe den Exposed host abgeschalten und es ist nicht weiter erreichbar.
Unitymedia hat mir einen Link zu einer Website mit Daten zu meinem Anschluss gesendet: "Beschwerdebericht über Internet-Missbrauch".
Hier sind offensichtlich wiederkehrende Probleme. Ich bin derzeit am Erörtern was passiert ist. Ich befürchte fast, dass meine Pi oder ein anderes Gerät in meinem Netzwerk nicht sauber ist. Einer der Meldungen lautet auf "Malware".

Sobald ich was neues habe, update ich.

1 Like

You've got balls admitting you were wrong ... my respect!
Unsecured DNS servers are used for example in DDOS Amplification Attacks.
You might have unwillingly been involved in an attack already without you knowing it.

Well. Forums are for helping each other out. I want to make sure no one else is as stupid as me. And at the same time expose a possible flaw in the Pihole.
And lets just hope that they only nuked bad websites with my connection.

1 Like

No, definitely not! :wink:

I mean ... that is bad to even begin with. You can break any networking software if you do this. We tried to have Pi-hole protect the users from doing such misconfigurations accidentally, but Raspbian has taken our efforts to the point of absurdity. The problem is that Raspbian Jessie ships with an old version of dnsmasq that is not able to start with the local-service option enabled, since the networking devices are not yet up when dnsmasq starts, preventing it from starting at all eventually.

Yes. Hello. I'm noob.
No seriously. I know it was a stupid move. I did that on first config to see if everything is running. Normally after that I start tweaking my config until everything works.
I just left it after the first step and forgot. Didn't care. Don't copy my moves. I'm a certified idiot. You probably don't have the qualifications to do stupid stuff like that. Leave it to the pros. ^_^'

Das ist meine Lieblings-Entschuldigung :laughing:

1 Like

systemd coming soon to your theater :wink:

@Thefar Ich habe genau das gleiche Problem wie du und auch genau den gleichen Fehler gemacht wie du. Wie ist es ausgegangen?

Hatte so eine Mail auch mal von T-Online bekommen. Lag daran das ich Port 53 nach außen geöffnet hatte (bzw. AVM ....). T-Online scannt wohl gewisse Ports die ggf. darauf schließen das etwas nicht in Ordnung ist. DNS/53 macht normalerweise kein Privatkundenanschluß nach außen. Daher gingen die erstmal in dem Hinweis davon aus das bei mir irgendwas auf dem Router (oder im LAN: Port-Öffnung via UPnP) nicht ganz sauber war. Vielleicht Malware oder sonst was. Als ich das Problem per Workaround gelöst hatte (richtige Lösung konnte mit AVM leider nicht anbieten...), war das Thema durch. Die automatischen Mails von T-Online hörten sofort auf!

Also keine Panik. Wenn du einen exposed Hosts auf den Pi.Hole hattest, hattest du da natürlich Port 53 nach außen offen und somit hat dein Provider darauf reagiert.

1 Like