DHCPv6-Server auf WAN-Interface des Routers offen?

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

DHCPv6-Server auf WAN-Interface des Routers offen?

Beitrag von ingo2 » 02.06.2018 20:44:24

Ich habe auf meinem "Serverlein" (APU.2C4) den Debianunbound als recursiven DNS-Resolveer gemäß den Anleitungen in der c't (2017, H.12 + 2017, H.21) incl. DNSSEC und für die Geräte im Heimnetz mit DNS-Ad-Blocker eingerichtet. Funktioniert prima, auch mit IPv6. Dafür habe ich dann die ULA's fürs Heimnetz im Router aktiviert.

Router ist eine Fritz!Box 7430 mit Firmware 6.8.3.
Die IPv6-Konfiguration fürs Heimnetz habe ich komplett auf SLAAC gesetzt, incl. RDNS zur Verteilung des DNS-Servers per Router-Advertisement. Den DNS-Server kann man selbst per ULA eintragen (statt des FB-eigenen). Der DHCPv6-Server ist in der Fritz!Box komplett deaktiviert.

So weit, so gut - alles funktioniert.
Zur Überprüfung habe ich dann auch Portrscans vom Internet aus durchgeführt. Mit diesem http://ipv6tech.ch/?udpportscan Scanner habe ich auch die UDP-Ports untersucht - und einen Schrecken bekommen:

Außer Port 5060 für SIP ist auch Port 547 (besagter DHCPv6-Server) "reachable". Dabei ist es egal, welche IPv6 ich dem Scanner vorgebe: lokaler PC, Laptop via WLAN oder die WAN-IP des Routers, der Port ist offen!

Dann habe ich die Probe aufs Exempel gemacht und einfach von meinem PC aus ein

Code: Alles auswählen

dig -6 @<WAN-IPv6 der Fritz!Box> debianforum.de aaaa
ausgeführt - und bekomme eine vollständige Antwort/Auflösung :roll:

Da ist doch irgendwas nicht ok - oder? Ist das ein Sicherheitsrisiko, ein offener DNS-Server im Internet?

P.S.: wer auch eine Fritz!Box hat, kann's selbst einfach nachstellen, es funktioniert auch mit dem FB-internen DNS-resolver. Die WAN-IPv6 findet man unter "Internt -> Netzwerkmonitor". Es geht auch mit dem zugehörigen öffentlichen Hostnamen der FB (mit host <IPv6> ermitteln).

Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: DHCPv6-Server: wer mag das kurz mal testen?

Beitrag von ingo2 » 03.06.2018 17:05:58

Meine Versuche waren ja bisher von ein und dem selben Anschluß aus.
Es wär wirklich interessant, zu erfahren, ob da wirklich der Router (bzw. dessen DNS-Server) offen im Internet steht.

Deshalb meine Bitte:
wer bereit ist, von seinem Anschluß aus zu testen (sollte IPv6-fähig sein), sende mir doch bitte eine kurze PM oder poste hier. Dann schicke ich per PM die WAN-IPv6 meiner Fritz!Box für eine DNS-Abfrage mittels "dig" über meinen Router.

Wenn das nämlich klappt, mache ich IPv6 vorerst dicht - dann liegt eine satte Sicherheitslücke vor!

Gruß,
Ingo

Antworten