Blokace portů od UPC (scan_mdns)

[Návštěvník]

Ahoj, jenom se přidávám - úplně stejnej porblém jak přes kopírák - dokonce i datumy sedí - 19.2. zablokováno (chyba detekována prý 17.2.)

Strávili sme s tim pěknou chvilku, než nám došlo, že chyba není na našem přijímači a volali UPC. Dnes bez problémů odblokováno technikem se stejným udáním důvodu jako u kolegů výše - nějaký "neznámý" virus (prý by mělo být řešením zabezpečení portu 53).

V síti byl v době incidentu zapnutý jen a pouze jediný MAC a jedno Synology (24/7). PC bylo vypnuto. Takže virovou nákazu moc nechápu

Pikantní je, že informace žádná, takže si kolegové mysleli buchvíco a na "servisu" nefunkčního stroje strávili zbytečný čas - přitom by stačilo něco kváknout ze strany poskytovatele (UPC) ....

Pavel

[Návštěvník Dragokazov]

Nás v minulosti taky blokovali i když zase údajně z jiného důvodu.. Síť byla dokonale čistá, žádné logy nebyli ochotni poskytnout, takže nakonec odblokovali. Vážně by mě, ale zajímalo jaké procento false-positive má ta jejich detekce a zda se tím vůbec taky zabývají..

[Návštěvník]

Mám stejný problém, mail přišel dnes v 10:00, ještě jsem tam nevolal. Projel jsem systém-poslední ubuntu křížem krážem a nic. V minulosti jsem byl blokován dvakrát, tak jestli se to bude opakovat jako u vás, tak se budu muset doprošovat písemně.

[Návštěvník VALEMiC]

Tak už mám vyjádření od UPC a funkční řešení:

 

Vyjádření od UPC:

"tento incident reportuje multicast DNS službu, která je dostupná z Internetu a může být použita k útoku. Řešením je blokovat tuto službu směrem do Internetu (5353/UDP), nebo ji vypnout"

 

UPC firewall skenuje nebezpečné porty otevřené na veřejných IP adresách. Nedávno bylo zjištěno, že Multicast DNS (mDNS) je v některých konfiguracích zranitelný a dokáže do internetu prezentovat informace o vaší síti a službách na ní bězících. V těchto konfiguracích se také dá mDNS použít k vyvolání DDoS útoku.

 

U mě to bylo způsobeno tím, že mám server v DMZ, tedy veškerý IP traffic (který není pravidly firewallu přesměrován jinam) končí na serveru v lokální síti.

Na serveru mi běžela už od instalace služba Avahi mDNS / DNS-SD daemon. Službu jsem neinstaloval, byla obsažená už v základní instalaci Debianu.

 

Pokud někdo používáte DMZ na nějaký linuxový stroj, tak můžete udělat 2 věci:

 

1) Odinstalovat avahi-daemon (Stejně v dobře nakonfigurované TCP/IP síti k ničemu není)

2) Blokovat ve firewallu přístup k portu 5353/UDP z internetu na Váš server.

 

Stejný problém pochopitelně budou mít lidé, kteří mají modem od UPC, který nefunguje jako router a každé PC za ním zapojené dostane veřejnou IP.

Doporučuji si nějakým rozumným UDP port scanem zjistit, zda nemáte na veřejné IP otevřený port 5353/UDP.

 

Já jsem AVAHI-DAEMON odinstaloval a od té doby žádný problém nemám.