Open DNS resolver Stop pagina Telenet

[bollewolle]

Sinds gisteren wordt mijn vriendin op meerdere sites geredirect naar een pagina van Telenet waarin iets wordt uitgelegd over een open DNS resolver. Vandaag heb in het zelf ook aan de hand op een aantal
sites, zelfs met Userbase.be.

Nog mensen die dit aan de hand hebben? Of iemand die weet wat er aan te doen is? DNS veranderen id router (public Google DNS op het moment)?

Sorry voor de beperkte info, beetje aan de drukke kant op't werk. Maar alles info is welkom

Update: dit is de link waar ik naar geredirect wordt: http://opendnsmsg.telenet.be/blocked/opendns/

[cloink]

EDIT: bon, 't gaat over iets anders blijkbaar, ik trek mijn woorden terug!

[Sinna]

Maakt het artikel Wat als mijn server is opgemerkt als Open DNS resolver? op de Telenet-website zelf je wijzer?
Als ik het artikel juist lees ('t vrijdag vandaag ) dan heeft Telenet gedetecteerd dat het IP-adres vanwaar gebrowst wordt (in het verleden) een Open DNS Resolver is.

[bollewolle]

Awel, die had ik ook al gevonden maar maakt me echt niet wijzer nee. Vooral omdat ze spreken over "uw server" en de aanpassingen die je daar aan moet maken. Maar zoiets heeft toch niets te maken met mijn DNS instellingen thuis zou ik denken? Heb hier iig geen server draaien ofzo.

Wat nog vreemder is is dat het zo ad-hoc lijkt. Userbase kon ik bijvoorbeeld niet aan met mijn werk pc op de netwerkkabel hier thuis. Met de Mac Mini ging dat wel. Kon er ook op met de iPad en iPhone via de Wifi. Als ik dan de werk laptop op wifi zette werkte het wel ineens :s
En zo heb ik nu nog al een paar sites gehad die soms wel werken op wifi en niet op kabel of andersom. Vind er echt geen logica in

[selder]

Hm. Van op een Proximus verbinding kan ik http://opendnsmsg.telenet.be/blocked/opendns/ niet bereiken?

[Sinna]

Dat heeft ook weinig zin lijkt me, als het iets Telenet-specifiek is.

[selder]

Hé? serieus? "jij zit niet op een telenet verbinding dus mag je deze informatie niet lezen" seriously?

[Sinna]

Er zijn wel meer pagina's die niet bereikbaar zijn vanaf het niet-eigen netwerk.
Ik kan mij moeilijk voorstellen dat bv. een Scarlet-landingspagina omdat je PPPoE-credentials niet juist zijn, extern bereikbaar zou zijn.
Maar je hebt wel een punt aangezien opendnsmsg.telenet.be resolvet naar een publiek IP-adres.

[nickz]

Hm. Van op een Proximus verbinding kan ik http://opendnsmsg.telenet.be/blocked/opendns/ niet bereiken?

Verstuurd vanaf mijn Xperia-tablet met Tapatalk

[evilbart]

Hier opgelost door de dns servers van telenet in te stellen ipv deze van google (8.8.8.8 en 8.8.4.4) te gebruiken. Sites van *.belgium.be zijn dan bijvoorbeeld terug bereikbaar.

mvg,
//Bart

[cloink]

Dan kom ik terug op m'n oorspronkelijke reply eigenlijk: ik hoop van ganser harte dat ze de externe DNS resolvers niet gaan blokkeren, want dan zeg ik sito presto heel de santeboetiek op!

[Dima_2005]

Ja, en vraag is of andere providers misschien ook volgen? Misschien heeft de overheid door dat je de stop-pagina kan omzeilen met google dns of opendns?

Dit is natuurlijk bs want de dns servers van telenet en proximus supertraag zijn...

Sent from my A0001 using Tapatalk

[Tomby]

Dan kom ik terug op m'n oorspronkelijke reply eigenlijk: ik hoop van ganser harte dat ze de externe DNS resolvers niet gaan blokkeren, want dan zeg ik sito presto heel de santeboetiek op!

Het lijkt er toch wel heeeel erg op dat dat hetgeen is wat ze doen. Serieuze WTF zulle.
EDIT: ik kan het probleem hier wel niet reproduceren. Ik geraak nog overal aan na het instellen van Google DNS servers.

[nickz]

Aangezien er op de pagina staat "omdat u een open DNS resolver gebruikt", denk ik niet dat het iets te maken heeft met Wat als mijn server is opgemerkt als Open DNS resolver?. Op de pagina staat ook hetzelfde stopbord als wanneer je bv. naar http://thepiratebay.org probeert te surfen en door de Telenet DNS-server wordt doorverwezen naar http://networkmsg.telenet.be/blocked/fccu/. Het lijkt mij dus inderdaad een maatregel om te voorkomen dat je dergelijke blokkades probeert te omzeilen met Google DNS of Open DNS.

[SpecialK]

Zoals ik het begrijp gaat het over (doorgaans interne) DNS-servers die ook resolving requests van buitenaf accepteren.
Op aansluitingen zonder vast IP wordt poort 53 nog steeds geblocked dus dit probleem kan eigenlijk enkel voorkomen bij producten met een vast IP. Indien niet is't een foutje van Telenet.
Los daarvan vraag ik me af wat het risico dan wel is. Spam, zoals bij een open relay, kan je via DNS alvast niet veroorzaken. Schrik voor een DNS amplification attack misschien?

[Sinna]

Aangezien er op de pagina staat "omdat u een open DNS resolver gebruikt", denk ik niet dat het iets te maken heeft met Wat als mijn server is opgemerkt als Open DNS resolver?

Ik zie weldegelijk een verband: als het IP-adres vanwaar gesurft wordt gekend is als een open DNS resolver (deze keer met kleine lettertjes om het onderscheid te maken met OpenDNS), dan kan dat potentieel gevaarlijk zijn zoals SpecialK opmerkt.

[tb0ne]

Welke router heb je? Heb je een NAS?
Zeker dat hij niet gehackt is of de configuratie aangepast?
Kijk eventueel eens of er geen nieuwe firmware is met security fixes?
Kijk je configuratie na: https://support.aa.net.uk/Category:Open_DNS_Resolvers
Iets dat bereikbaar is (was?) op de publieke zijde van je verbinding kan misbruikt worden in DDOS attacks op basis van DNS en daarom krijg je die melding.
Bij Ziggo leggen ze het beter uit:
https://www.ziggo.nl/klantenservice/int ... -resolver/
Al kan je hun test vermoedelijk niet gebruiken want ik denk dat Telenet nog steeds poort 53 buiten zijn netwerk blokkeert.
Met andere woorden, andere (gehackte?) Telenet klanten kunnen jouw verbinding misbruiken of hebben dit in het verleden al gedaan.

[ubremoved_2964]

Dit gaat dus basically over telenet klanten met een vast IP, die een named/bind of andere DNS server opzetten die recursieve queries vanaf het internet toelaat.

Hoe merkt telenet dit op? Het feit dat telenet dit opmerkt toont aan dat ze de traffic van de klanten sniffen of bijhouden, of actief hun ranges van fixed ip's afscannen op DNS servers.

[bollewolle]

Merci tb0ne, dat was zeer nuttige info

Via de site van Ziggo (http://www.openresolver.nl/) gaf hij inderdaad aan dat er iets fout stond. Even in de instellingen gaan kijken (Mikrotik rb-1200) en snel kunnen vinden waar het probleem lag. Heb dus inderdaad inkomende UDP poort 53 expliciet geblokeerd. Daarna was die test wel in orde. Nu dus nog even opvolgen of het de rest van de dag (komende dagen) in orde blijft.

[driesp]

Ik probeer dezelfde conclusie te bevestigen.
Als ik het goed heb begrepen draait er een open dns resolver op jouw verbinding.

Probeer poort 53 udp ( en ook tcp ) alvast te firewallen met SPI
en sta recusive querys enkel toe vanuit je lokale LAN ip range.

Tof dat telenet hun netwerk hierop actief scant,
want een open dns resolvers kan (of beter, zal) misbruikt worden om een DDOS aanval te ondersteunen.
Het is dus zeer belangrijk dat je dit probleem meteen oplost.
Als jouw verbinding misbruikt wordt voor dat soort aanval,
zal dat zich ook meteen resulteren in een instabiele internet verbinding.

Ik vond op google een externe onafhankelijke test,
waarmee je zelf kan nagaan of op jouw ip adres een open dns resolver draait.
http://openresolver.com/
Je persoonlijk ip aders achterhalen kan via http://testipv6.be

[ubremoved_2964]

Tof dat telenet hun netwerk hierop actief scant,
want een open dns resolvers kan (of beter, zal) misbruikt worden om een DDOS aanval te ondersteunen.
Het is dus zeer belangrijk dat je dit probleem meteen oplost.
Als jouw verbinding misbruikt wordt voor dat soort aanval,
zal dat zich ook meteen resulteren in een instabiele internet verbinding.

DNS kan inderdaad gebruikt worden voor een amplify attack (spoof een klein packetje, de server stuurt een veelvoud terug)

Ik weet persoonlijk van een aanval in 1995 waar halve kriminelen via een cybercafé hun 64mbit lijntje meer dan 2 mbit aan amplified traffic konden uitlokken, dus go figure in 2016 wat de mogelijkheden zijn met onze huidige snelheden.

[Tim.Bracquez]

Geweldig dat telenet dit doet! Petje af.

[cloink]

Heb dus inderdaad inkomende UDP poort 53 expliciet geblokeerd. Daarna was die test wel in orde. Nu dus nog even opvolgen of het de rest van de dag (komende dagen) in orde blijft.

Je hebt dus vast IP?

Hier opgelost door de dns servers van telenet in te stellen ipv deze van google (8.8.8.8 en 8.8.4.4) te gebruiken.

Rest deze opmerking... Uit de lucht gegrepen dan?

[Sinna]

Uit de lucht gegrepen? Niet persé: het is best mogelijk dat die open DNS resolver controle enkel gebeurt als je Telenet's DNS-servers gebruikt.

[cloink]

Uit de lucht gegrepen? Niet persé: het is best mogelijk dat die open DNS resolver controle enkel gebeurt als je Telenet's DNS-servers gebruikt.

Ja, ok, maar uit de "hier opgelost" zou je kunnen afleiden dat evilbart ook die stop pagina kreeg? Straks thuis toch eens proberen...

[bollewolle]

Klopt, we hebben hier inderdaad een vast ip address via het business abo dus van TN waar dat inzit, 240 plus als ik me niet vergis. Na de tips die ik gekregen heb even snel nog verder gezocht en op deze post uitgekomen om het Mikrotik forum: http://forum.mikrotik.com/viewtopic.php?t=91406 Daar heb ik me dan verder op gebaseerd om mijn firewall rules wat verder aan te passen. De tests tonen iig niet meer dat er een open DNS resolver is dus voorlopig lijkt het in orde te zijn.

Nu ik het weet ben ik persoonlijk ook best wel tevreden dat TN deze error gegeven heeft. Anders was ik er idd niet achter gekomen. Mijn initiële setup in de RB-1200 is indertijd gebeurd op basis van een aantal "best practice" forum en wiki posts bij Mikrotik maar blijkbaar werd de 53 daar dus niet expleciet in geblokeerd voor requests van buitenaf.

Anyway, merci allemaal voor de feedback en in het speciaal dus tb0ne

[ubremoved_2964]

Geweldig dat telenet dit doet! Petje af.

Ik heb zelf nog zulke scriptjes geschreven voor een migratie van DNS + hosting als consultant bij Tele2.
Die scriptjes moesten o.a. recursive vs non-recursive testen. Heb dat nog ergens wel liggen.

Dus met wat integratiewerk enkele dagen, maar bespaart waarschijnlijk bij telenet veel onzin.

Open DNS, open mail relay, en open NTP poorten zijn enkele van de typische attack vectors.
Het probleem is als een attack vanaf TN orgineert, TN geblocked kan worden via allerlei blacklists, dus dit is ook een reputatiekwestie
Proper dat ze dit doen, maar ze hebben ook niet veel andere keuze.

[selder]

Wat heeft het gebruik van DNS servers van je intern netwerk naar het internet te maken met een DNS server die requests van het internet (naar een server in je intern netwerk/DMZ) te maken? Waarom zou die controle op een DNS server op een Telenet internetverbinding alleen gebeuren als clients op die internetverbinding gebruik maken van de DNS server van Telenet?

[CCatalyst]

Ik mag ervan uit gaan dat ze enkel blokkeren als je een open resolver draait op de 53? Dit ahv een periodieke scan op de fixed IP's?

Waarschijnlijk mag je gerust een open resolver draaien op 5353? Of zitten ze echt in de pakketten te zien? Portscannen doen ze waarschijnlijk wel niet anders had ik het hier wel al gelezen.

En detecteren ze 53 TCP ook of enkel UDP?

Waarom zou die controle op een DNS server op een Telenet internetverbinding alleen gebeuren als clients op die internetverbinding gebruik maken van de DNS server van Telenet?

Inderdaad, dat zou niet stroken met de waarschijnlijke achterliggende bedoeling.

[ubremoved_2964]

Ik mag ervan uit gaan dat ze enkel blokkeren als je een open resolver draait op de 53? Dit ahv een periodieke scan op de fixed IP's?

Ik zie op zich geen probleem met een eigen caching nameserver draaien op TN, zolang maar niet heel de wereld die kan gebruiken. Niemand kan jou verplichten de TN dns servers te gebruiken, die technisch gezien valsheid in geschrifte plegen, gezien ze liegen over bepaalde zones (door te verwijzen naar de stop pagina geven ze dus vervalste DNS records, maar gezien dit onder dwang is van het gerecht, staat het gerecht dus duidelijk boven de wet).

[Sasuke]

Telenet geeft deze melding wanneer tcp/udp 53 bereikbaar is van buitenaf op jouw verbinding. Volgens de voorwaarden, dacht ik toch, mag je géén eigen DNS service draaien voor derden. (e.g. DNS voor je eigen domeinen e.d.) (Dit uiteraard enkel op de particuliere abbo's, waaronder de 'xxx business' ook vallen).

Nu ... lijkt me nu ook niet echt een goed idee te zijn om dat wél te doen. Ik vind het dan ook niet verkeerd dat Telenet dit doet !

[ITnetadmin]

Ik ben er redelijk zeker van dat de wet de "inviolability" van het DNS systeem niet erkent.

Dat gezegd zijn we het er dus over eens dat dit niet gaat om het gebruik van een andere DNS server dan die van telenet.
De niet-netwerk ITers hier hier die (engiszins begrijpelijk) een beetje panikeerden mogen dus gerust op beide oortjes slapen.

[ubremoved_539]

Waarom blokkeren ze dan niet gewoon port 53 ?

https://www2.telenet.be/nl/klantenservi ... t-telenet/

[Tomsworld]

Omdat niets je verbied om op een business lijn met fixed ip bv een authorative dns draaien. Of het een goed idee is op een lijn met zo'n beperkte upload is een andere vraag maar soit.

[ubremoved_2964]

Omdat niets je verbied om op een business lijn met fixed ip bv een authorative dns draaien. Of het een goed idee is op een lijn met zo'n beperkte upload is een andere vraag maar soit.

non-recursive queries zijn enkel voor de domeinen die je zelf wil hosten, dus zal in volume vermoedelijk wel lager zijn dan wanneer die zowel non-recursive queries afhandelt en ook nog eens een open dns server is die ook recursive afhandelt (zeker als hackers hem ontdekken voor een amplify attack)