Firewall IPFire validiert DNS-Antworten

Über das Core Update 80 für IPFire 2.15 beheben die Entwickler Fehler und rüsten den Support für DNSSec nach. Zudem gibt es einen neuen DynDNS-Updater und weitere kleine Aktualisierungen.

In Pocket speichern vorlesen Druckansicht 30 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Florian Klan

In der Version 2.15 Core Update 80 hat das Entwicklerteam von IPFire seine Firewall-Distribution um einen DNS-Proxy-Dienst erweitert, der DNS-Antworten nach dem Standard DNSSEC validiert. Damit überprüft die Firewall die Echtheit von Antworten eines DNS-Servers innerhalb einer signierten Zone über Signaturen und asymmetrische Schlüssel. Schlägt die Validierung fehl, so löst IPFire einen DNS-Fehler aus und verhindert so etwa Spoofing-Angriffe, über die Clients auf eine falsche IP-Adresse umgeleitet werden könnten.

IPFire lässt sich über ein Webinterface konfigurieren.

(Bild: http://wiki.ipfire.org)

Damit DNSSEC funktioniert, muss auch der DNS-Server des Internet-Providers diese Validierung beherrschen. Ist das nicht der Fall, so empfehlen die Entwickler die Verwendung eines öffentlichen DNS-Servers aus dieser Liste. Für einen vollständigen Schutz des Netzwerks sollte man laut den Entwicklern von IPFire die Clients in einem lokalen Netzwerk so konfigurieren, dass sie die Echtheit von DNS-Antworten ebenfalls validieren. Hinweise dazu gibt der Artikel "Namen-Checker" in der am Samstag erscheinenden c't-Ausgabe 18/14.

Zudem enthält die neue Version einen in Python programmierten DynDNS-Updater mit vereinfachter Bedienoberfläche. So haben die Entwickler etwa die Wild-Card-Maske entfernt. Der neue Updater ist quelloffen und lässt sich auch in anderen Linux-Distributionen verwenden. Er ersetzt das vorher verwendete Perl-Skript setddns.pl. Zudem haben die Entwickler die Liste der unterstützten DynDNS-Dienste gepflegt und um einige Anbieter ergänzt.

Ansonsten bringt die neue Version vor allem kleine Aktualisierungen für einzelne Distributionsbestandteile mit. So haben die Entwickler beispielsweise die lzo-Library aus Sicherheitsgründen gegen die Version 2.08 getauscht und unter anderem die installierte Version von Clam-AV auf Version 0.98.4 umgestellt. Eine genaue Aufstellung der weiteren Änderungen und eine Liste der neu unterstützten DynDNS-Dienste findet sich in der Update-Meldung. (fkn)