zurück zum Artikel

Firewall IPFire validiert DNS-Antworten

Florian Klan

Über das Core Update 80 für IPFire 2.15 beheben die Entwickler Fehler und rüsten den Support für DNSSec nach. Zudem gibt es einen neuen DynDNS-Updater und weitere kleine Aktualisierungen.

In der Version 2.15 Core Update 80 hat das Entwicklerteam von IPFire seine Firewall-Distribution um einen DNS-Proxy-Dienst erweitert, der DNS-Antworten nach dem Standard DNSSEC [1] validiert. Damit überprüft die Firewall die Echtheit von Antworten eines DNS-Servers innerhalb einer signierten Zone über Signaturen und asymmetrische Schlüssel. Schlägt die Validierung fehl, so löst IPFire einen DNS-Fehler aus und verhindert so etwa Spoofing-Angriffe, über die Clients auf eine falsche IP-Adresse umgeleitet werden könnten.

IPFire lässt sich über ein Webinterface konfigurieren.

IPFire lässt sich über ein Webinterface konfigurieren.

(Bild: http://wiki.ipfire.org)

Damit DNSSEC funktioniert, muss auch der DNS-Server des Internet-Providers diese Validierung beherrschen. Ist das nicht der Fall, so empfehlen die Entwickler die Verwendung eines öffentlichen DNS-Servers aus dieser Liste [2]. Für einen vollständigen Schutz des Netzwerks sollte man laut den Entwicklern von IPFire die Clients in einem lokalen Netzwerk so konfigurieren, dass sie die Echtheit von DNS-Antworten ebenfalls validieren. Hinweise dazu gibt der Artikel "Namen-Checker" in der am Samstag erscheinenden c't-Ausgabe 18/14 [3].

Zudem enthält die neue Version einen in Python programmierten DynDNS-Updater mit vereinfachter Bedienoberfläche. So haben die Entwickler etwa die Wild-Card-Maske entfernt. Der neue Updater ist quelloffen und lässt sich auch in anderen Linux-Distributionen verwenden. Er ersetzt das vorher verwendete Perl-Skript setddns.pl. Zudem haben die Entwickler die Liste der unterstützten DynDNS-Dienste gepflegt und um einige Anbieter ergänzt.

Ansonsten bringt die neue Version vor allem kleine Aktualisierungen für einzelne Distributionsbestandteile mit. So haben die Entwickler beispielsweise die lzo-Library aus Sicherheitsgründen gegen die Version 2.08 getauscht und unter anderem die installierte Version von Clam-AV auf Version 0.98.4 umgestellt. Eine genaue Aufstellung der weiteren Änderungen und eine Liste der neu unterstützten DynDNS-Dienste findet sich in der Update-Meldung [4]. (fkn [5])

URL dieses Artikels:
https://www.heise.de/-2283215

Links in diesem Artikel:
[1] https://www.heise.de/ratgeber/Domain-Name-System-absichern-mit-DNSsec-903318.html
[2] http://wiki.ipfire.org/en/dns/public-servers
[3] http://ct.de/
[4] http://www.ipfire.org/news/ipfire-2-15-core-update-80-released
[5] mailto:fkn@ct.de

Copyright © 2014 Heise Medien