Firewall IPFire validiert DNS-Antworten
Ăśber das Core Update 80 fĂĽr IPFire 2.15 beheben die Entwickler Fehler und rĂĽsten den Support fĂĽr DNSSec nach. Zudem gibt es einen neuen DynDNS-Updater und weitere kleine Aktualisierungen.
In der Version 2.15 Core Update 80 hat das Entwicklerteam von IPFire seine Firewall-Distribution um einen DNS-Proxy-Dienst erweitert, der DNS-Antworten nach dem Standard DNSSEC validiert. Damit überprüft die Firewall die Echtheit von Antworten eines DNS-Servers innerhalb einer signierten Zone über Signaturen und asymmetrische Schlüssel. Schlägt die Validierung fehl, so löst IPFire einen DNS-Fehler aus und verhindert so etwa Spoofing-Angriffe, über die Clients auf eine falsche IP-Adresse umgeleitet werden könnten.
Damit DNSSEC funktioniert, muss auch der DNS-Server des Internet-Providers diese Validierung beherrschen. Ist das nicht der Fall, so empfehlen die Entwickler die Verwendung eines öffentlichen DNS-Servers aus dieser Liste. Für einen vollständigen Schutz des Netzwerks sollte man laut den Entwicklern von IPFire die Clients in einem lokalen Netzwerk so konfigurieren, dass sie die Echtheit von DNS-Antworten ebenfalls validieren. Hinweise dazu gibt der Artikel "Namen-Checker" in der am Samstag erscheinenden c't-Ausgabe 18/14.
Zudem enthält die neue Version einen in Python programmierten DynDNS-Updater mit vereinfachter Bedienoberfläche. So haben die Entwickler etwa die Wild-Card-Maske entfernt. Der neue Updater ist quelloffen und lässt sich auch in anderen Linux-Distributionen verwenden. Er ersetzt das vorher verwendete Perl-Skript setddns.pl
. Zudem haben die Entwickler die Liste der unterstützten DynDNS-Dienste gepflegt und um einige Anbieter ergänzt.
Ansonsten bringt die neue Version vor allem kleine Aktualisierungen fĂĽr einzelne Distributionsbestandteile mit. So haben die Entwickler beispielsweise die lzo-Library aus SicherheitsgrĂĽnden gegen die Version 2.08 getauscht und unter anderem die installierte Version von Clam-AV auf Version 0.98.4 umgestellt. Eine genaue Aufstellung der weiteren Ă„nderungen und eine Liste der neu unterstĂĽtzten DynDNS-Dienste findet sich in der Update-Meldung. (fkn)