Quickline und OpenDNS?

Manfi007

Hat jemand Erfahrung mit OpenDNS? Ich habe aktuell grad wieder eine bad reputation bei CloudFlare und muss darum auf sehr vielen Websites Captchas ausfüllen. Daher vermute ich, dass irgendwo in meinem lokalen Netz eine Malware rumschwirrt. Die PCs kann man zwar noch einfach scannen, aber die IoT Dinger (smartTV, Video-Klingelanlage, Lüftungssystem etc) sind schwer zu überwachen. Ich wollte daher mal auf meinem Haupt-Router OpenDNS einrichten, womit ich meinen ausgehenden Web-Traffic überwachen könnte. Allerdings ist nun auf https://browserleaks.com/ip neben den OpenDNS Servern auch noch der Quickline-DNS-Server eingetragen, und zwar zuoberst. Und bei http://www.whatsmydnsserver.com/ erscheint nur der Quickline Server. Ich lese, dass ISP’s ihren Nutzern oft ihren DNS Server aufzwingen, so dass OpenDNS nicht nutzbar ist (es sei denn, man installiere dnscrypt, um sich am ISP DNS Server vorbeizumogeln. Weiss jemand, ob Quickline OpenDNS zulässt oder es unterdrückt?
(ach ja, Surfen via mobile funktioniert anstandslos, es liegt sicher an meiner aktuellen dynamischen Quickline-IP-Adresse)

MarkusQuick

Als DNS kannst du eigentlich eintragen, was du willst. Ob OpenDNS, Google oder einen eigenen DNS Server z.B. mit Bind9 (hab ich) oder PiHole auf einem RasPi, geht alles.

Allerdings sehe ich den Zusammenhang zu ‘bad reputation bei CloudFlare’ nicht. Denn deine IoT-Geräte schlagen ja nicht zwangsläufig bei CloudFlare an, eher sogar überhaupt nicht.

Ausser du hättest eine Malware, die einen DDOS Angriff führt. Allerdings funktionieren diese Art Botnetze eher so, dass Millionen von Geräten wenige unverdächtige Anfragen senden, als das ein Gerät Millionen Zugriffe macht,

Manfi007

Hallo MarkusQuick

Herzlichen Dank für Deine Antwort! Mein Captcha-Problem ist zwar ein verbreitetes Phänomen, aber meist finden die Betroffenen die Ursache nicht raus. Es wirkt für mich instransparent (was es vielleicht zwangsläufig sein muss, um es für die DDOS-Attacker nicht zu einfach zu machen). Auf IoT bin ich aus zwei Gründen gekommen:

a) Der Cloudflare Support schreibt den meisten Anfragern: “Audit the security of any computers you have, make sure they’re up to date, make sure any IoT (internet of things) devices like thermostats, smart lights, etc are up to date. The biggest one is to make sure your router is up to date.”

b) Ein Nutzer hat die Ursache bei sich herausgefunden: er hat seinen Traffic mit RasPi geloggt, und dabei eine Reihe suspekter url-Aufrufe seiner billigen chinesischen Klingel-Kamera gefunden. Die hat er unterdrückt und binnen 24 Stunden war das Captcha-Problem weg.

Aus b) schliesse ich zudem auch, dass Cloudflare die reputation recht kurzfristig berechnet, und ich das Problem daher selbst verursacht und nicht vom vorherigen Besitzer meiner aktuellen dynamischen ip-Adresse geerbt habe (meine aktuelle ip hab ich schon ein Weilchen). Zuerst wollte ich versuchen, eine neue ip-Adresse zu bekommen, aber das nützt natürlich nur, wenn ich das Problem nicht selbst verursache.

Wir sind eine Familie von 5, darunter 2 Software-Entwickler, und mit einem ordentlichen Techno-Park (ein Dutzend PC’s, ein Dutzend Handys und Tablets, 3 Wifi-Router, 3 Switches, 2 NAS - weitere Geräte im Wifi sind v.a. Drucker, TV, ezviz Klingel mit Webcam, Lüftungssystem). Das wird dann mühsam, überall die firmware nachzuprüfen. Darum dachte ich mir, dass es einfacher und systematischer wäre, das Verursacher-Gerät ausfindig zu machen. So kam ich auf OpenDNS. Böse Jungs sind wir nicht: kein Torrent, kein Tor oder ähnliches. Auch darf der WWZ-DNS, den ich selbst nirgends eingetragen habe, ruhig mitlauschen, solange er bloss meine requests zu OpenDNS durchlässt. Ich war einfach verwirrt, weil die OpenDNS-Testseite mal meldete, OpenDNS sei installiert, und mal die oops-nicht-installiert-Seite kam. Und weil ich auf eine Seite, die ich in OpenDNS probeweise blockiert hatte, immer noch draufkomme. Und weil http://www.whatsmydnsserver.com/ meldet, mein DNS-Server sei der von WWZ (sind die evtl. kaskadiert?)

Mittlerweile sind die 24h vorbei, die OpenDNS zur Datensammlung benötigt, und ich sehe tatsächlich eine Liste von aufgerufenen url’s. Somit funktioniert OpenDNS offenbar (es sei denn, ein Teil gehe dran vorbei via den WWZ-DNS) und ich kann jetzt versuchen, mein eigentliches Captcha-Problem anzugehen.
Die häufigste aufgerufene url ist eu.api.miwifi.com von Xiaomi, entweder vom Xiaomi Router, den ich kürzlich in Betrieb genommen habe oder einem Xiaomi Handy. Das wäre jetzt mal ein erster Verdacht - könnte die mal blocken, glaube aber nicht recht, dass die bei Cloudflare anschlägt.

MarkusQuick

2 Software-Entwickler und eine umfangreiche Technik? Das wären doch eigentlich schon ideale Voraussetzungen für etwas professionellere Netzwerktechnik. Also eine richtige Firewall mit Router und VLAN (wie z.B. Zyxel USG/Zywall 110) mit gemanagten Switches (z.B. Zyxel GS1920). Die Geräte gibt’s im Ricardo auch öfters mal gebraucht zu einem Viertel des Ladenpreises.

Damit gibt es für dich keine ungelösten Fragen mehr zu deinem Netzwerkverkehr. Alles kann geloggt werden und alles kann auch durch Sicherheitsrichtlinien geregelt werden. An gemanagten Switches kannst du auch einen Port spiegeln. Dann könntest du dort mit Wireshark mitlauschen. Die Firewall kann aber eh Netzwerkverkehr mitschneiden, den du mit Wireshark analysieren kannst.

Getrennte VLANs für IoT, Gäste, Firma und Privat sind dann noch Zusatznutzen.

Und wenn du ein schnelles, kleines Projekt für DNS machen willst: Kauf für ca. 70.- Franken einen Raspi4 und installiere Bind9 drauf. Dann hast du einen eigenen DNS Server in deinem Netz, der sich die Daten direkt von den Root-Servern holen kann. In der Konfiguration kannst du bestimmen, dass auch ein Log für alle Abfragen erstellt wird. Danach hast du ein Realtime Log und brauchst auch nie wieder einen externen DNS-Server, weder Quickline noch OpenDNS.

Zu dem was CloudFlare da schreibt, würde ich mich nicht gross drauf einlassen. Für mich ist CloudFlare eh eher die Wurzel des Problems als die Lösung. Es ist ein sehr intransparente Firma.

Externe (Web)-Server können auch nicht feststellen, auf welchem Weg du die Namensauflösung gemacht hast, also welchen DNS-Server du nutzt. Das kann weder Cloudflare noch whatsmyserverdns (die hat grad aktuell ein falsches bulgarisches SSL-Zertifikat und kann nicht aufgerufen werden). Quickline könnte natürlich jederzeit deinen Netzwerkverkehr mitlauschen, aber einen DNS-Proxy auf Port 53 haben sie, soviel ich weiss, nicht.

Und falls du doch noch deine öffentliche IP ändern willst, kannst du folgendes versuchen: Falls dein Router es zulässt, die MAC-Adresse zu ändern, kannst du das tun und dann erst den Router und danach die Quickline-Box neu starten. Danach sollte dir wieder eine neue IP zugeordnet werden. Ansonsten halt durch den Support.

MarkusQuick

Also spasseshalber hab ich mir das Javascript von whatsmyserverdns noch angeschaut und wie die das machen ;-)

Sie betreiben einen eigenen Nameserver für Ihre Domain.
Mit dem Klick auf den Button generierst du einen zufälligen Domainnamen ähnlich wie dieser: http://4.33512315.dns.whatsmydnsserver.com/api
Die Zufallszahl garantiert, dass dieser Domainname noch nie aufgelöst wurde und neu angefragt werden muss. Daran erkennt dns.whatsmydnsserver.com woher die Anfrage kommt.

Wirklich clever und einfach :-) Aber nicht in allen Fällen 100% richtig.

Manfi007

Wow! Da schreibt jemand mit geballtem technischen Wissen! Vielen Dank für Deine Mühe!

Ich hab zweimal dem techn. Kundendienst von Quickline angerufen, aber die Abwimmel-Hürde nicht überspringen können. Der nette Herr, der mir in einfachen Worten erklären wollte, dass es heutzutage im Internet normal sei, dass man Captchas ausfüllen müsse, meinte auch, es sei nicht so einfach, eine neue ip-Adresse zu erhalten. Danke für Deinen Tipp mit der MAC-Adresse! Ich kenne das in die andere Richtung, als es zu Anfangszeiten von Datazug nur erlaubt war, ein einziges Gerät ans Modem anzuschliessen (mehr Geräte brauchten ein spezielles Abo) und ich die MAC-Adresse gefaked habe, um nicht Stunden auf eine Wiederverbindung zu warten. Damals war das noch mühselig, heute können es die meisten Geräte von Haus aus.

In unsere Netz-Infrastruktur muss ich tatsächlich noch einiges investieren, danke für Deine Denkanstösse! Bis vor kurzem war es noch wesentlich handsärmliger und mühsamer: 40-jähriges Haus, keine Leerrohre, Modem am falschen Ort, Wifi zu langsam und schlecht durch Beton, Powerline eine Katastrophe. Eine Hausverkabelungs-Firma machte mir eine Offerte, wollte aber lediglich das Koax durch Kombikabel ersetzen und das Haus letztendlich doch via Wifi abdecken. Zuerst hatte ich noch auf 5G gehofft, aber nun selbst Bohrmaschine und Leiter genommen und das Haus Ethernet aufputz verkabelt: via Storenkasten raus, 5m hoch auf den Dachstock und von dort durch die Holzdecke wieder in die Zimmer durchgebohrt. Mal schauen, ob der Switch auf dem unisolierten Dachstock den Winter überlebt. Nun gehört endlich der Vergangenheit an, das TV-NAS unten im Büro zu befüllen und zum Anschauen wieder oben beim TV einzustöpseln… Seit diesem Ausbau auch der Xiaomi Router. Abgesehen davon, dass er gerne mit Mama spricht, ist das schon ein krasses Ding. Erstmals hab ich das Gefühl, dass tatsächlich ein Wifi-Router ein ganzes Haus abdecken könnte. Bei meinen bisherigen Routern kam immer nur ein laues Lüftchen an ausser rein senkrecht durch den Beton. Repeater halfen kaum, und Powerlan muss über die Hauptsicherung und lief extrem unzuverlässig. Am liebsten möchte ich das Koax ganz kappen und das Modem direkt am Hauseintritt platzieren statt am Ende einer 30m Koax-Schlaufe durchs ganze Haus. TV schauen wir eh über zattoo.

Unser Infrastruktur-Ausbau braucht noch einige Iterationen. Ich mach mich mal punkto VLAN schlau, das du erwähnt hast. Zyxel ist mir als Firma sehr sympathisch, habe sehr gute Erfahrungen mit dem Zyxel Support gemacht. Ein Raspi könnte von einem Bastelprojekt noch rumliegen.

Übrigens: mit den Captchas ist es bereits viel besser geworden. Entweder haben die Malwarebytes Scanläufe auf den PC’s geholfen, oder das gezwungenermassen andauernde Durchklicken der Captchas.

MarkusQuick

Altbauten neu verkabeln ist wirklich extrem mühsam. Aber noch schlimmer finde ich die Tatsache, dass man sich selbst bei teuren Neubauten die Leerrohre von Zimmer zu Zimmer (am besten sternförmig) spart. WLAN ist toll und wird auch immer besser. Trotzdem geht halt nichts über eine anständige LAN-Verkabelung. Schön, dass du das selber installieren konntest. Spart viel Geld und man weiss jetzt auch was wo ist. 😀

Wir sind heute so dermassen von der IT-Technik abhängig, das muss einfach einwandfrei funktionieren. Deshalb lohnt es sich da auch etwas in die Netzwerkhardware zu investieren.

Zu Thema Sicherheit und IoT muss man ja auch noch sagen, dass die Risiken mit der Einführung von IPv6-Adressen noch deutlich zunehmen. Mit IPv4 hat man durch NAT noch eine gewisse Trennung von WAN und LAN. Mit IPv6 bekommt jedes Gerät eine öffentliche IP-Adresse. Dadurch werden Geräte nicht nur von sich aus nach Hause telefonieren, sondern sie sind möglicherweise auch jederzeit von aussen erreichbar. Das alles wird sicherlich auch wieder für Malware und Botnetze genutzt werden.

Manfi007

Leider bin ich meine Internet-Zugriffs-Probleme noch immer nicht losgeworden. OpenDNS funktioniert zwar tadellos und hat mir geholfen, definitiv zu bestätigen, dass ich einen BotNet-Befall in meinem Heim-Netzwerk habe. Ich blocke nun die häufigsten (meist chinesischen) Seiten (die aktivsten erhalten je 10′000 bis 30′000 Zugriffe pro Woche), aber das löst das Problem nicht. Der Bot holt sich immer mal wieder neue Adressen von Mama und ich hab längst die 25 maximal blockierbaren Domains erreicht. Durch das Blockieren gelangt der Bot zwar meist nicht über den DNS-Server hinweg, und richtet darum wenig Schaden an, weshalb das Captcha-Problem nur noch sporadisch auftritt. Aber der Bot setzt seine Zugriffe trotzdem unermüdlich ab. Ich weiss zwar, wohin er seine Anfragen schicken will, aber nicht, von welchem Gerät sie stammen. Meine Firmwares sind mittlerweile überall auf dem aktuellen Stand und die Antiviren-Programme finden nichts Verdächtiges. Zum Eingrenzen des Verursachers ist mir noch nichts Schlaueres eingefallen ausser Gerät für Gerät vom Strom zu nehmen - leider ist der Bot nicht dauernd aktiv, so dass die Aussage erst nach einiger Zeit sicher ist. Und längere internetfreie Zeiten sind bei mehreren Personen im Homeoffice eigentlich nur am Wochenende möglich. Glücklicherweise zeigt OpenDNS die Zugriffe recht schnell an. Einen Netzwerksniffer wie Wireshark stelle ich mir dagegen kompliziert vor, zudem scannt der wohl nur Pakete, welche auf dem installierten Rechner sichtbar sind - es ist aber gut möglich, dass ein Router befallen ist.
Es ist echt mühsam, einen Befall zu haben und herauszufinden zu wollen, wo genau.

MarkusQuick

Wireshark kann nur den Traffic an den Interfaces des eigenen Geräts verfolgen, das ist richtig. Und somit auch nur den Netzverkehr, welcher dann auch wirklich an diesem Knoten anliegt und nicht etwa vom ganzen Netz.

Professionellere Router mit Firewall haben eingebaute Tools, welche den gesamten Netzverkehr als File speichern können. Das File lädt man sich dann runter und analysiert es mit Wireshark. Allerdings ist dabei natürlich nicht die Idee, dass man das tagelang laufen lässt. Das gäbe viel zu grosse Datenmengen.

Wenn es für dich z.Z. keine Option ist, Geräte vom Netz zu nehmen und so zu schauen, von welchem die verdächtigen DNS Anfragen kommen, dann würde ich sagen, mach dir doch einen lokalen DNS-Server. Also. z.B. RasPi mit PiHole würde da wohl schon reichen. PiHole hat ein detailliertes Log, da siehst du, von welchem Client in deinem Netz die Anfragen kommen. Ausserdem hat er eine Blacklist.

Klar ist aber auch, dass du es niemals schaffst per Blacklist das Problem zu lösen. Die Arbeit kannst du dir eigentlich sogar komplett sparen. In erster Linie geht es wohl mal darum, das Gerät (oder die Geräte) welchen einen möglichen Befall haben zu identifizieren.

Manfi007

Hallo MarkusQuick

Herzlichen Dank für Deinen Input! Den Tipp mit dem Rasperry Pi hattest Du mir schon früher gegeben. Ich bin halt mit unserem Technopark jetzt schon überfordert, und möchte mich eigentlich nicht nochmal mit einem Gerätchen abgeben müssen, dass gehegt und gepflegt werden will (Pi 3 oder 4? mit oder ohne Kühlung? Noobs kaufen oder selbst laden? wenn selbst laden: sd-Kartenleser kaufen?… )

So hab ich in der Familie den Tarif durchgegeben, dass das Internet jetzt einfach mal weg ist, bis das Problem gefunden (Proteste hin oder her: ja aber mein steam-Anschluss….).

Tatsächlich konnte ich nun den Übeltäter finden (hoffentlich ist es nur 1 Gerät): Obwohl c’t Abonnent, ist mir der Hinweis entgangen, dass c’t auf ein schwerwiegendes Leck bei Dlink Routern hingewiesen hatte: https://www.heise.de/security/meldung/Abgekuendigte-Router-Modelle-von-D-Link-Kein-Update-fuer-Firmware-Schwachstelle-4548695.html
Mir war schon aufgefallen, dass die neuste Firmware aus dem Jahr 2017 stammt. Aber tatsächlich ist es so, dass diese Router (darunter vermutlich auch mein DIR-850L, obwohl nicht explizit aufgeführt) eine sehr gravierende Sicherheitslücke aufweisen, die Dlink zwar kennt, aber nicht behebt, weil die Router End Of Life erreicht haben: https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10124
Dlink empfiehlt, die Router in die Tonne zu werfen und neue zu kaufen. (Gewissenlose würden ihn noch auf Ricardo verschachern…)

Den Router hatte ich fast schon ausgeschlossen, als die Malware nach dem Firmware Update (ja, ja, Du schimpfst zu Recht mit mir, meine Firmware war sogar noch älter als 2017) sich immer noch bemerkbar machte. Ich ging davon aus, dass die Firmware alles platt macht und allfällige Malware damit weg sei. Offenbar hat nicht nur die Routerkonfiguration (zu meiner Freude) den Upgrade überlebt, sondern auch der Bot (oder er wurde danach erneut aufgespielt)

Ich hätte mir auch sparen können, das Admin-Passwort nochmal zu ändern, weil die Schadware nicht nur den Anmeldevorgang überspringen, sondern sogar das Admin-Passwort auslesen könne. Und der Besitzer meines Routers (ich war ja eigentlich nur noch der Eigentümer) konnte beliebige Schadsoftware auf dem Router ausführen - neben den DDOS-Zugriffen, die ich bemerkt habe, wäre noch viel Schlimmeres möglich gewesen. Passwortklau - glücklicherweise habe ich alles, was kritisch ist, via 2-Faktor-Authentisierung geschützt. Am Übelsten wäre für mich wohl das Verschlüsseln der Dateien auf dem NAS mit der Erpressung, diese mit Bitcoins zurückzukaufen. Muss da unbeding wieder mal auf die externe Harddisk synchronisieren.

Nun schreibe ich dies via meinen zum Hauptrouter beförderten Xiaomi und verfolge im OpenDns, ob die Malware noch auf weitere Geräte gelangt ist. Gemäss heise sucht die Malware nach weiteren Geräten im Netz, wo sie sich einnisten kann.

MarkusQuick

Gehackter Router ist schon ziemlich übel und man darf es nicht auf die leichte Schulter nehmen. Solche Geräte gefährden nicht nur die eigene Sicherheit, sondern schädigen auch noch viele weitere Benutzer im Internet.
Ab in die Tonne mit dem Gerät, dass ist die einzig richtige Entscheidung.

Zwar sagt der Hersteller, dass er mit der letzten FW einige Probleme beseitigt habe.
http://support.dlink.com.au/Download/download.aspx?product=DIR-850L

Liest man aber hier https://www.cvedetails.com/cve/CVE-2017-14430/ stösst man auf diesen Bericht:
https://pierrekim.github.io/blog/2017-09-08-dlink-850l-mydlink-cloud-0days-vulnerabilities.html

Man liest selten ein Dokument, dass einem Hersteller so komplettes Versagen in mehreren Punkten vorhält.

Tatsächlich ist Firmware nur ein Teil der Geräte-Software. Wechsel der Firmware und des Passwortes muss nicht zwangsläufig den Schadcode entfernen. Es darf auch bezweifelt werden, dass die Firma in der Lage war, alle Fehler zu beseitigen, wenn die Kompetenz von vorne herein gefehlt hat.

Grundsätzlich müsste man dir ja nun wirklich raten, deine gesamte Hard- und Software neu aufzusetzen. Aber ich kann es sehr gut verstehen, wenn du das nicht machen willst. Die üblichen Massnahmen Antivirenscan, Passwortwechsel und Backup auf externe Medien sind aber nun kein Luxus mehr.

Manfi007

Upps - das ist tatsächlich übel! Und das war ja schon 2 Jahre bevor der schlimme Exploit von heise rapportiert wurde. Von wegen renommierter Hersteller. Ich hab nun einen zweiten Xiaomi Router gekauft - ob die Chinesen da mehr mithören als die Amis ist gar nicht mal sicher, und von gehackten Xiaomi Routern hab ich bisher wenig gelesen.

Etwas hätte ich mir noch gewünscht: Der 2nd level Support der Quickline hatte meine Captcha Probleme etwas gar auf die leichte Schulter genommen und gemeint, das sei ganz normal. Es wäre wohl keine schlechte Idee, die Kunden in solchen Fällen auf Malware zu sensibilisieren - auch wenn Quickline weder etwas dafür kann noch gross unterstützen könnte.

MTR

Hallo @Manfi007

Phu, schön, dass du es geschafft hast, den Übeltäter zu finden und Dingfest zu machen!
Ich hoffe, du hast nun Ruhe und kannst auch deine Familie wieder beruhigen. Ausfälle sind ja immer doof und schwierig beizubringen. Wartungsfenster kriegt man da fast nie 😄

Schön auch, dass du hier in der Diskussion alles beschreibst und auch selbstkritisch bist. Das kann anderen helfen, die (hoffentlich nicht - aber man weiss ja nie) in derselben misslichen Lage sind.

Schönen Sonntag und beste Grüsse