Firewall-Probleme nach DNS-Update

Noch ein interessanter Nebeneffekt des DNS-Angriffs:

Durch die Aktualisierungen der DNS-Server als Schutz gegen den Angriff kommt es zu Änderungen in der Infrastruktur jedenfalls bei manchen DNS-Exemplaren. Die Anfragen zwischen DNS-Servern laufen nicht mehr von 53 an 53 sondern von einem zufälligen Port an 53 und damit erfolgt die Rückantwort auch nicht mehr an 53 sondern eben an den zufälligen Port, den der Server für die Anfrage gewählt hat. “After all, that’s the idea…”

Je nachdem, wie die Firewall-Regeln gestrickt sind, und ob sie stateful oder statisch sind, kann das dazu führen, daß DNS-Anfragen oder Antworten durch so manche Firewall nicht mehr durchgehen. Das wird ne Menge Spaß geben. Weil es aber auch ne ganze Menge Firmen gibt, in denen vor Jahren mal irgendein ehemaliger Mitarbeiter mal irgendwas zusammengebastelt hat, durch das keiner mehr durchblickt, könnte es durchaus sein, daß so mancher auf den Upgrade verzichtet.

Die Sache hat interessante Konsequenzen und wirft wieder einmal Fragen auf die Klassische Firewall-Doktrin.