Usługi DNS przestają działać. Orange filtruje częściowo ruch. Co z tym zrobić aby tak nie było?

wiesheu

Niestety nie jest to takie proste - albo ktoś w Orange albo bliżej nieokreślonych (chyba) służbach (lub niezwykle utalentowany haker z dostępem do infrastruktury operatorskiej - nie wiem, może jakieś APT?) mnie bardzo nie lubi albo jest jakiś MEGA problem z wyłączaniem tego blokowania CT, a mianowicie:

1. Zakupiona usługa "Internet światłowodowy 1Gbit/s" w pakiecie na 24M z 8-adresową podsiecią PUBLICZNYCH adresów IPv4 (czyli takich widocznych bezpośrednio w internecie i z dostępem do tegoż "dobra" również beż żadnych "dziwnych" ograniczneń) - tutaj nie mam żadnych zastrzeżeń: sprawna i szybka, profesjonalna obsługa zarówno przez handlowca/opiekuna jak i ekipę monterów przybyłą na miejsce, data uruchomienia usługi (niestety również CT): 2024-12-06

2. Problemy zauważyłem dopiero przy przenoszeniu/uruchamianiu usług - DNSSEC przestał działać, po krótkiej weryfikacji okazało się, że ruch DNS (port 53/udp) jest po prostu przechwytywany przez bliżej nieokreślone urządzenie w sieci Orange. Poszło zgłoszenie do CERT ORANGE - odpowiedź raczej szybka i ignorancka, żebym sobie dokonfigurował usługę i urządzenie poprzez kontakt z BOK, ale tutaj akurat rozumiem, że mają ważniejsze sprawy niż konfigurowanie CT (i statutowo inny zakres działań), data 2024-12-13

3. Tego samego dnia (2024-12-13) poszła reklamacja przez BOK, już nie pamiętam, ale chyba najpierw telefonicznie i rozmowa z konsultantem (to na pewno), a następnie też mailowo (potwiedzenie otrzymałem mailem, więc możliwe, że też przesłałem reklamację na maila)

4. Reklamacja została UZNANA i otrzymałem odpowiedź mailową w dniu 2024-12-19 o godzinie 11:51 (timezone Europe/Warsaw). Nawet oficjalnego PDFa otrzymałem z podpisem doradcy (z imienia i nazwiska, co ostatnio rzadko się zdarza - doceniam). Po chwili DNS zaczął normalnie działać, ruch nie był w żaden sposób blokowany i również DNSSEC zaczął funkcjonować, więc z uwagi właśnie na BEZPIECZEŃSTWO pozostawiłem go włączonego. Data 2024-12-19, wczesne popołudnie (możemy przyjąć, że ok. godz 13-14) - tutaj wszystko działa, jest OK - nie ma żadnego przechwytywania/blokowania!

5. Po upływie ok 24h (doby), nagle coś dziwnego zaczyna się dziać i usługi zależne od DNS przestają działać. Ponieważ mam własny serwer DNS i również buforuję oraz częściowo filtruję ten ruch dla niektórych usług, to ma to pewne opóźnienia, więc prawdopodobnie ruch na porcie 53/udp w sieci Orange zaczął być przechwytywany/filtrowany wcześniej niż to zauważyłem (czyli gdy zaczęły mi się składać usługi). Data 2024-12-20, godziny popołudniowe (możemy przyjąć, że stało się to gdzieś pomiędzy godziną 13 i 15).

6. Tego samego dnia (2024-12-20), po godzinie 16 dokonałem analizy, zebrałem logi/screeny i ponownie zgłosiłem do CERT ORANGE, tym razem "Poważny incydent w sieciach/systemach Orange", bo co innego jest działanie CT, a co innego gdy nagle coś/ktoś włącza jakieś przechwytywanie ruchu bez żadnego uprzedzenia i mojej autoryzacji na wynajętym przeze mnie łączu z pulą publicznych adresów IP - coś takiego jest po prostu niedopuszczalne na żadnym łączu biznesowym. Zgłoszenie poszło również do BOK na maila (te same logi/screeny).

7. Jak na razie (mamy wieczór dnia 2025-01-07, czyli minęło 18 dni) nie mam absolutnie żadnej odpowiedzi, a ruch na porcie 53/udp nadal jest filtrowany i przechwytywany (przez bliżej nieokreślone urządzenia w sieci Orange (ale na pewno używają oprogramowania 'dnsmasq' w wersji '2.89'), nad którymi chyba nawet operator do końca nie ma kontroli, co mój przypadek niestety dobitnie pokazuje - normalnie, aż strach się bać!).

Zdaję sobie sprawę, że po drodze były Święta i Nowy Rok (i nawet "6-ciu Króli"), ale coś takiego na usłudze biznesowej w ogóle nie powinno się zdarzyć - operator ustawia swoje urządzenia w tryb "bridge" i mamy bezpośredni dostęp do publicznej sieci internet, bez żadnych blokad i ograniczeń (w ramach obowiązującego prawa) o ile nie zgłoszone zostały żadne nadużycia (chyba po coś są te informacje i adresy 'abuse' w rekordach 'whois' ?!). Czy Ktoś z Was może miał taki przypadek? Co tutaj można zrobić, bo przyznam szczerze, że usługa publicznych adresów IP, bez bezpośredniego dostępu do publicznej sieci internet, tylko nie wiadomo jak, gdzie, kiedy i przez kogo blokowanej/filtrowanej jakoś specjalnie nie jest mi potrzebna - mam w umowie i płacę jednak za publiczne adresy IPv4 z dostępem do publicznej sieci internet?!

Dla mnie, przyznam szczerze, że jest to niepojęte i absolutnie niedopuszczalne - zastanawiam się, czy w ogóle tego gdzieś nie zgłosić? - bo brzydko mówiąc jestem zwyczajnie "robiony w balona" i doi się ze mnie kasę za niedziałającą usługę. Dla porządku wklejam dzisiejszy screen z malinki (szybka diagnoza DNS 'root-hints' przy pomocy 'dig').

_____________________

*Ukryłem numer zgłoszenia oraz wydzieliłem z tematu "Neostrada / Funbox przekierowuje zapytania DNS - jak wyłączyć? - moderator Wojciech.

j131

@wiesheu
Ale jak to, nie możesz zrezygnować z usługi CT w wersji komercyjnej??? W punkcie 4 w ramach reklamacji co właściwie zrobiono? W umowach dla klientów indywidualnych CT jest obligatoryjna, ale w wersji darmowej, takiej która NIE przechwytuje ruchu DNS. Dzięki temu mój serwer DNS działa sobie w sposób niezakłócony.

Co na to @Rosiu ?

hasuzlasu

@wiesheu narazie nie chce nic sugerować ale podejrzewam przyczynę

na początek mały research:

czy wystawiłeś to rpi na zewnątrz? ssh? jaki port? jesli tak to

czy logując się na roota używasz hasła czy klucza?

prócz pi-hole/adguarda masz inne usługi apki odpalone?

sprawdzałeś auth.log? faillog?

pirenej

@wiesheunapisał(-a)Dla porządku wklejam dzisiejszy screen z malinki (szybka diagnoza DNS 'root-hints' przy pomocy 'dig').

a możesz pokazać ten sam dig bez +short?

wiesheu

Dzięki @j131 , fajnie, że nie tylko ja zauważam, że coś tutaj jest grubo nie tak - słusznie zwróciłeś uwagę na pkt.4 gdzie opisałem, że reklamacja została oficjanie uznana i ruch został puszczony bez żadnych blokad/filtrowania, po czym, po upływie ok. jednej doby (24h) znowu nie wiadomo jak i skąd zostało włączone jakieś filtrowanie => patrz pkt.5. Obstawiam, że dla BOKu (i ich systemów) jest już po sprawie i mam prawdopodobnie gdzieś w ich systemach "odfajkowane" że sprawa rozwiązana, ale klient to "pieniacz" i "wymyśla" jakieś dziwne rzeczy (które możliwe, że dla 99% klientów faktycznie nie mają żadnego znaczenia). Też chętnie poznam opinię @Rosiu w tej sprawie.

Widzę, że kolega @hasuzlasu trochę mnie sprawdza XD, ale zakładam dobre intencje, więc chętnie rozwieje wątpliwości - portu 22 to nie używam już chyba od ponad 15L, malinka nie jest wystawiona na zewnątrz (choć jeśli sprawy obiorą kierunek prawny, to pewnie będę musiał wystawić jakąś maszynę bezpośrednio do tej publicznej podsieci IPv4 i prawidłowo zebrać materiał dowodowy), haseł też już raczej nie używam jeśli nie muszę, bo logowanie kluczem jest wygodniejsze i bezpieczniejsze, a na root'a to nie loguję się bezpośrednio odkąd pamiętam, czyli od zawsze:) odnośnie odpalonych usług, to chyba jednak zbyt "intymne", nawet jak dla mnie pytanie na to publiczne forum (ale oczywiście pod sprawę cywilno-prawną lub karną dostarczę wszystkie tego typu informacje - na pewno nie ma tam nic, co normalnie działając, mogłoby zakłócać ruch wychodzący na porcie 53/udp i nawet zainstalowana wersja 'dnsmasq' jest trochę inna '2.89-1' a nie '2.89', no i przed aktualizacją była zupełnie inna, a problem był ten sam). Standardowo w auth.log i faillog nic (nawet podejrzanego) nie ma i z wiadomych przyczyn nie podzielę się screenem. Poza tym, moje doświadczenia (również z innymi urządzeniami) pokazują, że "duzi gracze" najczęściej mają jakieś 'backdoor'y' lub 'exploity' gdzieś na poziomie jądra systemu danego hosta (lub ściślej stosu sieciowego systemu lub urządzenia) i bardzo często swojej obecności nie ujawniają absolutnie w żadnych logach, a dziwnie działające urządzenia, po restarcie zaczynają funkcjonować prawidłowo/normalnie (czysta 'presence' tylko w RAM - z poziomu służb bardzo pożądana, stąd moja sugestia/przypuszczenie), naturalnie można to wtedy zrzucić także na jakąś 'wyciekającą pamięć', błędy implementacyjne lub konfiguracyjne, ale jeśli po zgłoszeniu takich "dziwnych zachowań" i w porozumieniu z producentem urządzenia otrzymujesz specjalny firmware do zbadania sprawy, a po jego wgraniu do jednego z urządzeń, nagle dwa inne, niezależnie działające urządzenia w tej samym segmencie sieci, w tym samym momencie się restartują, to już nie jest przypadek:)

Dla zainteresowanych i kolegi @pirenej wrzucam screeny, żeby widać było, że ta "malinka" jest w miarę czysta i "nie grzebana" (przynajmniej sieciowo). Odnośnie 'dig', to niby daje odpowiedź autorytarną 'aa' dla zapytania do konkretnego serwera, ale już dla '.' i 'ns' niestety nie (choć wydaje mi się, że każdy serwer 'root-hints' powinien być autorytarny dla strefy '.'), no i te niewiarygodnie szybkie (jak na serwery 'root-hints') i zbieżne czasy odpowiedzi oraz to samo oprogramowanie ze zgodną wersją sugeruje jakiś przechwytywacz gdzieś bardzo blisko (możliwe, że w samym modemie - Fun/LiveBoxie).

pirenej

a jaki masz router? Czy to dnsmasq to nie z niego?

Rosiu

@wiesheu podeślij pls na priv numer zgłoszenia do nas (bo pewnie dostałeś zwrotkę za takim dłuuuugim numerem). Pociągnę sprawę.

wiesheu

Dzięki @pirenej za zainteresowanie, ale niestety nie podzielę się tutaj nazwą urządzenia - mogę tylko napisać, że NIE JEST TO (zniesławiony) TP-LINK, ani żadne inne popularne, konsumenckie rozwiązanie konfigurowane przez klikadełko via WEB GUI i na pewno nie przechwytuje DNS (pisałem, że przez jedną dobę było OK, a urządzenie nie było wtedy dotykane i nie ma tam żadnego otwartego oprogramowania typu 'dnsmasq') - także 'Salt Typhoon' raczej nie podejrzewam (choć w Stanach ostro namieszali i to właśnie przez dostęp dla 'law enforcement' do sieci operatorskich), bardziej bym był skłonny uwierzyć w lokalne podwórko - mentalnie osiadłe na schyłku PRL oraz filmach "Dług" i "Układ zamknięty" (mentalnie to takie "polskie").

@Rosiudzięki za info - puściłem Ci wiadomość na priv

Wszystkim pozostałym bardzo dziękuję za zainteresowanie, weryfikację oraz pomoc (czy nawet próbę pomocy) - jak na razie status mamy taki:

Druga reklamacja została rozpatrzona pozytywnie (zaraz po dzisiejszym poście otrzymałem telefon i SMS), a ruch DNS tak jak był przechwytywany i DNSSEC nie działał, tak dalej jest przechwytywany (przez 'dnsmasq' w wersji '2.89') i DNSSEC nie działa XD

pirenej

@wiesheunapisał(-a)
Dzięki @pirenej za zainteresowanie, ale niestety nie podzielę się tutaj nazwą urządzenia - mogę tylko napisać, że NIE JEST TO (zniesławiony) TP-LINK, ani żadne inne popularne, konsumenckie rozwiązanie konfigurowane przez klikadełko via WEB GUI i na pewno nie przechwytuje DNS

Nie chodziło o nazwę urządzenia, tylko o stopień Twojego panowania nad nim i czy możesz podejrzeć ruch pomiędzy nim, a ONT. Tajemniczy jesteś, a zarazem rozgadany, popisując się wiedzą o wartości teleturniejowej. Wiele mamy tutaj przypadków podobnie rozgadanych pytających, piszących o wszystkim, ale najmniej o szczegółach istotnych. Cała Twoja nadzieja w @Rosiu i że nie zlejesz podobnie jego zapytań.

wiesheu

@pirenej Jeśli masz ochotę, to zapraszam do kontaktu na priv, możesz mi podesłać też swój profil na LinkedIn, to odpowiem swoim (z aktualnym zdjęciem i zweryfikowany dowodem osobistym) jeśli uznam, że Twój profil jest równie wiarygodny co mój - taki trochę standard teraz (lub "znak naszych czasów"), że nie chodzimy pokazując wszędzie kim jesteśmy, czym się zajmujemy, co mamy, czego używamy i co potrafimy - parafrazując, to taki trochę "Zero Trust" lub "Least Privilege" 😄

Wiedza i panowanie (na razie możesz wierzyć mi na słowo lub nie - jak wolisz) na poziomie certyfikowanego inżyniera sieciowego i specjalisty cybersec (również certyfikowanego). Mogę przejrzeć ruch, mogę nawet podłożyć sprzętowego/transparentnego TAPa i zgrać wszystko np 'wiresharkiem' lub 'tcpdump' do .pcap, tylko powiedź mi co to da, jeśli problem jest gdzieś poza zakresem mojej jurysdykcji - np. w urządzeniu lub sieci Orange - lub co zrobię, gdzie/komu wyślę ten plik? a nawet jeśli go prześlę, to przecież zawsze będzie można to podważyć tekstem, że "na pewno coś źle zrobiłem" lub coś pominąłem, albo nie mam kwalifikacji, autoryzacji, jestem za młody albo za stary i co ja w ogóle wymyślam, itd. bo przecież "internet działa" ?! XD - z kolegą @Rosiu już się kontaktem wymieniłem, mam nadzieję, że zaprosi mnie do tego "teleturnieju" i uda nam się problem rozwiązać.

Przepraszam jeśli kogokolwiek jeszcze uraziłem swoim rozgadaniem lub tajemniczością - wydaje mi się, że wszystkie szczegóły istotne podałem - konkretne daty kontaktów z BOKiem oraz CERT Orange, a także zrzuty z odpytań DNS, może jak znajdę czas, to z innego łącza i z innej lokalizacji wrzucę obrazek jak to powinno wyglądać (każdy 'root-hints' ma inne oprogramowanie i w innej wersji oraz każdy powinien udzielać odpowiedzi autorytarnej 'aa' dla strefy '.' czy też mieć niezerowe czasy odpowiedzi, bo to jednak maszyny z różnych lokalizacji na świecie).