DNS-Auflösung nicht möglich |
||
---|---|---|
#0
| ||
18.04.2002, 10:32
zu Gast
|
||
|
||
18.04.2002, 11:43
zu Gast
|
#2
Hi,Soma
Hast vielleicht eine Block-Regel die deine DNS-Regel aushebelt? Am besten Block-Rules deaktivieren(ICMP,Other kannst lassen) und den Riegel in KPF auf Ask stellen.Dann sollte Kerio aufpoppen und dich selber fragen ob es die Verbindung auf Port53 zulassen soll.Sollte das auch nicht weiterhelfen,am besten Ruleset posten. (Um deine DNS-IP sicher zu finden gehst im Statmenü zu Ausführen,tippst "winipcfg" ein/Enter,auf erweiterte Info/Enter.Jetzt erscheinnt deine 1DNS-IP, rechts anklicken und es erscheint auch die 2DNS-IP ) Gruß Ajax |
|
|
||
18.04.2002, 13:31
zu Gast
Themenstarter |
#3
Hallo Ajax,
vielen Dank! Das deaktivieren der Block-Regeln hat geholfen. Dummer Fehler...hmpf. Habe versehentlich 'Generic Host Process for Win32 Services' fürs LAN (192.168.x.x ausgerechnet!) geblockt. Naja, wieder was gelernt ;-) Grüße, Soma |
|
|
||
18.04.2002, 13:33
zu Gast
|
#4
Hi,
Warum DNS in und out? Habe das mal testweise in geblockt und es ging trotzdem alles. Habe allerdings nicht die Geschwindigkeit getestet. In meinen Logs tauchen dann die ganze Zeit Einträge (Destination unreachable) auf von meinem DNS Server. Meine Frage ist deshalb: DNS ist doch für die Namensauflösung da, da ich aber nur eine IP zugewiesen bekomme (denke ich zumindest) warum bekomme ich dann trotzdem ANfragen auf diesen Port? Hört sich vielleicht dumm an aber wissen will ich Greetz Smaggmampf |
|
|
||
18.04.2002, 15:10
zu Gast
|
#5
Hi,Smaggmampf
zugegeben es ist wahrscheinlich nicht die erwartete Antwort auf deine Fragen aber hier kannst du dich schlauer machen.Leider in englisch aber viel besser als ich's erklären könnte: http://www.freesoft.org/CIE/Course/index.htm Gruß, Ajax |
|
|
||
19.04.2002, 12:50
zu Gast
|
#6
Hi Ajax,
Zugegeben eine direkte Antwort ist das nicht aber schlauer bin ich trotzdem geworden Thx Greetz Smaggmampf P.S. Englisch ist für mich nicht unbedingt ein Hindernis. |
|
|
||
20.08.2003, 09:10
Member
Beiträge: 30 |
#7
Hi,
ich habe gestern hier im Forum gelesen, dass man für die DNS-Regel als Programm die svchost.exe einstellen kann (anstatt "any program"). Ich habe das unter Win2K versucht, allerdings funktioniert das bei mir nicht, die Adressen werden nicht aufgelöst. Dann habe ich wieder audf "any" umgeschaltet und es funktionierte. Meine Frage: Welche Programme greifen überhaupt auf den DNS zu? Eigentlich doch nur Browser, oder? Ich habe mir dann nämlich überlegt, zwei DNS-Regeln zu erstellen, einmal für die EXE-Datei vom IE und einmal für die EXE-Datei von Firebird. Was meint ihr? Ach ja, als Remote Adressen habe ich die DNS-Server meines Providers eingetragen und Port ist natürlich 53 UDP. Gruß Franklin2K |
|
|
||
20.08.2003, 09:41
Member
Beiträge: 890 |
#8
@Franklin2K
Alle Programme die eine Verbindung zu einem Server aufbauen und nur den Namen des betreffenden Servers haben(www.blablabla.com).Dieser Name wird vom DNS-Server in eine IP-Nr. aufgelöst(217.63.0.14). Gibst Du z.B. im Browser direkt die IP-Nr. ein dann braucht er nicht mehr den DNS-Server. Wenn Du die IP-Nr von den DNS-Server deines Providers in deiner FW-Regel eingetragen hast,kannst Du ruhig für Programme bei der DNS-Regel "any" eintragen. Dürfte kein Sicherheitsrisiko sein und das Ruleset ist schlanker. Gruß Ajax Dieser Beitrag wurde am 20.08.2003 um 09:43 Uhr von Ajax editiert.
|
|
|
||
20.08.2003, 20:37
Member
Beiträge: 813 |
#9
Unter WinXP und mglw. auch Win2000 gibt es den sog. "DNS-Client"-Dienst, der bewirkt, dass alle DNS-Anfragen eines Programmes _nicht_ von dem Programm selbst, sondern eben von der 'berüchtigten' svchost.exe durchgeführt werden (mit dem Vorteil, das aufgelöste IPs gecached werden).
Deshalb ist es unter WinXP/2000(?) i.d.R. möglich, die DNS-Regel auf die svchost.exe zu beschränken. In deinem Fall könnte dieser DNS-Client deaktiviert sein (unter "Verwaltung" -> "Dienste" nachschauen), oder aber das eben gesagte gilt doch nicht für Win2000... Übrigens gab es vor nicht allzu langer Zeit den Leaktest "Oops" (leider nicht mehr zu bekommen/testen), der gerade eine Schwäche des DNS-Clients bzgl. PFWs aufzeigte, da über dem 'erlaubten' svchost-Prozess alle Programme ungefragt DNS-Anfragen senden können, die prinzipiell auch zur Übertragung von Daten (Passwörter, PINs etc.) zu einem fremden Server benutzt werden können, ohne das eine PFW dagegen etwas tun könnte. 'Sicherer' wäre es demnach eigentlich, den DNS-Client zu deaktivieren und für jedes Internet-Programm eine eigene DNS-Regel zu erstellen... __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? Dieser Beitrag wurde am 20.08.2003 um 20:38 Uhr von forge77 editiert.
|
|
|
||
21.08.2003, 00:10
Member
Beiträge: 890 |
#10
@forge77
"'Sicherer' wäre es demnach eigentlich, den DNS-Client zu deaktivieren und für jedes Internet-Programm eine eigene DNS-Regel zu erstellen." Falls der zugelassene DNS-Server im Ruleset festgestzt ist dürften unerlaubte Pakete an andere Server nicht ankommen.Umgeht "Oops" diese Regel? (immerhin wäre es ja nicht der einzige Leaktest der FW's austrickst ) Bei w2k ist der Dienst 'services.exe' für die Namensauflösung zuständig. Im Falle von w2k sollte m.E. theoretisch eine einzige Regel für 'services.exe'UDP Port:53 mit der entsprechender remote IP (212.185.248.50 DeutscheTelekom) reichen,es sei denn die FW wird ausgetrickst- Oops? Gruß Ajax |
|
|
||
21.08.2003, 21:37
Member
Beiträge: 813 |
#11
Zitat Falls der zugelassene DNS-Server im Ruleset festgestzt ist dürften unerlaubte Pakete an andere Server nicht ankommen.Umgeht "Oops" diese Regel? (immerhin wäre es ja nicht der einzige Leaktest der FW's austrickst )Erstmal: der Witz der bekannten Leaktests ist ja gerade, dass sie die Firewall-Regeln _nicht_ wirklich 'umgehen', sondern sich strikt daran halten - das gleiche gilt für "Oops" (gleich dazu mehr.) Grundsätzlich wäre es aber auch denkbar, dass Malware die Regeln ein PFW manipuliert. Ansätze dazu gab es schon (besonders, weil die Regeln z.T. in der Registry abgeleget waren... ), aber ein aktuelles Beispiel ist mir nicht bekannt... ich denke auch, dass es einfach zu aufwendig wäre (aufgrund der großen Anzahl von PFWs), und dass es durch Schutzmaßnahmen/Verschlüsselungen der PFW-Rulesets deutlich erschwert wird. Zu Oops: ich weiß nicht genau, wie es funktioniert, aber Oops schickt auf jeden Fall einen DNS-Query, der die IP eines speziellen Oops-Servers abfragt, und in dieser Anfrage eine (verschlüsselte) Botschaft als 'Anhängsel' enthält, an den tatsächlichen(!) DNS-Server des jeweiligen Users. Aus _irgendeinem_ Grund wird die DNS-Anfrage aber nicht einfach vom DNS-Server beantwortet, sondern an den speziellen Oops-Server weitergeleitet, der dann einfach die enthaltene Botschaft auslesen kann... ziemlich raffiniert, wie ich finde... Offenbar wird da irgendeine Besonderheit des DNS-Systems ausgenutzt, die dazu führt, dass der DNS-Query beim fremden Server landet... Kann sich einer von euch darauf einen Reim machen (vielleicht ist es ja was ganz triviales)? __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? Dieser Beitrag wurde am 21.08.2003 um 21:38 Uhr von forge77 editiert.
|
|
|
||
21.08.2003, 23:27
Member
Beiträge: 890 |
#12
Danke forge77 für die ausführliche Beschreibung.
In der Tat sehr raffiniert.Auf die Schnelle könnte ich mir es so erklären daß die DNS-Query mit einer fake IP(nämlich die eines Oops-Servers verschickt wird) Da der DNS-Server dies nicht checken kann antwortet er auf diese Fake Adresse. Ein Browser oder Downloadmanager oder...mit solche Eigenschaften wäre eine lustige Angelegenheit. Gruß Ajax |
|
|
||
22.08.2003, 00:54
Member
Beiträge: 813 |
#13
Ja, ich könnte mir auch vorstellen, dass der von Oops abgefragte Internet-Name so nicht existiert, wohl aber der 'übergeordnete' Server, nämlich der "spezielle Oops-Server", also z.B.:
Existierender Oops-Server: "oopsserver.com" Fake-Name: "oopsserver.xyzfakexyz.com/abcfakeabc" (weiß jetzt nicht, ob das wirklich Sinn macht... ) Vielleicht ist es dann grundsätzlich üblich, dass der DNS-Server bei 'oopsserver.com' nachfragt, ob der andere Rechner 'bei ihm' existiert...? __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? Dieser Beitrag wurde am 22.08.2003 um 00:55 Uhr von forge77 editiert.
|
|
|
||
22.08.2003, 08:28
Member
Beiträge: 30 |
#14
SO, hab gestern nochmal getestet:
DNS-Service gestartet, services.exe als Application in der DNS-Regel eingetragen, hat geklappt. Nach dem nächsten Booten aber nicht mehr. Naja, ich habe dann den Service wieder deaktiviert und als Application "any" eingetragen, so wie es vorher war. Eien Regel pro Programm finde ich mittlerweile auch unpraktisch, dann hätte ich derer nämlich mind.4: IE, Opera, Firebird, Mail-Programm, AV-Update usw. Gruß Franklin2K |
|
|
||
habe entsprechend div. Empfehlungen explizit die DNS-Adressen meines Providers für UDP in&out Port 53 eingetragen (permit).
Allerdings hagelt es daraufhin von allen anderen Anwendungen (für die bereits Regeln existieren) Fehlermeldungen (DNS-Name kann nicht aufgelöst werden). Auch wenn ich die Regeln für diese Programme lösche, fragt Kerio nicht mehr nach.
Habe ich nun die Regel falsch angelegt, oder liegt das an meinem Provider oder wie muß ich das verstehen?
Es wäre schön, wenn mir da jemand helfen könnte...
Viele Grüße,
Soma