DNS-Auflösung nicht möglich

#0
18.04.2002, 10:32
zu Gast
#1 Hallo,

habe entsprechend div. Empfehlungen explizit die DNS-Adressen meines Providers für UDP in&out Port 53 eingetragen (permit).
Allerdings hagelt es daraufhin von allen anderen Anwendungen (für die bereits Regeln existieren) Fehlermeldungen (DNS-Name kann nicht aufgelöst werden). Auch wenn ich die Regeln für diese Programme lösche, fragt Kerio nicht mehr nach.
Habe ich nun die Regel falsch angelegt, oder liegt das an meinem Provider oder wie muß ich das verstehen?

Es wäre schön, wenn mir da jemand helfen könnte...

Viele Grüße,
Soma
Seitenanfang Seitenende
18.04.2002, 11:43
zu Gast
#2 Hi,Soma

Hast vielleicht eine Block-Regel die deine DNS-Regel aushebelt?
Am besten Block-Rules deaktivieren(ICMP,Other kannst lassen) und den
Riegel in KPF auf Ask stellen.Dann sollte Kerio aufpoppen und dich selber
fragen ob es die Verbindung auf Port53 zulassen soll.Sollte das auch nicht
weiterhelfen,am besten Ruleset posten.
(Um deine DNS-IP sicher zu finden gehst im Statmenü zu Ausführen,tippst
"winipcfg" ein/Enter,auf erweiterte Info/Enter.Jetzt erscheinnt deine 1DNS-IP,
rechts anklicken und es erscheint auch die 2DNS-IP )

Gruß
Ajax
Seitenanfang Seitenende
18.04.2002, 13:31
zu Gast

Themenstarter
#3 Hallo Ajax,

vielen Dank! Das deaktivieren der Block-Regeln hat geholfen. Dummer Fehler...hmpf. Habe versehentlich 'Generic Host Process for Win32 Services' fürs LAN (192.168.x.x ausgerechnet!) geblockt.
Naja, wieder was gelernt ;-)

Grüße,
Soma
Seitenanfang Seitenende
18.04.2002, 13:33
zu Gast
#4 Hi,
Warum DNS in und out?
Habe das mal testweise in geblockt und es ging trotzdem alles. Habe allerdings nicht die Geschwindigkeit getestet.
In meinen Logs tauchen dann die ganze Zeit Einträge (Destination unreachable) auf von meinem DNS Server. Meine Frage ist deshalb:
DNS ist doch für die Namensauflösung da, da ich aber nur eine IP zugewiesen bekomme (denke ich zumindest) warum bekomme ich dann trotzdem ANfragen auf diesen Port?
Hört sich vielleicht dumm an aber wissen will ich
Greetz
Smaggmampf
Seitenanfang Seitenende
18.04.2002, 15:10
zu Gast
#5 Hi,Smaggmampf

zugegeben es ist wahrscheinlich nicht die erwartete Antwort auf deine Fragen
aber hier kannst du dich schlauer machen.Leider in englisch aber viel besser
als ich's erklären könnte:

http://www.freesoft.org/CIE/Course/index.htm


Gruß,
Ajax
Seitenanfang Seitenende
19.04.2002, 12:50
zu Gast
#6 Hi Ajax,
Zugegeben eine direkte Antwort ist das nicht aber schlauer bin ich trotzdem geworden ;) Thx
Greetz
Smaggmampf
P.S.
Englisch ist für mich nicht unbedingt ein Hindernis. ;)
Seitenanfang Seitenende
20.08.2003, 09:10
Member

Beiträge: 30
#7 Hi,

ich habe gestern hier im Forum gelesen, dass man für die DNS-Regel als Programm die svchost.exe einstellen kann (anstatt "any program"). Ich habe das unter Win2K versucht, allerdings funktioniert das bei mir nicht, die Adressen werden nicht aufgelöst. Dann habe ich wieder audf "any" umgeschaltet und es funktionierte.

Meine Frage: Welche Programme greifen überhaupt auf den DNS zu? Eigentlich doch nur Browser, oder?

Ich habe mir dann nämlich überlegt, zwei DNS-Regeln zu erstellen, einmal für die EXE-Datei vom IE und einmal für die EXE-Datei von Firebird.

Was meint ihr?

Ach ja, als Remote Adressen habe ich die DNS-Server meines Providers eingetragen und Port ist natürlich 53 UDP.

Gruß
Franklin2K
Seitenanfang Seitenende
20.08.2003, 09:41
Member
Avatar Ajax

Beiträge: 890
#8 @Franklin2K

Alle Programme die eine Verbindung zu einem Server aufbauen und nur den Namen des betreffenden Servers haben(www.blablabla.com).Dieser Name wird vom DNS-Server in eine IP-Nr. aufgelöst(217.63.0.14).
Gibst Du z.B. im Browser direkt die IP-Nr. ein dann braucht er nicht mehr den DNS-Server.
Wenn Du die IP-Nr von den DNS-Server deines Providers in deiner FW-Regel eingetragen hast,kannst Du ruhig für Programme bei der DNS-Regel "any" eintragen.
Dürfte kein Sicherheitsrisiko sein und das Ruleset ist schlanker.

Gruß
Ajax
Dieser Beitrag wurde am 20.08.2003 um 09:43 Uhr von Ajax editiert.
Seitenanfang Seitenende
20.08.2003, 20:37
Member

Beiträge: 813
#9 Unter WinXP und mglw. auch Win2000 gibt es den sog. "DNS-Client"-Dienst, der bewirkt, dass alle DNS-Anfragen eines Programmes _nicht_ von dem Programm selbst, sondern eben von der 'berüchtigten' svchost.exe durchgeführt werden (mit dem Vorteil, das aufgelöste IPs gecached werden).
Deshalb ist es unter WinXP/2000(?) i.d.R. möglich, die DNS-Regel auf die svchost.exe zu beschränken.

In deinem Fall könnte dieser DNS-Client deaktiviert sein (unter "Verwaltung" -> "Dienste" nachschauen), oder aber das eben gesagte gilt doch nicht für Win2000...

Übrigens gab es vor nicht allzu langer Zeit den Leaktest "Oops" (leider nicht mehr zu bekommen/testen), der gerade eine Schwäche des DNS-Clients bzgl. PFWs aufzeigte, da über dem 'erlaubten' svchost-Prozess alle Programme ungefragt DNS-Anfragen senden können, die prinzipiell auch zur Übertragung von Daten (Passwörter, PINs etc.) zu einem fremden Server benutzt werden können, ohne das eine PFW dagegen etwas tun könnte.

'Sicherer' wäre es demnach eigentlich, den DNS-Client zu deaktivieren und für jedes Internet-Programm eine eigene DNS-Regel zu erstellen... ;)
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Dieser Beitrag wurde am 20.08.2003 um 20:38 Uhr von forge77 editiert.
Seitenanfang Seitenende
21.08.2003, 00:10
Member
Avatar Ajax

Beiträge: 890
#10 @forge77
"'Sicherer' wäre es demnach eigentlich, den DNS-Client zu deaktivieren und für jedes Internet-Programm eine eigene DNS-Regel zu erstellen."

Falls der zugelassene DNS-Server im Ruleset festgestzt ist dürften unerlaubte Pakete an andere Server nicht ankommen.Umgeht "Oops" diese Regel? (immerhin wäre es ja nicht der einzige Leaktest der FW's austrickst ;) )

Bei w2k ist der Dienst 'services.exe' für die Namensauflösung zuständig.

Im Falle von w2k sollte m.E. theoretisch eine einzige Regel für 'services.exe'UDP Port:53 mit der entsprechender remote IP (212.185.248.50 DeutscheTelekom) reichen,es sei denn die FW wird ausgetrickst- Oops?

Gruß
Ajax
Seitenanfang Seitenende
21.08.2003, 21:37
Member

Beiträge: 813
#11

Zitat

Falls der zugelassene DNS-Server im Ruleset festgestzt ist dürften unerlaubte Pakete an andere Server nicht ankommen.Umgeht "Oops" diese Regel? (immerhin wäre es ja nicht der einzige Leaktest der FW's austrickst )
Erstmal: der Witz der bekannten Leaktests ist ja gerade, dass sie die Firewall-Regeln _nicht_ wirklich 'umgehen', sondern sich strikt daran halten - das gleiche gilt für "Oops" (gleich dazu mehr.)

Grundsätzlich wäre es aber auch denkbar, dass Malware die Regeln ein PFW manipuliert. Ansätze dazu gab es schon (besonders, weil die Regeln z.T. in der Registry abgeleget waren... ;) ), aber ein aktuelles Beispiel ist mir nicht bekannt... ich denke auch, dass es einfach zu aufwendig wäre (aufgrund der großen Anzahl von PFWs), und dass es durch Schutzmaßnahmen/Verschlüsselungen der PFW-Rulesets deutlich erschwert wird.

Zu Oops: ich weiß nicht genau, wie es funktioniert, aber Oops schickt auf jeden Fall einen DNS-Query, der die IP eines speziellen Oops-Servers abfragt, und in dieser Anfrage eine (verschlüsselte) Botschaft als 'Anhängsel' enthält, an den tatsächlichen(!) DNS-Server des jeweiligen Users.
Aus _irgendeinem_ Grund wird die DNS-Anfrage aber nicht einfach vom DNS-Server beantwortet, sondern an den speziellen Oops-Server weitergeleitet, der dann einfach die enthaltene Botschaft auslesen kann... ziemlich raffiniert, wie ich finde... ;)
Offenbar wird da irgendeine Besonderheit des DNS-Systems ausgenutzt, die dazu führt, dass der DNS-Query beim fremden Server landet...

Kann sich einer von euch darauf einen Reim machen (vielleicht ist es ja was ganz triviales)?
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Dieser Beitrag wurde am 21.08.2003 um 21:38 Uhr von forge77 editiert.
Seitenanfang Seitenende
21.08.2003, 23:27
Member
Avatar Ajax

Beiträge: 890
#12 Danke forge77 für die ausführliche Beschreibung.
In der Tat sehr raffiniert.Auf die Schnelle könnte ich mir es so erklären daß die DNS-Query mit einer fake IP(nämlich die eines Oops-Servers verschickt wird) Da der DNS-Server dies nicht checken kann antwortet er auf diese Fake Adresse.
Ein Browser oder Downloadmanager oder...mit solche Eigenschaften wäre eine lustige Angelegenheit.

Gruß
Ajax
Seitenanfang Seitenende
22.08.2003, 00:54
Member

Beiträge: 813
#13 Ja, ich könnte mir auch vorstellen, dass der von Oops abgefragte Internet-Name so nicht existiert, wohl aber der 'übergeordnete' Server, nämlich der "spezielle Oops-Server", also z.B.:

Existierender Oops-Server: "oopsserver.com"
Fake-Name: "oopsserver.xyzfakexyz.com/abcfakeabc"
(weiß jetzt nicht, ob das wirklich Sinn macht... ;) )

Vielleicht ist es dann grundsätzlich üblich, dass der DNS-Server bei 'oopsserver.com' nachfragt, ob der andere Rechner 'bei ihm' existiert...?
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Dieser Beitrag wurde am 22.08.2003 um 00:55 Uhr von forge77 editiert.
Seitenanfang Seitenende
22.08.2003, 08:28
Member

Beiträge: 30
#14 SO, hab gestern nochmal getestet:

DNS-Service gestartet, services.exe als Application in der DNS-Regel eingetragen, hat geklappt. Nach dem nächsten Booten aber nicht mehr. Naja, ich habe dann den Service wieder deaktiviert und als Application "any" eingetragen, so wie es vorher war.

Eien Regel pro Programm finde ich mittlerweile auch unpraktisch, dann hätte ich derer nämlich mind.4: IE, Opera, Firebird, Mail-Programm, AV-Update usw.

Gruß
Franklin2K
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »