Letzte Anpassung zur Version: 14.0.0
- DNS Forwarding mit DNS over TLS (DoT) möglich
- Einzelene Domains könne von der DNSSEC-Überprüfung ausgenommen werden
Die EDNS-Option entfällt zu Gunsten der Option Domains bei DNSSEC-Überprüfung ignorieren - Clientnamen können aufgelöst werden, wenn der Host in einem DHCP-Pool mit Domainnamen liegt
- Der mDNS-Repeater wird nicht mehr im Nameserver konfiguriert, sondern hat ein eigenes Menü erhalten
- Die Einstellung DNS-Server des Providers verwenden wird jetzt im DNS-Forwarding vorgenommen
Einleitung
Der Nameserver der UTM bietet:
- Forward-Zonen: Namensauflösung (FQDN) in IP-Adressen
- Reverse-Zonen: IP-Adressen in FQDN)
- Relay-Zonen: Weiterleiten von Anfragen, die zu einer bestimmten Domain gehören
- DNS Forwarding: Weiterleiten sämtlicher DNS Anfragen
Als Dienst muss mindestens dns erlaubt werden (Port 53 für TCP und UDP).
Es empfiehlt sich in der Regel jedoch die Dienstgruppe proxy zu verwenden. Dies gibt weitere Ports für Dienste wie z.B. den transparenten Proxy, webcache oder einen Ping frei.
Voraussetzungen
Firewall als Nameserver festlegen
UTMbenutzer@firewall.name.fqdnNetzwerk
Im ersten Schritt muss die UTM selbst als Nameserver der Firewall festgelegt werden.
- Konfiguration unter Servereinstellungen Abschnitt DNS-Server
Bereich
- Feld Primärer Nameserver als IP die 127.0.0.1 (localhost) setzen.
- Speichern mit
Forward-Zone
Eine Forward-Zone wird zur Umsetzung von Domainnamen in IP-Adressen verwendet.
Diese Umsetzung ist sowohl in IPv4 (A) als auch in IPv6 (AAAA) möglich. In dem folgenden Einrichtungsbeispiel wird das Anlegen eines A-RR, für eine öffentliche Domain gezeigt.
Wird der DNS der Firewall zur Auflösung verwendet, soll eine private IP aus dem internen Netz zurückgegeben werden.
Diese Einstellung wird unter anderem dann benötigt, wenn aus dem internen Netz eine Domain aufgerufen wird, dessen öffentliche IP die der Firewall ist.
Ohne diesen Eintrag würde man eine komplizierte Portweiterleitung benötigen, so allerdings kann die Anfrage ohne Umwege direkt an den Server gestellt werden.
Einrichtung unter Bereich Zonen Schaltfläche .
A-RR anlegen
DNS Forwarding
DNS ForwardingEin DNS Forwarding wird dazu verwendet, um alle DNS Anfragen, die an den Nameserver der Firewall gestellt werden, an eine andere IP weiterzuleiten.
DNS Forwarding hinzufügen
DNS Forwarding hinzufügenMenü DNS Forwarding Schaltfläche
BereichBeschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnAnwendungenNameserver |
---|---|---|---|
Typ: | DNS: Klassische unverschlüsselte DNS-Auflösung | ||
IP-Adresse: | 203.0.113.113 | IP-Adresse eines DNS-Servers, an den die DNS Anfragen weitergeleitet werden sollen | |
notempty Neu ab v14.0
| |||
Typ: | DoT: DNS over TLS DNS Anfragen werden mit TLS verschlüsselt | UTMbenutzer@firewall.name.fqdnAnwendungenNameserver | |
IP-Adresse: | 1.1.1.1 Beispielwert |
IP-Adresse eines DNS-Servers, an den die DNS Anfragen weitergeleitet werden sollen | |
Hostname | cloudflare-dns.com Beispielwert |
Der Hostname ist für die Verifizierung des TLS Zertifikats erforderlich | |
Speichert den Eintrag | |||
Provider-DNSProvider-DNS | |||
DNS-Server des Providers verwenden: | Aus | Bei Aktivierung Ein wird der DNS-Server des Internetproviders verwendet | UTMbenutzer@firewall.name.fqdnAnwendungen |
In vorhergehenden Versionen befand sich diese Option in den Allgemeinen Einstellungen |
Domain Forwarding durch einen VPN-Tunnel
Teilweise ist es nötig, interne Domainanfragen an einen entfernten Nameserver weiter zu leiten, der sich in einem VPN befindet.
Hier ist zu beachten, daß standardmäßig alle direkten Anfragen, die sich an externe Nameserver richten, von der Firewall mit der externen IP aus geschickt werden. Eine öffentliche IP wird jedoch nicht in einen VPN-Tunnel geroutet.
Nameserver der Firewall festlegen
Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnNetzwerk |
---|---|---|---|
Nameserver vor lokalem Cache prüfen: | Ja | Sollte aktiviert sein | |
Primärer Nameserver: | 127.0.0.1 | Die IP der UTM selbst (localhost=127.0.0.1) | |
Sekundärer Nameserver: | Kann leer bleiben oder einen weiteren DNS im VPN bezeichnen | ||
Speichert den Eintrag | |||
Relay anlegen
Menü Menü Zonen Schaltfläche .
BereichBeschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnAnwendungenNameserver |
---|---|---|---|
Zonenname: | relay.test.local | Zonenname der gewünschten Domain | |
Typ:: | Diesen Typ auswählen | ||
IP-Adresse: | 192.168.8.5 | Klick auf IP-Adresse wird die Adresse des entfernten Nameservers eingetragen Den Eintrag bearbeiten Den Eintrag löschen | und im Feld |
Speichert den Eintrag | |||
Netzwerkobjekt anlegen
Menü
Schaltfläche . Für das IPSec Netzwerk muss ein Netzwerkobjekt angelegt werden.Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekt |
---|---|---|---|
Name: | IPSec-Netzwerk | Eindeutigen Namen wählen | |
Typ:: | Diesen Typ auswählen | ||
Adresse: | 192.168.8.0/24 | Die IP-Adresse entspricht der des IPSec Netzwerkes | |
Zone: | Passende Zone muss ausgewählt werden | ||
Speichert den Eintrag | |||
Regeln hinzufügen
Im letzten Schritt muss eine Firewall-regel, mit einem Hide-NAT angelegt werden. Diese bewirkt, dass die DNS-Weiterleitung auch in den Tunnel und nicht direkt in das Internet geht.
Menü Schaltfläche .
Beschriftung | Wert | UTMbenutzer@firewall.name.fqdnFirewallPaketfilter |
---|---|---|
Aktiv: | Ein | |
Quelle: | external-interface | |
Ziel: | IPSec-Netzwerk | |
Dienst: | domain-udp | |
[-] NAT
| ||
Typ:: | ||
Netzwerkobjekt: | internal-interface | |
Speichert die Regel und schließt den Dialog. Anschließend müssen die Regeln noch aktualisiert werden. | ||
Safe Search bei externem DHCP Server
Wenn ein externer DHCP-Server verwendet wird, funktioniert der aktive Webfilter Safe Search bei Suchmaschinen, speziell bei Google, bei der Bildersuche oft nicht.
Damit dieser Webfilter auch da greift, müssen folgende Forward-Zonen für alle ccTLDs (siehe https://www.google.com/supported_domains : www.google.de, www.google.ch, ...) eingerichtet werden.
Menü Schaltfläche .
Beschriftung | Wert | UTMbenutzer@firewall.name.fqdnAnwendungenNameserver |
---|---|---|
Zonenname: | www.google.com | |
Nameserver Hostname: | localhost | |
Nameserver IP-Adresse: | ||
Im Fenster Nameserver in der Zone www.google.de auf Im Fenster Zone bearbeiten auf klicken. | klicken.||
Name: | www.google.com | |
Typ:: | A | |
Wert: | 216.239.38.120 | |
und nochmal auf klicken. | ||
Name: | www.google.com | |
Typ:: | AAAA | |
Wert: | 2001:4860:4802:32::78 | |
Speichert den Eintrag | ||
DNS Rebinding Attacke und Prevention
Bei der Art von Angriff wird versucht, durch gefälschte DNS Antworten Zugriff auf interne Ressourcen zu erlangen.
Der Angreifer benötigt dazu nicht mehr als eine Domain mit Schadcode und einen Nameserver, der sämtliche DNS Anfragen für die Angreiferseite beantwortet.
1. Das Opfer wird auf eine präparierte Website gelockt, deren IP-Adresse nur für wenige Sekunden als gültig markiert ist.
2. Auf der Website wird Schadcode geladen, der nach Ablauf der Gültigkeit der IP-Adresse einen erneuten Aufruf startet,
3. der nun aber durch einen modifizierten, eigenen DNS-Server eine Adresse aus dem lokalen Netzwerk des Opfers als Ziel ausgibt
4. Der Angreifer hat nun durch seinen Schadcode (z.B. Java-Script) Zugriff auf den Host mit der internen IP
DNS Rebinding Prevention verhindert, daß interne IP-Adressen aus dem lokalen Netzwerk als Antwort auf eine DNS-Anfrage ausgegeben werden.
Konfiguration
DNS Rebinding Prevention wird unter DNS Rebinding Prevention konfiguriert.
BereichBeschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnAnwendungen |
---|---|---|---|
DNS Rebinding Prevention: | Ein default |
Aktiviert die DNS Rebinding Prevention | |
Modus: | In den Werkseinstellungen werden alle private IP-Adressen (Klasse A,B und C) geblockt. Auch die entsprechenden privaten IPv6-Adressen und die Unique Local Unicast-Adresse wird im automatischen Modus geschützt. | ||
Die Adressen können manuell eingestellt werden. | |||
Geschützte Adressen: | Hier werden alle Adressen angezeigt, die durch die Prevention geschützt werden. | ||
Speichert die Einstellungen | |||
' | |||
mDNS-Repeater
Allgemeine Einstellungen | |||
Allgemeine Einstellungen werden unter Allgemein vorgenommen. | Bereich|||
Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnAnwendungen |
---|---|---|---|
DNSSEC Überprüfung im Resolver: | Aus | notempty Achtung! Wird die DNSSEC Überprüfung in Verbindung mit Foward-Zonen verwendet, müssen die Domains zu den Zonen im globalen DNS validierbar sein oder sie müssen unten zur Liste der ignorierten Domains hinzugefügt werden. Antworten zu nicht global registrierten Domains werden zurückgewiesen. Dies führt dazu, dass Anfragen zu dieser Domain mit SERVFAIL beantwortet werden. Bei Aktivierung dieser Funktion werden ausnahmslos alle DNS-Einträge mit DNSSEC aufgelöst. Damit würde auch bei lediglich lokalen Adressen eine Validierung in der DNS-Hierarchie versucht. Aufgrund der fehlenden Eindeutigkeit der lokalen Adresse kann diese aber nicht bei übergeordneten DNS-Servern registriert werden. Es kommt zu einer Fehlermeldung, die Adresse wird nicht aufgelöst und die Zone ist damit (unter Verwendung von DNS) nicht erreichbar. Dies betrifft zum Beispiel .local - Domänen! Weitere Hinweise zur Umsetzung von DNSSEC finden sich hier. | |
DNS Anfragen nur aus gerouteten und VPN-Netzwerken erlauben: | Ein Default |
Per Default werden nur DNS-Anfragen aus folgenden Quellen beantwortet:
| |
Aus | Sollen auch von anderen externen Netzen DNS-Anfragen beantwortet werden, muss diese Option deaktiviert werden | ||
Domains bei DNSSEC-Überprüfung ignorierennotempty Neu ab v14.0 |
Domains, die nicht mit DNSSEC validiert werden sollen | ||
DHCP Domainnamen auflösen: notempty Neu ab v14.0 |
anyideas.local (Pool: Local-Pool1 | Wird in den DHCP-Pool Konfigurationen ein Domainname angegeben, sind diese Domains hier auswählbar. Wird eine Domain ausgewählt, sind die DHCP-Hosts entweder über den vergebenen Namen des statischen Leases, oder, wenn keines definiert ist, über den Clientnamen mit dem sich der Client beim DHCP Server meldet, auflösbar. | |
EDNS für folgende Server deaktivieren | Die EDNS-Option entfällt zu Gunsten der Option Domains bei DNSSEC-Überprüfung ignorieren
Beim nächsten Login taucht auch die Nachricht allerdings erneut auf Mit Verlassen des anschließenden Dialoges (ob mit speichern oder ohne) werden die Werte gelöscht! |
||
DNS-Server des Providers verwenden: Diese Einstellung wird im Abschnitt DNS-Forwarding vorgenommen