Securepoint Wiki - Benutzerbeiträge [de]

AV/Installation/Silent

2017-02-16T13:26:05Z

Denniss: /* Installation Parameter */

{{DISPLAYTITLE:Securepoint Antivirus Pro Silent Installation}}
{|
|-
|[[Datei:AVPro 2-14-9 alert2.png]]
|'''<span"> Für die Silent Installation sind Administratoren Rechte erforderlich! '''
|}
 

Die korrekte Syntax für die Silent Installation ist:
<pre>
msiexec /l* SetupLog.txt /i SetupAV.msi /quiet PROPERTY=VALUE
</pre>
== Schritt 1 ==
[[Datei:AV_SI_01.PNG]]
 
Die Eingabeaufforderung muss als Administrator geöffnet werden.
== Schritt 2 ==
[[Datei:AV_SI_02.PNG]]
 
Es kann entweder in das Verzeichnis von der Installationsdatei navigiert oder einen absoluten Pfad genutzt werden. Durch die Eingabe der Syntax wird der Client installiert.
{|
|-
|[[Datei:AVPro 2-14-9 alert2.png]]
|'''<span">Die Aktivierung des Logging, ist für eine Fehleranalyse hilfreich. '''
|}
== Installation Parameter ==
{|
|-
|[[Datei:AVPro 2-14-9 alert8.png]]
|'''<span">Diese Parameter wurden von uns getestet und sind freigegeben! '''
|}
{| class="wikitable"
!| Parameter !! style="width:50%"| Bemerkung
|-
|-
| <pre>/quiet</pre>
| Unbeaufsichtigte Installation
|-
| <pre>/l* SetupLog.txt</pre>
| Die Installation wird geloggt.
|-
| <pre>/i SetupAV.msi</pre>
| Die SetupAV.msi wird ausgeführt
|-
| <pre>ACCEPTLICENSEAGREEMENT="yes"</pre>
| Die Lizenzvereinbarungen werden akzeptiert.
|-
| <pre>TID="00000000-0000-0000-0000-000000000000"</pre>
| Der Lizenzschlüssel
|-
| <pre>WSYSTEM="yes"</pre>
| Die Aktivierung des Systemschutz.
|-
| <pre>WEMAIL="yes"</pre>
| Die Aktivierung des E-Mail Schutz.
|-
| <pre>WSPAM="yes"</pre>
| Die Aktivierung des Antispam Schutz.
|-
| <pre>UPDATE="yes"</pre>
| Die Aktivierung der automatischen Updates.
|}

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-03T15:40:25Z

Denniss: /* Informationen */

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Neu Artikel DNS Rebinding Pervention
 
Wenn Mirko die Grafik fertig hat muss das Beispiel noch angepasst werden!
 

==Einleitung==
Die DNS Rebinding Prevention ist ein neues Feature UTM.
Dieser neue DNS Filter ermöglicht es bösartige DNS Anfragen blockiert werden.
In diesem Artikel soll es darum gehen zu verstehen wie ein solcher Angriff funktioniert, und wie die Prevention solche Angriffe verhindert.

==DNS Rebind Angriff==
Bei der Art von Angriff wird versucht, durch gefälschte DNS Antworten Zugriff auf interne Ressourcen zu erlangen.
Der Angreifer benötigt dazu nicht mehr als eine Domain mit Schadcode und einen Nameserver, der sämtliche DNS Anfragen für die Angreiferseite beantwortet.

=== Beispiel Angriff: ===

Client ruft eine Website mit einem schädlichen Script auf.

Eine DNS Anfrage geht an den DNS Servers des Angreifers.

Der DNS Server Antwortet mit und einer kurzen TTL

Der Client wiederholt seine DNS Anfrage aufgrund der abgelaufenen TTL

Das es für den Angriffes viel zu schwierig wäre den IP Kreis seiner Opfer zu erraten versucht er mit bekannten CNames zu arbeiten( v.B. Fritz.box // speed.port / ldap.tcp.local)

Diesmal Antwortet der Angreifer DNS mit einem CName z.B. _ldap._pdc.:msdcs.ttt.point.local (Zeigt auf unseren DC)

Der CName wird nun mit der IP DC's aufgelöst.

Für den Client liegt Angreiferdomanin nun auf der IP des Domain Controllers.

Es könnten nun Skripte in Richtung der Ziels ausgeführt werden.

Hier kommt noch eine Beispielgrafik.

[[Datei:UTM-DNS-Prevention.mp4]]

==DNS Rebinding Prevention==
Die DNS Rebinding Prevention blockt alle DNS Antworten, die auf eine private IP aufgelöst werden soll.
In Werkseinstellung werden alle private IP Adresse auch Klasse A, B und C geblockt.
Dies führt natürlich dazu, dass die interne DNS-Auflösung ebenfalls nicht mehr funktioniert.
Daher ist es möglich Zone/Objekte zu "Whitelisten". Wobei die Zone nicht nur gewhitelisted wird, der Bereich ist ebenfalls geschützt und kann nur mit dem zugehörigen IP / IP Bereich aufgelöst werden.
Alle angelegten Zonen werden in der Werkseinstellung auch als geschützter Alias aktiviert.

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_01.jpg]]

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_02.jpg]]

Wenn der Modus von Automatisch auf Benutzerdefiniert umgestellt wird können die Netz die geschützt werden sollen selbst bestimmt werden. Sollen einige Zone nicht geschützt werden so können diese deaktiviert werden.

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-03T15:39:56Z

Denniss:

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Neu Artikel DNS Rebinding Pervention
Wenn Mirko die Grafik fertig hat muss das Beispiel noch angepasst werden!
 

==Einleitung==
Die DNS Rebinding Prevention ist ein neues Feature UTM.
Dieser neue DNS Filter ermöglicht es bösartige DNS Anfragen blockiert werden.
In diesem Artikel soll es darum gehen zu verstehen wie ein solcher Angriff funktioniert, und wie die Prevention solche Angriffe verhindert.

==DNS Rebind Angriff==
Bei der Art von Angriff wird versucht, durch gefälschte DNS Antworten Zugriff auf interne Ressourcen zu erlangen.
Der Angreifer benötigt dazu nicht mehr als eine Domain mit Schadcode und einen Nameserver, der sämtliche DNS Anfragen für die Angreiferseite beantwortet.

=== Beispiel Angriff: ===

Client ruft eine Website mit einem schädlichen Script auf.

Eine DNS Anfrage geht an den DNS Servers des Angreifers.

Der DNS Server Antwortet mit und einer kurzen TTL

Der Client wiederholt seine DNS Anfrage aufgrund der abgelaufenen TTL

Das es für den Angriffes viel zu schwierig wäre den IP Kreis seiner Opfer zu erraten versucht er mit bekannten CNames zu arbeiten( v.B. Fritz.box // speed.port / ldap.tcp.local)

Diesmal Antwortet der Angreifer DNS mit einem CName z.B. _ldap._pdc.:msdcs.ttt.point.local (Zeigt auf unseren DC)

Der CName wird nun mit der IP DC's aufgelöst.

Für den Client liegt Angreiferdomanin nun auf der IP des Domain Controllers.

Es könnten nun Skripte in Richtung der Ziels ausgeführt werden.

Hier kommt noch eine Beispielgrafik.

[[Datei:UTM-DNS-Prevention.mp4]]

==DNS Rebinding Prevention==
Die DNS Rebinding Prevention blockt alle DNS Antworten, die auf eine private IP aufgelöst werden soll.
In Werkseinstellung werden alle private IP Adresse auch Klasse A, B und C geblockt.
Dies führt natürlich dazu, dass die interne DNS-Auflösung ebenfalls nicht mehr funktioniert.
Daher ist es möglich Zone/Objekte zu "Whitelisten". Wobei die Zone nicht nur gewhitelisted wird, der Bereich ist ebenfalls geschützt und kann nur mit dem zugehörigen IP / IP Bereich aufgelöst werden.
Alle angelegten Zonen werden in der Werkseinstellung auch als geschützter Alias aktiviert.

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_01.jpg]]

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_02.jpg]]

Wenn der Modus von Automatisch auf Benutzerdefiniert umgestellt wird können die Netz die geschützt werden sollen selbst bestimmt werden. Sollen einige Zone nicht geschützt werden so können diese deaktiviert werden.

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-03T14:18:33Z

Denniss: /* DNS Rebinding Prevention */

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Neu Artikel DNS Rebinding Pervention
 

==Einleitung==
Die DNS Rebinding Prevention ist ein neues Feature UTM.
Dieser neue DNS Filter ermöglicht es bösartige DNS Anfragen blockiert werden.
In diesem Artikel soll es darum gehen zu verstehen wie ein solcher Angriff funktioniert, und wie die Prevention solche Angriffe verhindert.

==DNS Rebind Angriff==
Bei der Art von Angriff wird versucht, durch gefälschte DNS Antworten Zugriff auf interne Ressourcen zu erlangen.
Der Angreifer benötigt dazu nicht mehr als eine Domain mit Schadcode und einen Nameserver, der sämtliche DNS Anfragen für die Angreiferseite beantwortet.

=== Beispiel Angriff: ===

Client ruft eine Website mit einem schädlichen Script auf.

Eine DNS Anfrage geht an den DNS Servers des Angreifers.

Der DNS Server Antwortet mit und einer kurzen TTL

Der Client wiederholt seine DNS Anfrage aufgrund der abgelaufenen TTL

Das es für den Angriffes viel zu schwierig wäre den IP Kreis seiner Opfer zu erraten versucht er mit bekannten CNames zu arbeiten( v.B. Fritz.box // speed.port / ldap.tcp.local)

Diesmal Antwortet der Angreifer DNS mit einem CName z.B. _ldap._pdc.:msdcs.ttt.point.local (Zeigt auf unseren DC)

Der CName wird nun mit der IP DC's aufgelöst.

Für den Client liegt Angreiferdomanin nun auf der IP des Domain Controllers.

Es könnten nun Skripte in Richtung der Ziels ausgeführt werden.

Hier kommt noch eine Beispielgrafik.

[[Datei:UTM-DNS-Prevention.mp4]]

==DNS Rebinding Prevention==
Die DNS Rebinding Prevention blockt alle DNS Antworten, die auf eine private IP aufgelöst werden soll.
In Werkseinstellung werden alle private IP Adresse auch Klasse A, B und C geblockt.
Dies führt natürlich dazu, dass die interne DNS-Auflösung ebenfalls nicht mehr funktioniert.
Daher ist es möglich Zone/Objekte zu "Whitelisten". Wobei die Zone nicht nur gewhitelisted wird, der Bereich ist ebenfalls geschützt und kann nur mit dem zugehörigen IP / IP Bereich aufgelöst werden.
Alle angelegten Zonen werden in der Werkseinstellung auch als geschützter Alias aktiviert.

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_01.jpg]]

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_02.jpg]]

Wenn der Modus von Automatisch auf Benutzerdefiniert umgestellt wird können die Netz die geschützt werden sollen selbst bestimmt werden. Sollen einige Zone nicht geschützt werden so können diese deaktiviert werden.

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-03T14:16:47Z

Denniss: /* DNS Rebinding Prevention */

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Neu Artikel DNS Rebinding Pervention
 

==Einleitung==
Die DNS Rebinding Prevention ist ein neues Feature UTM.
Dieser neue DNS Filter ermöglicht es bösartige DNS Anfragen blockiert werden.
In diesem Artikel soll es darum gehen zu verstehen wie ein solcher Angriff funktioniert, und wie die Prevention solche Angriffe verhindert.

==DNS Rebind Angriff==
Bei der Art von Angriff wird versucht, durch gefälschte DNS Antworten Zugriff auf interne Ressourcen zu erlangen.
Der Angreifer benötigt dazu nicht mehr als eine Domain mit Schadcode und einen Nameserver, der sämtliche DNS Anfragen für die Angreiferseite beantwortet.

=== Beispiel Angriff: ===

Client ruft eine Website mit einem schädlichen Script auf.

Eine DNS Anfrage geht an den DNS Servers des Angreifers.

Der DNS Server Antwortet mit und einer kurzen TTL

Der Client wiederholt seine DNS Anfrage aufgrund der abgelaufenen TTL

Das es für den Angriffes viel zu schwierig wäre den IP Kreis seiner Opfer zu erraten versucht er mit bekannten CNames zu arbeiten( v.B. Fritz.box // speed.port / ldap.tcp.local)

Diesmal Antwortet der Angreifer DNS mit einem CName z.B. _ldap._pdc.:msdcs.ttt.point.local (Zeigt auf unseren DC)

Der CName wird nun mit der IP DC's aufgelöst.

Für den Client liegt Angreiferdomanin nun auf der IP des Domain Controllers.

Es könnten nun Skripte in Richtung der Ziels ausgeführt werden.

Hier kommt noch eine Beispielgrafik.

[[Datei:UTM-DNS-Prevention.mp4]]

==DNS Rebinding Prevention==
Die DNS Rebinding Prevention blockt alle DNS Antworten, die auf eine private IP aufgelöst werden soll.
In Werkseinstellung werden alle private IP Adresse auch Klasse A, B und C geblockt.
Dies führt natürlich dazu, dass die interne DNS-Auflösung ebenfalls nicht mehr funktioniert.
Daher ist es möglich Zone/Objekte zu "Whitelisten". Wobei die Zone nicht nur gewhitelisted wird, der Bereich ist ebenfalls geschützt und kann nur mit dem zugehörigen IP / IP Bereich aufgelöst werden.
Alle angelegten Zonen werden in der Werkseinstellung auch als geschützter Alias aktiviert.

Sollen einige Zone nicht geschützt werden so können diese deaktiviert werden.
[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_01.jpg]]

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_02.jpg]]

Wenn der Modus von Automatisch auf Benutzerdefiniert umgestellt wird können die Netz die geschützt werden sollen selbst bestimmt werden. Sollen einige Zone nicht geschützt werden so können diese deaktiviert werden.

Datei:Nameserver DNS Rebinding Prevention 11.7 02.jpg

2017-02-03T14:16:07Z

Denniss:

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-03T14:11:58Z

Denniss: /* DNS Rebinding Prevention */

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Neu Artikel DNS Rebinding Pervention
 

==Einleitung==
Die DNS Rebinding Prevention ist ein neues Feature UTM.
Dieser neue DNS Filter ermöglicht es bösartige DNS Anfragen blockiert werden.
In diesem Artikel soll es darum gehen zu verstehen wie ein solcher Angriff funktioniert, und wie die Prevention solche Angriffe verhindert.

==DNS Rebind Angriff==
Bei der Art von Angriff wird versucht, durch gefälschte DNS Antworten Zugriff auf interne Ressourcen zu erlangen.
Der Angreifer benötigt dazu nicht mehr als eine Domain mit Schadcode und einen Nameserver, der sämtliche DNS Anfragen für die Angreiferseite beantwortet.

=== Beispiel Angriff: ===

Client ruft eine Website mit einem schädlichen Script auf.

Eine DNS Anfrage geht an den DNS Servers des Angreifers.

Der DNS Server Antwortet mit und einer kurzen TTL

Der Client wiederholt seine DNS Anfrage aufgrund der abgelaufenen TTL

Das es für den Angriffes viel zu schwierig wäre den IP Kreis seiner Opfer zu erraten versucht er mit bekannten CNames zu arbeiten( v.B. Fritz.box // speed.port / ldap.tcp.local)

Diesmal Antwortet der Angreifer DNS mit einem CName z.B. _ldap._pdc.:msdcs.ttt.point.local (Zeigt auf unseren DC)

Der CName wird nun mit der IP DC's aufgelöst.

Für den Client liegt Angreiferdomanin nun auf der IP des Domain Controllers.

Es könnten nun Skripte in Richtung der Ziels ausgeführt werden.

Hier kommt noch eine Beispielgrafik.

[[Datei:UTM-DNS-Prevention.mp4]]

==DNS Rebinding Prevention==
Die DNS Rebinding Prevention blockt alle DNS Antworten, die auf eine private IP aufgelöst werden soll.
In Werkseinstellung werden alle private IP Adresse auch Klasse A, B und C geblockt.
Dies führt natürlich dazu, dass die interne DNS-Auflösung ebenfalls nicht mehr funktioniert.
Daher ist es möglich Zone/Objekte zu "Whitelisten". Wobei die Zone nicht nur gewhitelisted wird, der Bereich ist ebenfalls geschützt und kann nur mit dem zugehörigen IP / IP Bereich aufgelöst werden.
Alle angelegten Zonen werden in der Werkseinstellung auch als geschützter Alias aktiviert.

Sollen einige Zone nicht geschützt werden so können diese deaktiviert werden.
[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_01.jpg]]

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_02.jpg]]

Wenn der Modus von Automatisch auf Benutzerdefiniert umgestellt wird können die Netz die geschützt werden sollen selbst bestimmt werden

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-03T14:08:40Z

Denniss: /* DNS Rebinding Prevention */

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Neu Artikel DNS Rebinding Pervention
 

==Einleitung==
Die DNS Rebinding Prevention ist ein neues Feature UTM.
Dieser neue DNS Filter ermöglicht es bösartige DNS Anfragen blockiert werden.
In diesem Artikel soll es darum gehen zu verstehen wie ein solcher Angriff funktioniert, und wie die Prevention solche Angriffe verhindert.

==DNS Rebind Angriff==
Bei der Art von Angriff wird versucht, durch gefälschte DNS Antworten Zugriff auf interne Ressourcen zu erlangen.
Der Angreifer benötigt dazu nicht mehr als eine Domain mit Schadcode und einen Nameserver, der sämtliche DNS Anfragen für die Angreiferseite beantwortet.

=== Beispiel Angriff: ===

Client ruft eine Website mit einem schädlichen Script auf.

Eine DNS Anfrage geht an den DNS Servers des Angreifers.

Der DNS Server Antwortet mit und einer kurzen TTL

Der Client wiederholt seine DNS Anfrage aufgrund der abgelaufenen TTL

Das es für den Angriffes viel zu schwierig wäre den IP Kreis seiner Opfer zu erraten versucht er mit bekannten CNames zu arbeiten( v.B. Fritz.box // speed.port / ldap.tcp.local)

Diesmal Antwortet der Angreifer DNS mit einem CName z.B. _ldap._pdc.:msdcs.ttt.point.local (Zeigt auf unseren DC)

Der CName wird nun mit der IP DC's aufgelöst.

Für den Client liegt Angreiferdomanin nun auf der IP des Domain Controllers.

Es könnten nun Skripte in Richtung der Ziels ausgeführt werden.

Hier kommt noch eine Beispielgrafik.

[[Datei:UTM-DNS-Prevention.mp4]]

==DNS Rebinding Prevention==
Die DNS Rebinding Prevention blockt alle DNS Antworten, die auf eine private IP aufgelöst werden soll.
In Werkseinstellung werden alle private IP Adresse auch Klasse A, B und C geblockt.
Dies führt natürlich dazu, dass die interne DNS-Auflösung ebenfalls nicht mehr funktioniert.
Daher ist es möglich Zone/Objekte zu "Whitelisten". Wobei die Zone nicht nur gewhitelisted wird, der Bereich ist ebenfalls geschützt und kann nur mit dem zugehörigen IP / IP Bereich aufgelöst werden.
Alle angelegten Zonen werden in der Werkseinstellung auch als geschützter Alias aktiviert.
Sollen einige Zone nicht geschützt werden so können diese deaktiviert werden.
[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_01.jpg]]

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_02.jpg]]

Wenn der Modus von Automatisch auf Benutzerdefiniert umgestellt wird können die Netz die geschützt werden sollen selbst bestimmt werden

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-03T13:59:11Z

Denniss: /* DNS Rebinding Prevention */

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Neu Artikel DNS Rebinding Pervention
 

==Einleitung==
Die DNS Rebinding Prevention ist ein neues Feature UTM.
Dieser neue DNS Filter ermöglicht es bösartige DNS Anfragen blockiert werden.
In diesem Artikel soll es darum gehen zu verstehen wie ein solcher Angriff funktioniert, und wie die Prevention solche Angriffe verhindert.

==DNS Rebind Angriff==
Bei der Art von Angriff wird versucht, durch gefälschte DNS Antworten Zugriff auf interne Ressourcen zu erlangen.
Der Angreifer benötigt dazu nicht mehr als eine Domain mit Schadcode und einen Nameserver, der sämtliche DNS Anfragen für die Angreiferseite beantwortet.

=== Beispiel Angriff: ===

Client ruft eine Website mit einem schädlichen Script auf.

Eine DNS Anfrage geht an den DNS Servers des Angreifers.

Der DNS Server Antwortet mit und einer kurzen TTL

Der Client wiederholt seine DNS Anfrage aufgrund der abgelaufenen TTL

Das es für den Angriffes viel zu schwierig wäre den IP Kreis seiner Opfer zu erraten versucht er mit bekannten CNames zu arbeiten( v.B. Fritz.box // speed.port / ldap.tcp.local)

Diesmal Antwortet der Angreifer DNS mit einem CName z.B. _ldap._pdc.:msdcs.ttt.point.local (Zeigt auf unseren DC)

Der CName wird nun mit der IP DC's aufgelöst.

Für den Client liegt Angreiferdomanin nun auf der IP des Domain Controllers.

Es könnten nun Skripte in Richtung der Ziels ausgeführt werden.

Hier kommt noch eine Beispielgrafik.

[[Datei:UTM-DNS-Prevention.mp4]]

==DNS Rebinding Prevention==
Die DNS Rebinding Prevention blockt alle DNS Antworten, die auf eine private IP aufgelöst werden soll.
In Werkseinstellung werden alle private IP Adresse auch Klasse A, B und C geblockt.
Dies führt natürlich dazu, dass die interne DNS-Auflösung ebenfalls nicht mehr funktioniert.
Daher ist es möglich Zone/Objekte zu "Whitelisten". Wobei die Zone nicht nur gewhitelisted wird, der Bereich ist ebenfalls geschützt und kann nur mit dem zugehörigen IP / IP Bereich aufgelöst werden.
Alle angelegten Zonen werden in der Werkseinstellung auch als geschützter Alias aktiviert.
Sollen Zonen nicht
[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_01.jpg]]

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_02.jpg]]

Wenn der Modus von Automatisch auf Benutzerdefiniert umgestellt wird können die Netz die geschützt werden sollen selbst bestimmt werden

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-03T13:46:00Z

Denniss: /* Beispiel Angriff: */

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-03T10:17:03Z

Denniss: /* DNS Rebinding Prevention */

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Neu Artikel DNS Rebinding Pervention
 

==Einleitung==
Die DNS Rebinding Prevention ist ein neues Feature UTM.
Dieser neue DNS Filter ermöglicht es bösartige DNS Anfragen blockiert werden.
In diesem Artikel soll es darum gehen zu verstehen wie ein solcher Angriff funktioniert, und wie die Prevention solche Angriffe verhindert.

==DNS Rebind Angriff==
Bei der Art von Angriff wird versucht, durch gefälschte DNS Antworten Zugriff auf interne Ressourcen zu erlangen.
Der Angreifer benötigt dazu nicht mehr als eine Domain mit Schadcode und einen Nameserver, der sämtliche DNS Anfragen für die Angreiferseite beantwortet.

=== Beispiel Angriff: ===

Client ruft eine Website mit einem schädlichen Script auf.

Eine DNS Anfrage geht an den DNS Servers des Angreifers.

Der DNS Server Antwortet mit und einer kurzen TTL

Der Client wiederholt seine DNS Anfrage aufgrund der abgelaufenen TTL

Das es für den Angriffes viel zu schwierig wäre den IP Kreis seiner Opfer zu erraten versucht er mit bekannten CNames zu arbeiten( v.B. Fritz.box // speed.port / ldap.tcp.local)

Diesmal Antwortet der Angreifer DNS mit einem CName z.B. _ldap._pdc.:msdcs.ttt.point.local (Zeigt auf unseren DC)

Der CName wird nun mit der IP DC's aufgelöst.

Für den Client liegt Angreiferdomanin nun auf der IP des Domain Controllers.

Es könnten nun Skripte in Richtung der Ziels ausgeführt werden.

[[Datei:UTM-DNS-Prevention.mp4]]

==DNS Rebinding Prevention==
Die DNS Rebinding Prevention blockt alle DNS Antworten, die auf eine private IP aufgelöst werden soll.
In Werkseinstellung werden alle private IP Adresse auch Klasse A, B und C geblockt.
Dies führt natürlich dazu, dass die interne DNS-Auflösung ebenfalls nicht mehr funktioniert.
Daher ist es möglich Zone/Objekte zu "Whitelisten". Wobei die Zone nicht nur gewhitelisted wird, der Bereich ist ebenfalls geschützt und kann nur mit dem zugehörigen IP / IP Bereich aufgelöst werden.
Alle angelegten Zonen werden in der Werkseinstellung auch als geschützter Alias aktiviert.

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_01.jpg]]

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_02.jpg]]

Wenn der Modus von Automatisch auf Benutzerdefiniert umgestellt wird können die Netz die geschützt werden sollen selbst bestimmt werden

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-03T09:26:26Z

Denniss: /* DNS Rebinding Prevention */

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Neu Artikel DNS Rebinding Pervention
 

==Einleitung==
Die DNS Rebinding Prevention ist ein neues Feature UTM.
Dieser neue DNS Filter ermöglicht es bösartige DNS Anfragen blockiert werden.
In diesem Artikel soll es darum gehen zu verstehen wie ein solcher Angriff funktioniert, und wie die Prevention solche Angriffe verhindert.

==DNS Rebind Angriff==
Bei der Art von Angriff wird versucht, durch gefälschte DNS Antworten Zugriff auf interne Ressourcen zu erlangen.
Der Angreifer benötigt dazu nicht mehr als eine Domain mit Schadcode und einen Nameserver, der sämtliche DNS Anfragen für die Angreiferseite beantwortet.

=== Beispiel Angriff: ===

Client ruft eine Website mit einem schädlichen Script auf.

Eine DNS Anfrage geht an den DNS Servers des Angreifers.

Der DNS Server Antwortet mit und einer kurzen TTL

Der Client wiederholt seine DNS Anfrage aufgrund der abgelaufenen TTL

Das es für den Angriffes viel zu schwierig wäre den IP Kreis seiner Opfer zu erraten versucht er mit bekannten CNames zu arbeiten( v.B. Fritz.box // speed.port / ldap.tcp.local)

Diesmal Antwortet der Angreifer DNS mit einem CName z.B. _ldap._pdc.:msdcs.ttt.point.local (Zeigt auf unseren DC)

Der CName wird nun mit der IP DC's aufgelöst.

Für den Client liegt Angreiferdomanin nun auf der IP des Domain Controllers.

Es könnten nun Skripte in Richtung der Ziels ausgeführt werden.

[[Datei:UTM-DNS-Prevention.mp4]]

==DNS Rebinding Prevention==
Die DNS Rebinding Prevention block alle DNS Antworten, die auf eine private IP aufgelöst werden soll.
In Werkseinstellung werden alle private IP Adresse auch Klasse A, B und C geblockt.
Dies führt natürlich dazu das die interne DNS-Auflösung ebenfalls nicht mehr funktioniert.
Daher ist es möglich Zone/Objekte zu "Whitelisten". Wobei die Zone nicht nur gewhitelisted wird, der Bereich ist ebenfalls geschützt und kann nur mit dem zugehörigen IP / IP Bereich aufgelöst werden.
Alle angelegten Zonen werden in der Werkseinstellung auch als Geschützter Alias aktiviert.

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_01.jpg]]

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_02.jpg]]

Wenn der Modus von Automatisch auf Benutzerdefiniert umgestellt wird können die Netz die geschützt werden sollen selbst bestimmt werden

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-03T09:16:51Z

Denniss: /* DNS Rebind Angriff */

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Neu Artikel DNS Rebinding Pervention
 

==Einleitung==
Die DNS Rebinding Prevention ist ein neues Feature UTM.
Dieser neue DNS Filter ermöglicht es bösartige DNS Anfragen blockiert werden.
In diesem Artikel soll es darum gehen zu verstehen wie ein solcher Angriff funktioniert, und wie die Prevention solche Angriffe verhindert.

==DNS Rebind Angriff==
Bei der Art von Angriff wird versucht, durch gefälschte DNS Antworten Zugriff auf interne Ressourcen zu erlangen.
Der Angreifer benötigt dazu nicht mehr als eine Domain mit Schadcode und einen Nameserver, der sämtliche DNS Anfragen für die Angreiferseite beantwortet.

=== Beispiel Angriff: ===

Client ruft eine Website mit einem schädlichen Script auf.

Eine DNS Anfrage geht an den DNS Servers des Angreifers.

Der DNS Server Antwortet mit und einer kurzen TTL

Der Client wiederholt seine DNS Anfrage aufgrund der abgelaufenen TTL

Das es für den Angriffes viel zu schwierig wäre den IP Kreis seiner Opfer zu erraten versucht er mit bekannten CNames zu arbeiten( v.B. Fritz.box // speed.port / ldap.tcp.local)

Diesmal Antwortet der Angreifer DNS mit einem CName z.B. _ldap._pdc.:msdcs.ttt.point.local (Zeigt auf unseren DC)

Der CName wird nun mit der IP DC's aufgelöst.

Für den Client liegt Angreiferdomanin nun auf der IP des Domain Controllers.

Es könnten nun Skripte in Richtung der Ziels ausgeführt werden.

[[Datei:UTM-DNS-Prevention.mp4]]

==DNS Rebinding Prevention==
Die DNS Rebinding Prevention block alle DNS Antworten die auf eine private IP aufgelöst werden soll.
In Werkseinstellung werden alle private IP Adresse auch Klasse A, B und C geblockt.
Dies führt natürlich dazu das die interne DNS Auflösung ebenfalls nicht mehr funktioniert.
Daher ist es möglich Zone/Objekte zu "Whitelisten". Wobei die Zone nicht nur gewhitelisted wird, der Bereich ist ebenfalls geschützt und kann nur mit dem zugehörigen IP / IP Bereich aufgelöst werden.
Alle angelegten Zonen werden in den Werkseinstellung auch als Geschützter Alias aktiviert.

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_01.jpg]]

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_02.jpg]]

Wenn der Modus von Automatisch auf Benutzerdefiniert umgestellt wird können die Netz die geschützt werden sollen selbst bestimmt werden

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-03T09:05:39Z

Denniss: /* Funktionsweise */

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Neu Artikel DNS Rebinding Pervention
 

==Einleitung==
Die DNS Rebinding Prevention ist ein neues Feature UTM.
Dieser neue DNS Filter ermöglicht es bösartige DNS Anfragen blockiert werden.
In diesem Artikel soll es darum gehen zu verstehen wie ein solcher Angriff funktioniert, und wie die Prevention solche Angriffe verhindert.

==DNS Rebind Angriff==
Bei der Art von Angriff wird versucht durch gefälschte DNS Antworten Zugriff auf interne Ressourcen zu erlangen

=== Beispiel Angriff: ===

Client ruft eine Website mit einem schädlichen Script auf.

Eine DNS Anfrage geht an den DNS Servers des Angreifers.

Der DNS Server Antwortet mit und einer kurzen TTL

Der Client wiederholt seine DNS Anfrage aufgrund der abgelaufenen TTL

Das es für den Angriffes viel zu schwierig wäre den IP Kreis seiner Opfer zu erraten versucht er mit bekannten CNames zu arbeiten( v.B. Fritz.box // speed.port / ldap.tcp.local)

Diesmal Antwortet der Angreifer DNS mit einem CName z.B. _ldap._pdc.:msdcs.ttt.point.local (Zeigt auf unseren DC)

Der CName wird nun mit der IP DC's aufgelöst.

Für den Client liegt Angreiferdomanin nun auf der IP des Domain Controllers.

Es könnten nun Skripte in Richtung der Ziels ausgeführt werden.

[[Datei:UTM-DNS-Prevention.mp4]]

==DNS Rebinding Prevention==
Die DNS Rebinding Prevention block alle DNS Antworten die auf eine private IP aufgelöst werden soll.
In Werkseinstellung werden alle private IP Adresse auch Klasse A, B und C geblockt.
Dies führt natürlich dazu das die interne DNS Auflösung ebenfalls nicht mehr funktioniert.
Daher ist es möglich Zone/Objekte zu "Whitelisten". Wobei die Zone nicht nur gewhitelisted wird, der Bereich ist ebenfalls geschützt und kann nur mit dem zugehörigen IP / IP Bereich aufgelöst werden.
Alle angelegten Zonen werden in den Werkseinstellung auch als Geschützter Alias aktiviert.

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_01.jpg]]

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_02.jpg]]

Wenn der Modus von Automatisch auf Benutzerdefiniert umgestellt wird können die Netz die geschützt werden sollen selbst bestimmt werden

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-03T08:41:05Z

Denniss: /* DNS Rebind Angriff */

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Neu Artikel DNS Rebinding Pervention
 

==Einleitung==
Die DNS Rebinding Prevention ist ein neues Feature UTM.
Dieser neue DNS Filter ermöglicht es bösartige DNS Anfragen blockiert werden.
In diesem Artikel soll es darum gehen zu verstehen wie ein solcher Angriff funktioniert, und wie die Prevention solche Angriffe verhindert.

==DNS Rebind Angriff==
Bei der Art von Angriff wird versucht durch gefälschte DNS Antworten Zugriff auf interne Ressourcen zu erlangen

=== Beispiel Angriff: ===

Client ruft eine Website mit einem schädlichen Script auf.

Eine DNS Anfrage geht an den DNS Servers des Angreifers.

Der DNS Server Antwortet mit und einer kurzen TTL

Der Client wiederholt seine DNS Anfrage aufgrund der abgelaufenen TTL

Das es für den Angriffes viel zu schwierig wäre den IP Kreis seiner Opfer zu erraten versucht er mit bekannten CNames zu arbeiten( v.B. Fritz.box // speed.port / ldap.tcp.local)

Diesmal Antwortet der Angreifer DNS mit einem CName z.B. _ldap._pdc.:msdcs.ttt.point.local (Zeigt auf unseren DC)

Der CName wird nun mit der IP DC's aufgelöst.

Für den Client liegt Angreiferdomanin nun auf der IP des Domain Controllers.

Es könnten nun Skripte in Richtung der Ziels ausgeführt werden.

[[Datei:UTM-DNS-Prevention.mp4]]

==DNS Rebinding Prevention==
== Funktionsweise ==
Die DNS Rebinding Prevention block alle DNS Antworten die auf eine private IP aufgelöst werden soll.
In Werkseinstellung werden alle private IP Adresse auch Klasse A, B und C geblockt.
Dies führt natürlich dazu das die interne DNS Auflösung ebenfalls nicht mehr funktioniert.
Daher ist es möglich Zone/Objekte zu "Whitelisten". Wobei die Zone nicht nur gewhitelisted wird, der Bereich ist ebenfalls geschützt und kann nur mit dem zugehörigen IP / IP Bereich aufgelöst werden.
Alle angelegten Zonen werden in den Werkseinstellung auch als Geschützter Alias aktiviert.

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_01.jpg]]

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_02.jpg]]

Wenn der Modus von Automatisch auf Benutzerdefiniert umgestellt wird können die Netz die geschützt werden sollen selbst bestimmt werden

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-03T07:42:44Z

Denniss: /* Einleitung */

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Neu Artikel DNS Rebinding Pervention
 

==Einleitung==
Die DNS Rebinding Prevention ist ein neues Feature UTM.
Dieser neue DNS Filter ermöglicht es bösartige DNS Anfragen blockiert werden.
In diesem Artikel soll es darum gehen zu verstehen wie ein solcher Angriff funktioniert, und wie die Prevention solche Angriffe verhindert.

==DNS Rebind Angriff==
Bei diesem Angriff wird versucht du manipulation eine Clients Zugriff auf Interne Ressourcen zu bekommen.

=== Beispiel Angriff: ===

Client möchtet Attacker.ru aufrufen

Eine DNS Anfrage geht an den Angreifer DNS

Der DNS Server Antwortet mit 222.233.244.69 und einer kurzen TTL

Der Client wiederholt seine DNS Anfrage aufgrund der abgelaufenen TTL

Das es für den Angriffes viel zu schwierig wäre den IP Kreis seiner Opfer zu erraten versucht er mit bekannten CNames zu arbeiten( v.B. Fritz.box // speed.port / ldap.tcp.local)

Diesmal Antwortet der Angreifer DNS mit einem CName z.B. mein.router

Der CName wird nun mit der IP des Routers aufgelöst.

Für den Client liegt Attacker.ru nun auf der IP des Routers

Es könnten nun Skripte in Richtung der Ziels ausgeführt werden.

[[Datei:UTM-DNS-Prevention.mp4]]

==DNS Rebinding Prevention==
== Funktionsweise ==
Die DNS Rebinding Prevention block alle DNS Antworten die auf eine private IP aufgelöst werden soll.
In Werkseinstellung werden alle private IP Adresse auch Klasse A, B und C geblockt.
Dies führt natürlich dazu das die interne DNS Auflösung ebenfalls nicht mehr funktioniert.
Daher ist es möglich Zone/Objekte zu "Whitelisten". Wobei die Zone nicht nur gewhitelisted wird, der Bereich ist ebenfalls geschützt und kann nur mit dem zugehörigen IP / IP Bereich aufgelöst werden.
Alle angelegten Zonen werden in den Werkseinstellung auch als Geschützter Alias aktiviert.

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_01.jpg]]

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_02.jpg]]

Wenn der Modus von Automatisch auf Benutzerdefiniert umgestellt wird können die Netz die geschützt werden sollen selbst bestimmt werden

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-02T14:39:56Z

Denniss: /* Beispiel Angriff: */

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Neu Artikel DNS Rebinding Pervention
 

==Einleitung==
Die DNS Rebinding Prevention ist ein neues Feature UTM.
Dieser neue DNS Filter bietet neue Möglichkeiten bösartige DNS Antworten zu blockieren.
In diesem Artikel soll es darum gehen zu verstehen wie ein solche Angriff funktioniert und wie die die Prevention solche Angriffe verhindert.

==DNS Rebind Angriff==
Bei diesem Angriff wird versucht du manipulation eine Clients Zugriff auf Interne Ressourcen zu bekommen.

=== Beispiel Angriff: ===

Client möchtet Attacker.ru aufrufen

Eine DNS Anfrage geht an den Angreifer DNS

Der DNS Server Antwortet mit 222.233.244.69 und einer kurzen TTL

Der Client wiederholt seine DNS Anfrage aufgrund der abgelaufenen TTL

Das es für den Angriffes viel zu schwierig wäre den IP Kreis seiner Opfer zu erraten versucht er mit bekannten CNames zu arbeiten( v.B. Fritz.box // speed.port / ldap.tcp.local)

Diesmal Antwortet der Angreifer DNS mit einem CName z.B. mein.router

Der CName wird nun mit der IP des Routers aufgelöst.

Für den Client liegt Attacker.ru nun auf der IP des Routers

Es könnten nun Skripte in Richtung der Ziels ausgeführt werden.

[[Datei:UTM-DNS-Prevention.mp4]]

==DNS Rebinding Prevention==
== Funktionsweise ==
Die DNS Rebinding Prevention block alle DNS Antworten die auf eine private IP aufgelöst werden soll.
In Werkseinstellung werden alle private IP Adresse auch Klasse A, B und C geblockt.
Dies führt natürlich dazu das die interne DNS Auflösung ebenfalls nicht mehr funktioniert.
Daher ist es möglich Zone/Objekte zu "Whitelisten". Wobei die Zone nicht nur gewhitelisted wird, der Bereich ist ebenfalls geschützt und kann nur mit dem zugehörigen IP / IP Bereich aufgelöst werden.
Alle angelegten Zonen werden in den Werkseinstellung auch als Geschützter Alias aktiviert.

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_01.jpg]]

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_02.jpg]]

Wenn der Modus von Automatisch auf Benutzerdefiniert umgestellt wird können die Netz die geschützt werden sollen selbst bestimmt werden

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-02T14:35:17Z

Denniss: /* Funktionsweise */

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Neu Artikel DNS Rebinding Pervention
 

==Einleitung==
Die DNS Rebinding Prevention ist ein neues Feature UTM.
Dieser neue DNS Filter bietet neue Möglichkeiten bösartige DNS Antworten zu blockieren.
In diesem Artikel soll es darum gehen zu verstehen wie ein solche Angriff funktioniert und wie die die Prevention solche Angriffe verhindert.

==DNS Rebind Angriff==
Bei diesem Angriff wird versucht du manipulation eine Clients Zugriff auf Interne Ressourcen zu bekommen.

=== Beispiel Angriff: ===

Client möchtet Attacker.ru aufrufen

Eine DNS Anfrage geht an den Angreifer DNS

Der DNS Server Antwortet mit 222.233.244.69 und einer kurzen TTL

Der Client wiederholt seine DNS Anfrage aufgrund der abgelaufenen TTL

Das es für den Angriffes viel zu schwierig wäre den IP Kreis seiner Opfer zu erraten versucht er mit bekannten CNames zu arbeiten( v.B. Fritz.box // speed.port / ldap.tcp.local)

Diesmal Antwortet der Angreifer DNS mit einem CName z.B. mein.router

Der CName wird nun mit der IP des Routers aufgelöst.

Für den Client liegt Attacker.ru nun auf der IP des Routers

Es könnten nun Skripte in Richtung der Ziels ausgeführt werden.

==DNS Rebinding Prevention==
== Funktionsweise ==
Die DNS Rebinding Prevention block alle DNS Antworten die auf eine private IP aufgelöst werden soll.
In Werkseinstellung werden alle private IP Adresse auch Klasse A, B und C geblockt.
Dies führt natürlich dazu das die interne DNS Auflösung ebenfalls nicht mehr funktioniert.
Daher ist es möglich Zone/Objekte zu "Whitelisten". Wobei die Zone nicht nur gewhitelisted wird, der Bereich ist ebenfalls geschützt und kann nur mit dem zugehörigen IP / IP Bereich aufgelöst werden.
Alle angelegten Zonen werden in den Werkseinstellung auch als Geschützter Alias aktiviert.

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_01.jpg]]

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_02.jpg]]

Wenn der Modus von Automatisch auf Benutzerdefiniert umgestellt wird können die Netz die geschützt werden sollen selbst bestimmt werden

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-02T14:34:23Z

Denniss: /* Funktionsweise */

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Neu Artikel DNS Rebinding Pervention
 

==Einleitung==
Die DNS Rebinding Prevention ist ein neues Feature UTM.
Dieser neue DNS Filter bietet neue Möglichkeiten bösartige DNS Antworten zu blockieren.
In diesem Artikel soll es darum gehen zu verstehen wie ein solche Angriff funktioniert und wie die die Prevention solche Angriffe verhindert.

==DNS Rebind Angriff==
Bei diesem Angriff wird versucht du manipulation eine Clients Zugriff auf Interne Ressourcen zu bekommen.

=== Beispiel Angriff: ===

Client möchtet Attacker.ru aufrufen

Eine DNS Anfrage geht an den Angreifer DNS

Der DNS Server Antwortet mit 222.233.244.69 und einer kurzen TTL

Der Client wiederholt seine DNS Anfrage aufgrund der abgelaufenen TTL

Das es für den Angriffes viel zu schwierig wäre den IP Kreis seiner Opfer zu erraten versucht er mit bekannten CNames zu arbeiten( v.B. Fritz.box // speed.port / ldap.tcp.local)

Diesmal Antwortet der Angreifer DNS mit einem CName z.B. mein.router

Der CName wird nun mit der IP des Routers aufgelöst.

Für den Client liegt Attacker.ru nun auf der IP des Routers

Es könnten nun Skripte in Richtung der Ziels ausgeführt werden.

==DNS Rebinding Prevention==
== Funktionsweise ==
Die DNS Rebinding Prevention block alle DNS Antworten die auf eine private IP aufgelöst werden soll.
In Werkseinstellung werden alle private IP Adresse auch Klasse A, B und C geblockt.
Dies führt natürlich dazu das die interne DNS Auflösung ebenfalls nicht mehr funktioniert.
Daher ist es möglich Zone/Objekte zu "Whitelisten". Wobei die Zone nicht nur gewhitelisted wird, der Bereich ist ebenfalls geschützt und kann nur mit dem zugehörigen IP / IP Bereich aufgelöst werden.
Alle angelegten Zonen werden in den Werkseinstellung auch als Geschützter Alias aktiviert.

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_01.jpg]]

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_02.jpg]]
Wenn der Modus von Automatisch auf Benutzerdefiniert umgestellt wird können die Netz die geschützt werden sollen selbst bestimmt werden

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-02T14:34:02Z

Denniss: /* Funktionsweise */

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Neu Artikel DNS Rebinding Pervention
 

==Einleitung==
Die DNS Rebinding Prevention ist ein neues Feature UTM.
Dieser neue DNS Filter bietet neue Möglichkeiten bösartige DNS Antworten zu blockieren.
In diesem Artikel soll es darum gehen zu verstehen wie ein solche Angriff funktioniert und wie die die Prevention solche Angriffe verhindert.

==DNS Rebind Angriff==
Bei diesem Angriff wird versucht du manipulation eine Clients Zugriff auf Interne Ressourcen zu bekommen.

=== Beispiel Angriff: ===

Client möchtet Attacker.ru aufrufen

Eine DNS Anfrage geht an den Angreifer DNS

Der DNS Server Antwortet mit 222.233.244.69 und einer kurzen TTL

Der Client wiederholt seine DNS Anfrage aufgrund der abgelaufenen TTL

Das es für den Angriffes viel zu schwierig wäre den IP Kreis seiner Opfer zu erraten versucht er mit bekannten CNames zu arbeiten( v.B. Fritz.box // speed.port / ldap.tcp.local)

Diesmal Antwortet der Angreifer DNS mit einem CName z.B. mein.router

Der CName wird nun mit der IP des Routers aufgelöst.

Für den Client liegt Attacker.ru nun auf der IP des Routers

Es könnten nun Skripte in Richtung der Ziels ausgeführt werden.

==DNS Rebinding Prevention==
== Funktionsweise ==
Die DNS Rebinding Prevention block alle DNS Antworten die auf eine private IP aufgelöst werden soll.
In Werkseinstellung werden alle private IP Adresse auch Klasse A, B und C geblockt.
Dies führt natürlich dazu das die interne DNS Auflösung ebenfalls nicht mehr funktioniert.
Daher ist es möglich Zone/Objekte zu "Whitelisten". Wobei die Zone nicht nur gewhitelisted wird, der Bereich ist ebenfalls geschützt und kann nur mit dem zugehörigen IP / IP Bereich aufgelöst werden.
Alle angelegten Zonen werden in den Werkseinstellung auch als Geschützter Alias aktiviert.
|Wenn der Modus von Automatisch auf Benutzerdefiniert umgestellt wird können die Netz die geschützt werden sollen selbst bestimmt werden
[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_01.jpg]]

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_02.jpg]

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-02T14:33:40Z

Denniss: /* Funktionsweise */

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Neu Artikel DNS Rebinding Pervention
 

==Einleitung==
Die DNS Rebinding Prevention ist ein neues Feature UTM.
Dieser neue DNS Filter bietet neue Möglichkeiten bösartige DNS Antworten zu blockieren.
In diesem Artikel soll es darum gehen zu verstehen wie ein solche Angriff funktioniert und wie die die Prevention solche Angriffe verhindert.

==DNS Rebind Angriff==
Bei diesem Angriff wird versucht du manipulation eine Clients Zugriff auf Interne Ressourcen zu bekommen.

=== Beispiel Angriff: ===

Client möchtet Attacker.ru aufrufen

Eine DNS Anfrage geht an den Angreifer DNS

Der DNS Server Antwortet mit 222.233.244.69 und einer kurzen TTL

Der Client wiederholt seine DNS Anfrage aufgrund der abgelaufenen TTL

Das es für den Angriffes viel zu schwierig wäre den IP Kreis seiner Opfer zu erraten versucht er mit bekannten CNames zu arbeiten( v.B. Fritz.box // speed.port / ldap.tcp.local)

Diesmal Antwortet der Angreifer DNS mit einem CName z.B. mein.router

Der CName wird nun mit der IP des Routers aufgelöst.

Für den Client liegt Attacker.ru nun auf der IP des Routers

Es könnten nun Skripte in Richtung der Ziels ausgeführt werden.

==DNS Rebinding Prevention==
== Funktionsweise ==
Die DNS Rebinding Prevention block alle DNS Antworten die auf eine private IP aufgelöst werden soll.
In Werkseinstellung werden alle private IP Adresse auch Klasse A, B und C geblockt.
Dies führt natürlich dazu das die interne DNS Auflösung ebenfalls nicht mehr funktioniert.
Daher ist es möglich Zone/Objekte zu "Whitelisten". Wobei die Zone nicht nur gewhitelisted wird, der Bereich ist ebenfalls geschützt und kann nur mit dem zugehörigen IP / IP Bereich aufgelöst werden.
Alle angelegten Zonen werden in den Werkseinstellung auch als Geschützter Alias aktiviert.
|Wenn der Modus von Automatisch auf Benutzerdefiniert umgestellt wird können die Netz die geschützt werden sollen selbst bestimmt werden
[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_01.jpg]]

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_02.jpg|thumb|center|Anlegen des A-RR]]]

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-02T14:31:41Z

Denniss: /* Funktionsweise */

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Neu Artikel DNS Rebinding Pervention
 

==Einleitung==
Die DNS Rebinding Prevention ist ein neues Feature UTM.
Dieser neue DNS Filter bietet neue Möglichkeiten bösartige DNS Antworten zu blockieren.
In diesem Artikel soll es darum gehen zu verstehen wie ein solche Angriff funktioniert und wie die die Prevention solche Angriffe verhindert.

==DNS Rebind Angriff==
Bei diesem Angriff wird versucht du manipulation eine Clients Zugriff auf Interne Ressourcen zu bekommen.

=== Beispiel Angriff: ===

Client möchtet Attacker.ru aufrufen

Eine DNS Anfrage geht an den Angreifer DNS

Der DNS Server Antwortet mit 222.233.244.69 und einer kurzen TTL

Der Client wiederholt seine DNS Anfrage aufgrund der abgelaufenen TTL

Das es für den Angriffes viel zu schwierig wäre den IP Kreis seiner Opfer zu erraten versucht er mit bekannten CNames zu arbeiten( v.B. Fritz.box // speed.port / ldap.tcp.local)

Diesmal Antwortet der Angreifer DNS mit einem CName z.B. mein.router

Der CName wird nun mit der IP des Routers aufgelöst.

Für den Client liegt Attacker.ru nun auf der IP des Routers

Es könnten nun Skripte in Richtung der Ziels ausgeführt werden.

==DNS Rebinding Prevention==
== Funktionsweise ==
Die DNS Rebinding Prevention block alle DNS Antworten die auf eine private IP aufgelöst werden soll.
In Werkseinstellung werden alle private IP Adresse auch Klasse A, B und C geblockt.
Dies führt natürlich dazu das die interne DNS Auflösung ebenfalls nicht mehr funktioniert.
Daher ist es möglich Zone/Objekte zu "Whitelisten". Wobei die Zone nicht nur gewhitelisted wird, der Bereich ist ebenfalls geschützt und kann nur mit dem zugehörigen IP / IP Bereich aufgelöst werden.
Alle angelegten Zonen werden in den Werkseinstellung auch als Geschützter Alias aktiviert.

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_01.jpg]]

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_02.jpg|Wenn der Modus von Automatisch auf Benutzerdefiniert umgestellt wird können die Netz die geschützt werden sollen selbst bestimmt werden.]]

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-02T14:31:13Z

Denniss: /* Funktionsweise */

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Neu Artikel DNS Rebinding Pervention
 

==Einleitung==
Die DNS Rebinding Prevention ist ein neues Feature UTM.
Dieser neue DNS Filter bietet neue Möglichkeiten bösartige DNS Antworten zu blockieren.
In diesem Artikel soll es darum gehen zu verstehen wie ein solche Angriff funktioniert und wie die die Prevention solche Angriffe verhindert.

==DNS Rebind Angriff==
Bei diesem Angriff wird versucht du manipulation eine Clients Zugriff auf Interne Ressourcen zu bekommen.

=== Beispiel Angriff: ===

Client möchtet Attacker.ru aufrufen

Eine DNS Anfrage geht an den Angreifer DNS

Der DNS Server Antwortet mit 222.233.244.69 und einer kurzen TTL

Der Client wiederholt seine DNS Anfrage aufgrund der abgelaufenen TTL

Das es für den Angriffes viel zu schwierig wäre den IP Kreis seiner Opfer zu erraten versucht er mit bekannten CNames zu arbeiten( v.B. Fritz.box // speed.port / ldap.tcp.local)

Diesmal Antwortet der Angreifer DNS mit einem CName z.B. mein.router

Der CName wird nun mit der IP des Routers aufgelöst.

Für den Client liegt Attacker.ru nun auf der IP des Routers

Es könnten nun Skripte in Richtung der Ziels ausgeführt werden.

==DNS Rebinding Prevention==
== Funktionsweise ==
Die DNS Rebinding Prevention block alle DNS Antworten die auf eine private IP aufgelöst werden soll.
In Werkseinstellung werden alle private IP Adresse auch Klasse A, B und C geblockt.
Dies führt natürlich dazu das die interne DNS Auflösung ebenfalls nicht mehr funktioniert.
Daher ist es möglich Zone/Objekte zu "Whitelisten". Wobei die Zone nicht nur gewhitelisted wird, der Bereich ist ebenfalls geschützt und kann nur mit dem zugehörigen IP / IP Bereich aufgelöst werden.
Alle angelegten Zonen werden in den Werkseinstellung auch als Geschützter Alias aktiviert.

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_01.jpg]]

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_02.jpg]|Wenn der Modus von Automatisch auf Benutzerdefiniert umgestellt wird können die Netz die geschützt werden sollen selbst bestimmt werden.]]

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-02T13:38:25Z

Denniss: /* Funktionsweise */

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Neu Artikel DNS Rebinding Pervention
 

==Einleitung==
Die DNS Rebinding Prevention ist ein neues Feature UTM.
Dieser neue DNS Filter bietet neue Möglichkeiten bösartige DNS Antworten zu blockieren.
In diesem Artikel soll es darum gehen zu verstehen wie ein solche Angriff funktioniert und wie die die Prevention solche Angriffe verhindert.

==DNS Rebind Angriff==
Bei diesem Angriff wird versucht du manipulation eine Clients Zugriff auf Interne Ressourcen zu bekommen.

=== Beispiel Angriff: ===

Client möchtet Attacker.ru aufrufen

Eine DNS Anfrage geht an den Angreifer DNS

Der DNS Server Antwortet mit 222.233.244.69 und einer kurzen TTL

Der Client wiederholt seine DNS Anfrage aufgrund der abgelaufenen TTL

Das es für den Angriffes viel zu schwierig wäre den IP Kreis seiner Opfer zu erraten versucht er mit bekannten CNames zu arbeiten( v.B. Fritz.box // speed.port / ldap.tcp.local)

Diesmal Antwortet der Angreifer DNS mit einem CName z.B. mein.router

Der CName wird nun mit der IP des Routers aufgelöst.

Für den Client liegt Attacker.ru nun auf der IP des Routers

Es könnten nun Skripte in Richtung der Ziels ausgeführt werden.

==DNS Rebinding Prevention==
== Funktionsweise ==
Die DNS Rebinding Prevention block alle DNS Antworten die auf eine private IP aufgelöst werden soll.
In Werkseinstellung werden alle private IP Adresse auch Klasse A, B und C geblockt.
Dies führt natürlich dazu das die interne DNS Auflösung ebenfalls nicht mehr funktioniert.
Daher ist es möglich Zone/Objekte zu "Whitelisten". Wobei die Zone nicht nur gewhitelisted wird, der Bereich ist ebenfalls geschützt und kann nur mit dem zugehörigen IP / IP Bereich aufgelöst werden.
Alle angelegten Zonen werden in den Werkseinstellung auch als Geschützter Alias aktiviert.
Wenn der Modus
[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_01.jpg]]

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_02.jpg]]

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-02T13:33:42Z

Denniss: /* Funktionsweise */

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Neu Artikel DNS Rebinding Pervention
 

==Einleitung==
Die DNS Rebinding Prevention ist ein neues Feature UTM.
Dieser neue DNS Filter bietet neue Möglichkeiten bösartige DNS Antworten zu blockieren.
In diesem Artikel soll es darum gehen zu verstehen wie ein solche Angriff funktioniert und wie die die Prevention solche Angriffe verhindert.

==DNS Rebind Angriff==
Bei diesem Angriff wird versucht du manipulation eine Clients Zugriff auf Interne Ressourcen zu bekommen.

=== Beispiel Angriff: ===

Client möchtet Attacker.ru aufrufen

Eine DNS Anfrage geht an den Angreifer DNS

Der DNS Server Antwortet mit 222.233.244.69 und einer kurzen TTL

Der Client wiederholt seine DNS Anfrage aufgrund der abgelaufenen TTL

Das es für den Angriffes viel zu schwierig wäre den IP Kreis seiner Opfer zu erraten versucht er mit bekannten CNames zu arbeiten( v.B. Fritz.box // speed.port / ldap.tcp.local)

Diesmal Antwortet der Angreifer DNS mit einem CName z.B. mein.router

Der CName wird nun mit der IP des Routers aufgelöst.

Für den Client liegt Attacker.ru nun auf der IP des Routers

Es könnten nun Skripte in Richtung der Ziels ausgeführt werden.

==DNS Rebinding Prevention==
== Funktionsweise ==
Die DNS Rebinding Prevention block alle DNS Antworten die auf eine private IP aufgelöst werden soll.
In Werkseinstellung werden alle private IP Adresse auch Klasse A, B und C geblockt.
Dies führt natürlich dazu das die interne DNS Auflösung ebenfalls nicht mehr funktioniert.
Daher ist es möglich Zone/Objekte zu "Whitelisten". Wobei die Zone nicht nur gewhitelisted wird, der Bereich ist ebenfalls geschützt und kann nur mit dem zugehörigen IP / IP Bereich aufgelöst werden.
Alle angelegten Zonen werden in den Werkseinstellung auch als Geschützter Alias aktiviert.
[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_01.jpg]]

[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_02.jpg]]

Datei:Nameserver DNS Rebinding Prevention 11.7 01.jpg

2017-02-02T13:32:47Z

Denniss:

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-02T13:32:36Z

Denniss: /* Funktionsweise */

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Neu Artikel DNS Rebinding Pervention
 

==Einleitung==
Die DNS Rebinding Prevention ist ein neues Feature UTM.
Dieser neue DNS Filter bietet neue Möglichkeiten bösartige DNS Antworten zu blockieren.
In diesem Artikel soll es darum gehen zu verstehen wie ein solche Angriff funktioniert und wie die die Prevention solche Angriffe verhindert.

==DNS Rebind Angriff==
Bei diesem Angriff wird versucht du manipulation eine Clients Zugriff auf Interne Ressourcen zu bekommen.

=== Beispiel Angriff: ===

Client möchtet Attacker.ru aufrufen

Eine DNS Anfrage geht an den Angreifer DNS

Der DNS Server Antwortet mit 222.233.244.69 und einer kurzen TTL

Der Client wiederholt seine DNS Anfrage aufgrund der abgelaufenen TTL

Das es für den Angriffes viel zu schwierig wäre den IP Kreis seiner Opfer zu erraten versucht er mit bekannten CNames zu arbeiten( v.B. Fritz.box // speed.port / ldap.tcp.local)

Diesmal Antwortet der Angreifer DNS mit einem CName z.B. mein.router

Der CName wird nun mit der IP des Routers aufgelöst.

Für den Client liegt Attacker.ru nun auf der IP des Routers

Es könnten nun Skripte in Richtung der Ziels ausgeführt werden.

==DNS Rebinding Prevention==
== Funktionsweise ==
Die DNS Rebinding Prevention block alle DNS Antworten die auf eine private IP aufgelöst werden soll.
In Werkseinstellung werden alle private IP Adresse auch Klasse A, B und C geblockt.
Dies führt natürlich dazu das die interne DNS Auflösung ebenfalls nicht mehr funktioniert.
Daher ist es möglich Zone/Objekte zu "Whitelisten". Wobei die Zone nicht nur gewhitelisted wird, der Bereich ist ebenfalls geschützt und kann nur mit dem zugehörigen IP / IP Bereich aufgelöst werden.
Alle angelegten Zonen werden in den Werkseinstellung auch als Geschützter Alias aktiviert.
[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_01.jpg]]

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-02T13:29:49Z

Denniss: /* Funktionsweise */

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Neu Artikel DNS Rebinding Pervention
 

==Einleitung==
Die DNS Rebinding Prevention ist ein neues Feature UTM.
Dieser neue DNS Filter bietet neue Möglichkeiten bösartige DNS Antworten zu blockieren.
In diesem Artikel soll es darum gehen zu verstehen wie ein solche Angriff funktioniert und wie die die Prevention solche Angriffe verhindert.

==DNS Rebind Angriff==
Bei diesem Angriff wird versucht du manipulation eine Clients Zugriff auf Interne Ressourcen zu bekommen.

=== Beispiel Angriff: ===

Client möchtet Attacker.ru aufrufen

Eine DNS Anfrage geht an den Angreifer DNS

Der DNS Server Antwortet mit 222.233.244.69 und einer kurzen TTL

Der Client wiederholt seine DNS Anfrage aufgrund der abgelaufenen TTL

Das es für den Angriffes viel zu schwierig wäre den IP Kreis seiner Opfer zu erraten versucht er mit bekannten CNames zu arbeiten( v.B. Fritz.box // speed.port / ldap.tcp.local)

Diesmal Antwortet der Angreifer DNS mit einem CName z.B. mein.router

Der CName wird nun mit der IP des Routers aufgelöst.

Für den Client liegt Attacker.ru nun auf der IP des Routers

Es könnten nun Skripte in Richtung der Ziels ausgeführt werden.

==DNS Rebinding Prevention==
== Funktionsweise ==
Die DNS Rebinding Prevention block alle DNS Antworten die auf eine private IP aufgelöst werden soll.
In Werkseinstellung werden alle private IP Adresse auch Klasse A, B und C geblockt.
Dies führt natürlich dazu das die interne DNS Auflösung ebenfalls nicht mehr funktioniert.
Daher ist es möglich Zone/Objekte zu "Whitelisten". Wobei die Zone nicht nur gewhitelisted wird, der Bereich ist ebenfalls geschützt und kann nur mit dem zugehörigen IP / IP Bereich aufgelöst werden.
Alle angelegten Zonen werden in den Werkseinstellung auch als Geschützter Alias aktiviert.
[[Datei:Beispiel.jpg]]

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-02T12:39:03Z

Denniss: /* DNS Rebinding Prevention */

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-02T10:54:39Z

Denniss:

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-02T10:48:17Z

Denniss: /* DNS Rebind Angriff */

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-02T10:33:47Z

Denniss: /* DNS Rebind Angriff */

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-02T10:31:02Z

Denniss: /* DNS Rebind Angriff */

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-02T10:21:52Z

Denniss: /* DNS Rebind Angriff */

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-02T10:05:05Z

Denniss:

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-02T10:04:38Z

Denniss: /* Einleitung */

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-02T09:39:53Z

Denniss:

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Neu Artikel DNS Rebinding Pervention
 

==Einleitung==

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-02T09:37:25Z

Denniss: /* Informationen */

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung: Neu Artikel DNS Rebinding Pervention

UTM/APP/Nameserver-DNS Rebinding Prevention v11.7

2017-02-02T09:36:02Z

Denniss: Die Seite wurde neu angelegt: „== Informationen == Letze Anpassung zur Version: '''11.7''' Bemerkung: Vorherige Versionen: 11.6.11 “

== Informationen ==
Letze Anpassung zur Version: '''11.7'''
 
Bemerkung:
 
Vorherige Versionen: [[UTM/APP/Nameserver_11.6 | 11.6.11]]

Datei:Nameserver forward 11.7 04.jpg

2017-02-01T15:05:10Z

Denniss:

Datei:Nameserver forward 11.7 03.jpg

2017-02-01T15:04:23Z

Denniss:

Datei:Nameserver forward 11.7 02.jpg

2017-02-01T15:03:12Z

Denniss:

Datei:Nameserver forward 11.7 01.jpg

2017-02-01T14:59:03Z

Denniss:

Datei:Nameserver Zonen 11.7 09.jpg

2017-02-01T14:39:40Z

Denniss:

Datei:Nameserver Zonen 11.7 08.jpg

2017-02-01T14:37:44Z

Denniss:

Datei:Nameserver Zonen 11.7 07.jpg

2017-02-01T14:37:18Z

Denniss:

Datei:Nameserver Zonen 11.7 06.jpg

2017-02-01T14:36:48Z

Denniss:

Datei:Nameserver Zonen 11.7 05.jpg

2017-02-01T14:33:16Z

Denniss:

Datei:Nameserver Zonen 11.7 04.jpg

2017-02-01T14:31:03Z

Denniss:

Datei:Nameserver Zonen 11.7 03.jpg

2017-02-01T14:30:29Z

Denniss: