Informationen
Letze Anpassung zur Version: 11.7
Bemerkung: Neu Artikel DNS Rebinding Pervention
Einleitung
Die DNS Rebinding Prevention ist ein neues Feature UTM. Dieser neue DNS Filter bietet neue Möglichkeiten bösartige DNS Antworten zu blockieren. In diesem Artikel soll es darum gehen zu verstehen wie ein solche Angriff funktioniert und wie die die Prevention solche Angriffe verhindert.
DNS Rebind Angriff
Bei diesem Angriff wird versucht du manipulation eine Clients Zugriff auf Interne Ressourcen zu bekommen.
Beispiel Angriff:
Client möchtet Attacker.ru aufrufen
Eine DNS Anfrage geht an den Angreifer DNS
Der DNS Server Antwortet mit 222.233.244.69 und einer kurzen TTL
Der Client wiederholt seine DNS Anfrage aufgrund der abgelaufenen TTL
Das es für den Angriffes viel zu schwierig wäre den IP Kreis seiner Opfer zu erraten versucht er mit bekannten CNames zu arbeiten( v.B. Fritz.box // speed.port / ldap.tcp.local)
Diesmal Antwortet der Angreifer DNS mit einem CName z.B. mein.router
Der CName wird nun mit der IP des Routers aufgelöst.
Für den Client liegt Attacker.ru nun auf der IP des Routers
Es könnten nun Skripte in Richtung der Ziels ausgeführt werden.
DNS Rebinding Prevention
Funktionsweise
Die DNS Rebinding Prevention block alle DNS Antworten die auf eine private IP aufgelöst werden soll. In Werkseinstellung werden alle private IP Adresse auch Klasse A, B und C geblockt. Dies führt natürlich dazu das die interne DNS Auflösung ebenfalls nicht mehr funktioniert. Daher ist es möglich Zone/Objekte zu "Whitelisten". Wobei die Zone nicht nur gewhitelisted wird, der Bereich ist ebenfalls geschützt und kann nur mit dem zugehörigen IP / IP Bereich aufgelöst werden. Alle angelegten Zonen werden in den Werkseinstellung auch als Geschützter Alias aktiviert.
Wenn der Modus von Automatisch auf Benutzerdefiniert umgestellt wird können die Netz die geschützt werden sollen selbst bestimmt werden