DNS Rebinding Protection?

crl55 · 2023-02-18T19:28:36+00:00

Sunrise Community - Kunden helfen anderen Kunden rund um die Themen Fernsehen, Internet, Telefon und Mobile. Jetzt registrieren!

crl55

Hallo zusammen,

Domains, welche zu privaten IP Adressen auflösen, scheinen nicht zu funktionieren.

Z.B. habe ich einen DNS Eintrag für private.mydomain.ch welcher zu 192.168.0.35 auflöst. Ausserhalb vom Heimnetzwerk oder auch mit einem mobilen Hotspot funktioniert das problemlos (erreichbar ist der Host dann natürlich nicht, aber der DNS Eintrag kann aufgelöst werden). Aber wenn ich im Netzwerk der Connect Box bin, bekomme ich keine Antwort und es sieht so aus, als wenn die Antwort gefiltert wird:

$ dig -t A private.mydomain.ch
; <<>> DiG 9.18.1-1ubuntu1.3-Ubuntu <<>> -t A private.mydomain.ch
;; global options: +cmd
;; connection timed out; no servers could be reached

Das gleiche ist auch der Fall, wenn verschiedene spezifische DNS server angegeben werden (z.B. dig -t A private.mydomain.ch @8.8.8.8), es funktioniert mit keinem.

Ist auf der Connect Box eine DNS Rebinding Protection aktiv? Falls ja, kann diese deaktiviert oder so konfiguriert werden, dass gewisse Domains erlaubt werden?

Dies ist für gewisse Services erforderlich, damit diese korrekt funktionieren können.

Besten Dank bereits für eure Hilfe 🙂

Belegnor

Hallo crl55

Mir wäre nicht bekannt, dass die Connect Box DNS Rebinding Protection anbietet (ich wüsste nicht, wo diese Funktion deaktiviert werden kann), und ich hatte bis jetzt keine Probleme mit der Namenauflösung. Aber mein Setup ist vielleicht ein bisschen anders als deins … 😉

Allerdings ist mir nicht klar, wozu du „extern“ (im Internet) eine interne IP auflösen willst. Wenn die Idee dahinter ist, ein System sowohl intern als auch extern auflösbar und erreichbar zu machen, dann gibt es eine bessere Methode: Split DNS. Um dies zu implementieren benötigst du, nebst der Einträge in einem externen DNS-Server, nur noch einen internen DNS-/DHCP-Server.

Wenn du einen Synology Server hast, dann kannst du den integrierten DNS/DHCP-Service verwenden. Ansonsten wäre Pi-hole eine gute alternative. Wichtig ist nur, dass du den DHCP-Server der Connect Box deaktivierst (damit deine Clients die Anfragen an den richtigen DNS-Server senden).

Ich hoffe, das hilft weiter.

Gruss

Belegnor

crl55

Hallo @Belegnor

Vielen Dank für deine Antwort!

Interessanterweise hat es vor etwa einem Monat auch noch funktioniert, also kann das auch durch ein Update gekommen sein. In den Admin Einstellungen der Connect Box habe ich jedoch auch nichts dergleichen gefunden, aber die Einstellungsmöglichkeiten sind da ja sowieso beschränkt.

Der gleiche Hostname, mit gleichem DNS Server vom gleichen PC & Netzwerkinterface kann mit einem anderen ISP problemlos aufgelöst werden. Sobald ich wieder zum UPC ISP wechsle, bekommt der DNS Request keine Antwort mehr.

Deshalb sieht es schon sehr danach aus, als dass UPC dies filtert…

Kann z.B. auch mit dig -t A 192-168-0-35.625d406a00ac415b978ddb368c0d1289.plex.direct @8.8.8.8 geprüft werden. Dieser endet bei mir mit UPC/Connect Box in einem Timeout. Mit anderen ISPs funktioniert es. Mit einer public IP (dig -t A 1-2-3-4.625d406a00ac415b978ddb368c0d1289.plex.direct @8.8.8.8) funktioniert es wiederum auch wieder.

Plex wäre z.B. auch gerade ein Service, welcher das benötigt. Damit diese Netzwerkinterne Resourcen/Server in ihrer Web App (app.plex.tv) einbinden können, müssen interne Server auch über HTTPS kommunizieren. Mit diesen plex.direct DNS Records können sie selber ein Zertifikat für eine private IP erstellen. Gleiches machen auch noch andere Services.

Vielen Dank auch für deinen Vorschlag. Dies sollte in der Theorie eigentlich funktionieren, wenn ich anfange die DNS Einträge dieser Services intern zu überschreiben. Ich möchte aber eigentlich lieber nicht beginnen, eigene DNS/DHCP Server intern zu betreiben und administrativen Mehraufwand zu haben, nur weil mein ISP Traffic filtert, welcher eigentlich okay ist. Auch wenn es als Schutz eventuell gut gemeint ist 🙂

Belegnor

Hallo crl55

Ich habe die gleichen Tests durchgeführt und kann das verhalten bestätigen, allerdings nur bedingt.

Bei den Tests konnte ich feststellen, dass es nicht ein generelles “DNS-Rebind Protection” Problem ist, da andere “plex.direct” Adressen abgefragt werden können. Das Problem scheint jedoch nur dann einzutreten, wenn RFC1918-IPs (private Ranges) in der Antwort zu finden sind …

Meine Empfehlung bleibt daher bestehen: Interne private Adressen sollten nur mithilfe eines internen DNS-Servers aufgelöst werden. Einen externen im Internet gehosteten Server hierfür zu missbrauchen ist zwar möglich, allerdings es ist nicht unbedingt “best practice” und auch nicht unproblematisch, wie du sehen kannst.

Wenn ein internen DNS-Server für dich nicht in Frage kommt, dann bleibt nur die direkte Kontaktaufnahme mit dem Support als einziger gangbarer Weg. Du kannst es telefonisch oder via PN an das Sunrise Team in der Community tun. Bitte vergiss nicht Kundennummer, Geburtsdatum und Anschrift in der privaten Nachricht anzugeben.

Ich hoffe, das hilft weiter.

Gruss

Belegnor

GrandDixence

Die DNS-Servern von UPC-Sunrise beantworten die Anfrage:
`dig -t A 192-168-0-35.625d406a00ac415b978ddb368c0d1289.plex.direct @62.2.17.61

; <<>> DiG 9.16.1-Ubuntu <<>> -t A 192-168-0-35.625d406a00ac415b978ddb368c0d1289.plex.direct @62.2.17.61
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44227
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;192-168-0-35.625d406a00ac415b978ddb368c0d1289.plex.direct. IN A

;; ANSWER SECTION:
192-168-0-35.625d406a00ac415b978ddb368c0d1289.plex.direct. 86221 IN A 192.168.0.35

;; Query time: 15 msec
;; SERVER: 62.2.17.61#53(62.2.17.61)
;; WHEN: Mo Feb 20 20:22:36 CET 2023
;; MSG SIZE rcvd: 102`

korrekt. Man muss nur die richtigen DNS-Servern verwenden. Das EuroDOCSIS-Kabelmodem im Bridge-Modus betreiben, zwischen Heimnetzwerk und Internetanschluss eine ordentliche Hardware-Firewall hinstellen und kein Google-Schrott verwenden…

Irgendeines Tages wird auch UPC-Sunrise aus Sicherheitsgründen “DNS Rebinding Protection” auf ihren DNS-Servern aktivieren. Somit sollte bereits heute gemäss den Empfehlungen von Belegnor vorgegangen werden!