» Synology DNS Server einrichten um NAT Loopback zu verhindern

mgutt · 11.04.2014, 19:11

Wenn das geklappt hat, wissen wir, dass der DNS Server ordnungsgemäß funktioniert. Nun machen wir unsere Netzwerkeinstellung rückgängig. D.h. DNS-Serveradresse wieder auf automatisch stellen. In dem Fall beantwortet die Fritz!Box wieder alle DNS Anfragen.

programmierer-forum.de · Gast

Mach mit!

Wenn Dir die Beiträge zum Thread "Synology DNS Server einrichten um NAT Loopback zu verhindern" gefallen haben oder Du noch Fragen hast oder Ergänzungen machen möchtest, solltest Du Dich gleich bei uns anmelden:

Registrierte Mitglieder genießen die folgenden Vorteile:
✔ kostenlose Mitgliedschaft
✔ keine Werbung
✔ direkter Austausch mit Gleichgesinnten
✔ neue Fragen stellen oder Diskussionen starten
✔ schnelle Hilfe bei Problemen
✔ Bilder und Videos hochladen
✔ und vieles mehr...

Autor	Nachricht
mgutt Administrator Name: Marc Geschlecht: Anmeldedatum: 28.08.2004 Beiträge: 52423 Wohnort: Lohmar Meine eBay-Auktionen:	11.04.2014, 19:11 zitieren Wenn das geklappt hat, wissen wir, dass der DNS Server ordnungsgemäß funktioniert. Nun machen wir unsere Netzwerkeinstellung rückgängig. D.h. DNS-Serveradresse wieder auf automatisch stellen. In dem Fall beantwortet die Fritz!Box wieder alle DNS Anfragen. 2014-04-11 21_11_12-Eigenschaften von Internetprotokoll Version 4 (TCP_IPv4).png - [Bild vergrößern] Gefällt mir Teilen twittern Verfasst am: 11.04.2014, 19:13 zitieren Nun machen wir uns an die Fritz!Box. Die beantwortet ja nicht selbst die DNS Anfragen, sondern leitet sie auch nur weiter an den DNS von Eurem Provider: 2014-04-11 21_12_48-FRITZ!Box.png - [Bild vergrößern] Verfasst am: 11.04.2014, 19:15 zitieren Das wollen wir natürlich nicht. Wir hinterlegen also in der Fritz!Box die IP vom NAS. Das geht unter Internet -> Zugangsdaten (evtl. unten die erweiterte Ansicht erst aktivieren): 2014-04-11 21_15_16-FRITZ!Box.png - [Bild vergrößern] Verfasst am: 11.04.2014, 19:24 zitieren Im Grunde könnte jetzt alles laufen, aber wenn Ihr nun einen Ping auf Eure DDNS Domain vom NAS versucht, wird sie scheitern. Das liegt am DNS Rebinding Schutz der Fritz!Box: http://service.avm.de/support/de/SKB/FRITZ-Box-7390/663:DNS-Aufloesung-privater-IP-Adressen-nicht-moeglich Dieser verhindert, dass Domains auf lokale IPs aufgelöst werden können. Das Angriffszenario hat Heise mal beschrieben: DNS-Rebinding - Heise Online http://www.heise.de/security/artikel/Angepinnt-271004.html ZitatSchafft es ein Angreifer, die Namensauflösung zu manipulieren, so kann er seine Skripte etwa im Kontext eines Unternehmensnetzes laufen lassen und interne Strukturen ausspionieren. Bei dieser DNS-Rebinding genannten Attacke muss der Angreifer einen Nameserver kontrollieren können. Zusätzlich muss er sein Opfer auf eine Webseite (http://www.example.com) locken, die das schädliche JavaScript enthält. Bei der ersten DNS-Anfrage des Browser liefert der vom Angreifer kontrollierte Nameserver die offizielle Adresse seines Servers zurück und der Browser lädt die Seite mit dem Skript. Allerdings hat der Angreifer seine Antwort im Time-To-Live-Feld als nur für kurze Zeit gültig markiert. Nach der ersten Anfrage ändert er im Nameserver die IP-Adresse für http://www.example.com auf eine Adresse im Netzwerk seines Opfers, beispielsweise 192.168.2.1. Alle folgenden Anfragen des Browser beantwortet der Nameserver mit dieser Adresse. Für ein laufendes JavaScript hat sich indes nichts geändert, der Servername ist derselbe, der Port und das Protokoll ebenfalls. Allerdings ist das Skript nun in der Lage, mit dem unter der Adresse 192.168.2.1 residierendem Gateway oder Server zu kommunizieren oder auf bereits geöffnete Seiten im Browser von diesem Server zuzugreifen und Inhalte zu manipulieren. Dieses einfache Angriffsszenario funktioniert in der Realität jedoch nicht so ohne Weiteres, da Browser die Zuordnung von Name zu IP-Adresse über den gesamten Verlauf einer Session cachen, egal was im TTL-Feld steht. Wie man sieht, ist so ein Angriff recht kompliziert. Eine Voraussetzung ist schon mal, dass der vom Opfer genutzte DNS Server durch den Angreifer kontrolliert wird. Ich denke aber wenn das der Fall ist, hat er schon Zugriff auf die Fritz!Box und damit wäre sowieso schon alles zu spät. Aber wir wollen den Schutz auch gar nicht vollständig abschalten. Nur für die DDNS Domain des NAS. Ich betone aber, dass das jeder auf seine eigene Gefahr macht, weil ich das Sicherheitsrisiko nicht wirklich bewerten kann. Dazu einfach in der Fritz!Box unter Heimnetz -> Netzwerkeinstellungen -> DNS Rebinding-Schutz als Ausnahme "nas.example.org" eintragen: Tipp: Man kann auch einfach nur die Domain eingeben. Also "example.org". Dann gilt die Ausnahme für die gesamte Domain inkl. aller Subdomains. 2014-04-11 21_23_50-FRITZ!Box.png - [Bild vergrößern] 2x bearbeitet Verfasst am: 11.04.2014, 19:28 zitieren Jetzt könnt Ihr den Ping auf nas.example.org wiederholen. Sollte hier nun die Auflösung erfolgen, aber nicht die lokale 192.168.178.10 erscheinen, dann heißt das in der Regel nur, dass der TTL noch besteht. D.h. nicht Euer NAS beantwortet die Anfrage, sondern irgendein Cache. Entweder von Eurem PC oder von der Fritz!Box. Wer es eilig hat, kann die Fritz!Box neu starten und am PC kann man den folgenden Befehl in der Kommandozeile probieren: `ipconfig /flushdns` Ansonsten den TTL abwarten. Euer DDNS Service hat in der Regel 5 Minuten eingestellt. 2014-04-11 21_27_08-Antwort schreiben - Programmierer Forum - C++, PHP, Java & VBA.png - [Bild vergrößern] 1x bearbeitet Verfasst am: 11.04.2014, 19:30 zitieren Wenn Ihr nun zu Hause mit Eurer Fritz!Box verbunden seid, dann wird die Domain nas.example.org mit der lokalen IP aufgelöst. Das NAT Loopback der Fritz!Box wird umgangen. Ihr könnt mit voller Geschwindigkeit ohne Belastung des Routers Dateien übertragen. Seid ihr dagegen unterwegs, so antwortet der öffentliche DNS Server mit der öffentlichen IP. Auch hier gibt es keine Überlastung des Routers (klingt komisch, ist aber so). Bei Fragen, einfach fragen.
▲	pn email

programmierer-forum.de Gast	11.04.2014, 19:30 zitieren Mach mit! Wenn Dir die Beiträge zum Thread "Synology DNS Server einrichten um NAT Loopback zu verhindern" gefallen haben oder Du noch Fragen hast oder Ergänzungen machen möchtest, solltest Du Dich gleich bei uns anmelden: Registrierte Mitglieder genießen die folgenden Vorteile: ✔ kostenlose Mitgliedschaft ✔ keine Werbung ✔ direkter Austausch mit Gleichgesinnten ✔ neue Fragen stellen oder Diskussionen starten ✔ schnelle Hilfe bei Problemen ✔ Bilder und Videos hochladen ✔ und vieles mehr...
▲

	Re: √	Letzter Beitrag
OpenVPN Server unter OSX einrichten Moin, nachdem mgutt aktuell versucht eine VPN Verbindung zwischen Windows PC und Raspberry PI einzurichten. Habe ich mir gedacht ich versuche jetzt einfach mal einen Server auf meinem MacBook Pro mit OSX 10.10 zum laufen zu bringen. Also loslegen und... von DrehstuhlRanger	1 195	06.08.2014, 18:06 DrehstuhlRanger
Mediawiki-Installation auf Synology Server läuft nicht mehr Mediawiki 1.34 neueste Synologysoftware mit Mariadb.... Ich habe schon einige Zeit das Problem, dass sich mein MediaWiki überhaupt nicht mehr öffnet, wenn ich darauf zugreifen will: Deswegen habe ich nun die neueste stabile Version in mein... von pingo	2 484	04.05.2020, 15:26 pingo
Werkstatt einrichten!!! Servus........ :!: :!: Leute mal ne Frage...... Wenn man eine Auto- Werkstatt einrichtet, auf was sollte man achten und welches Werkzeug wird/sollte man sich anschaffen??? :roll: :roll: Last mal alles hören was euch so einfällt!!!! :hrhr:... von SM712	4 3.592	31.05.2008, 18:20 MAG
Zusätzliche SSD, wie einrichten Moin zusammen, zunächst mal, mir fiel kein besserer Titel ein, sorry dafür :) Kurz zur Situation: Ich habe eine SSD (C:, Standart NTFS läuft W10 drauf) und habe diese um eine weitere SSD erweitert. BIOS erkennt die Platte ohne Probleme, aber muss das... von dealink	2 168	19.08.2017, 11:51 dealink
W-LAN Netzwerk einrichten??? Grüßt euch......... hät ma ne frage an die computer spezialisten unter euch....... und würd ich gerne von meinem pc auf daten von einem anderen pc in unserem haus zugreifen können.......und umgekehrt....... kann mir jemand erklären wie man das... von Hatchrob	12 1.274	05.10.2005, 11:59 cordlesssnake
ich brauch hilfe zum netzwerk einrichten nabend zusammen, wie richte ich ein netzwerk ein? also so in groben und ganzen hab ich das verstanden! nur an mein pc ist nur ein netzwerk steckplatz und nicht 2! was ich vor habe ist ganz einfach! mein neuen lapi mit dem pc verbinden so das ich... von dbmaster	5 476	18.01.2008, 22:27 Blank86
Neu im Büro: Synology NAS DS213+ Nachdem ich in Sachen Datensicherung ja auf ein feuerfestes USB Laufwerk gekommen bin, bemerkte ich schnell, dass das doch nicht so toll ist, wenn man die gespeicherten Dateien nicht im Heimnetzwerk freigeben kann, um z.B. Bilder, Musik und Videos... von mgutt	18 6.592	13.04.2016, 11:24 mgutt
Synology NAS: SMS Benachrichtigung mit SMSTrade.de Hier was ich gemacht habe, damit man sich per SMS über http://www.smstrade.de/ benachrichtigen lassen kann. Zuerst registriert man sich bei SMS Trade und wechselt auf den Tab "Schnittstellen". Dort findet man den Gateway Key und klickt man... [Allgemein]von mgutt	4 1.786	27.01.2016, 10:04 mgutt
Domain auf Synology NAS verweisen Hallo, ich möchte, dass meine Firmenhomepage uneingeschränkt auf meine Wordpress-Homepage auf der Synology umgeleitet wird. Die normale Weiterleitung sieht das nicht vor. Es wird dann der DDNS-Name meiner Synology in der Adresszeile aufgerufen. Eine... [Allgemein]von mtcollin	6 2.029	26.07.2023, 22:13 schmidho
VPN Tunnel innerhalb beliebigem WLAN einrichten? Hi, man kann ja bekanntlich "abgehört" werden, egal ob man nun in einem ungesicherten oder verschlüsselten WLAN unterwegs ist. Einzige Voraussetzung ist, dass der Angreifer im gleichen Netzwerk unterwegs ist. Nun könnte es sein, dass ich... von mgutt	5 1.233	25.01.2011, 14:31 mgutt