[sage] Suche DNS-Firewall oder speziellen DNS-Resolver
Thorsten Dahm
t.dahm at resolution.de
Mon Oct 21 15:17:47 CEST 2013
Hi Hartmut,
On 10/21/2013 01:31 PM, Hartmut Goebel wrote:
> Der Use-Case ist, DNS-Tunnel zu verhindern. Eigentlich sollen deswegen
> alle Geräte über einen Proxy nach außen, aber einige Software mag das
> nicht (war eine längere Diskussion). Darum sollen *einzelne* Server
> *einzelne* Records für *einzelne* externe FQDNs auflösen können.
ganz ohne Wertung, aufgrund meiner Erfahrung im Security-Bereich: Tunnel
(egal ob es DNS-Tunnel sind, HTTP-Tunnel, ICMP-Tunnel, ...) zu blocken
ist extrem schwierig. Besonders wenn Du dafür sorgen willst/mußt, das
nicht der Proxy selbst zum Angriffsziel werden kann. Eine einzelne
Tunnel-Methode zu sperren ist auch IMHO recht sinnlos, jeder der nach
außen tunneln will wird sowieso mehrere Methoden & Protokolle
ausprobieren. Im folgenden rede ich allgemein über Tunnel, nicht
DNS-Tunnel im speziellen.
Die beste Möglichkeit, das Problem anzugehen, ist auf den Host selbst,
nicht im Netzwerk. Wenn Du die Sockets auf dem Server kontrollieren
kannst, die installierten Pakete usw., wenn es also auf den Hosts
keinerlei Möglichkeit gibt, Tunnel-Software zu installieren und/oder
auszuführen, hast Du mehr gewonnen als mit einem DNS-Setup wie Du es
beschrieben hast.
Billig ist das ganze auch nicht, wenn wir mal vom simplen DNS-Tunnel
weggehen und uns Tunnel im Allgemeinen ansehen. Da kann man schnell mal
einige Millionen verbrennen beim Versuch, Tunnel-Technologien im eigenen
Netz zu unterbinden ohne die erlaubte Kommunikation in irgendeiner Weise
zu stören (je nach Größe des Netzes).
Wenn Du Dich für den aktuellen Stand der Tunnel-Technologie
interessierst, sprich' mal mit den Tor-Leuten. Tor muß logischerweise in
der Lage sein, durch die staatliche Zensur von China, Iran, ... und
allen möglichen Heim- und Firmennetzen zu tunneln, um sinnvoll für die
User zu sein. Das ist ein Katz und Maus Spiel.
http://events.ccc.de/congress/2012/Fahrplan/events/5306.en.html
http://anonymous.livelyblog.com/2013/01/05/29c3-the-tor-software-ecosystem/
Selbst Länder wie Iran und China oder die Araber können Tunnel nicht
verhindern, und die stecken da sehr viel Geld rein (siehe oben). Wenn
Deine Firma das also wirklich ernst meint und es auf Netzwerk-Seite
machen will (und auch wirklich in der Lage sein will, Tunnel effektiv zu
verhindern), dann werdet ihr einiges an Geld in das Problem reinstecken
müssen, evtl. sogar mehr als die restliche IT an Budget hat.
Gruß,
Thorsten
More information about the SAGE
mailing list