Browser geblokkeerd in firewall wisselt informatie uit met DNS-server?

Windows, Android, iOS, Linux, Chrome OS, ...
Plaats reactie
TomMe
Plus Member
Plus Member
Berichten: 151
Lid geworden op: 24 nov 2006, 15:19
Uitgedeelde bedankjes: 15 keer
Bedankt: 4 keer

Situatieschets:

Ik heb Firefox geblokkeerd in mijn Windows (7) firewall. Echter, wanneer ik Firefox open en naar een website ga (bv. duckduckgo.com) wordt er (als ik het log van mijn firewall correct begrijp) verbinding gemaakt met een DNS-server (in mijn geval OpenDNS):

Code: Selecteer alles

2019-03-31 12:51:50 ALLOW UDP 192.168.178.51 208.67.222.222 59671 53 0 - - - - - - - SEND
2019-03-31 12:51:50 DROP TCP 192.168.178.51 79.125.105.113 49938 443 0 - 0 0 0 - - - SEND
2019-03-31 12:51:50 DROP TCP 192.168.178.51 46.51.179.90 49939 443 0 - 0 0 0 - - - SEND
2019-03-31 12:51:50 ALLOW UDP 192.168.178.51 208.67.222.222 55740 53 0 - - - - - - - SEND
2019-03-31 12:51:50 DROP TCP 192.168.178.51 176.34.155.23 49940 443 0 - 0 0 0 - - - SEND
208.67.222.222 is van OpenDNS. 79.125.105.113, 46.51.179.90 en 176.34.155.23 zijn van duckduckgo.com.

Dus via mijn browser kan ik geen verbinding maken met het internet, maar toch wordt er informatie uitgewisseld met OpenDNS om te vragen welk IP-adres de website heeft die ik probeer te bezoeken. Dit vind ik toch maar raar.. Is er hier iemand die mij kan uitleggen hoe dat komt?
Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 2417
Lid geworden op: 14 nov 2008, 08:22
Twitter: KrSi78
Locatie: Brugge
Uitgedeelde bedankjes: 208 keer
Bedankt: 152 keer

Het is m.i. niet Firefox die de DNS-aanvraag doet maar het onderliggende besturingssysteem.
Computer(k)nul
ITnetadmin
Elite Poster
Elite Poster
Berichten: 8445
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 164 keer
Bedankt: 618 keer

Wiresharken en kijken welke request hij stuurt.
TomMe
Plus Member
Plus Member
Berichten: 151
Lid geworden op: 24 nov 2006, 15:19
Uitgedeelde bedankjes: 15 keer
Bedankt: 4 keer

Sinna schreef:Het is m.i. niet Firefox die de DNS-aanvraag doet maar het onderliggende besturingssysteem.
Is dat niet één of ander security issue?
ITnetadmin schreef:Wiresharken en kijken welke request hij stuurt.
Waarschijnlijk wordt er gevraagd wat het IP is van duckduckgo.com? Ik zal zien of ik dat programma eens aan de praat krijg..
idur
Starter
Starter
Berichten: 15
Lid geworden op: 31 maa 2019, 13:09
Uitgedeelde bedankjes: 2 keer
Bedankt: 2 keer

TomMe schreef:
Sinna schreef:Het is m.i. niet Firefox die de DNS-aanvraag doet maar het onderliggende besturingssysteem.
Is dat niet één of ander security issue?
Waar zie je een beveiligingsprobleem? Lekken van gegevens van interne DNS-servers is volgens mij geen probleem: het programma kan DNS-verzoeken doen, maar vervolgens kan het geen verbindingen maken om dit te lekken.
TomMe schreef:
ITnetadmin schreef:Wiresharken en kijken welke request hij stuurt.
Waarschijnlijk wordt er gevraagd wat het IP is van duckduckgo.com? Ik zal zien of ik dat programma eens aan de praat krijg..
Wireshark toont bij mijn weten geen informatie over welk programma bij het netwerkverkeer hoort.
TomMe
Plus Member
Plus Member
Berichten: 151
Lid geworden op: 24 nov 2006, 15:19
Uitgedeelde bedankjes: 15 keer
Bedankt: 4 keer

idur schreef:Waar zie je een beveiligingsprobleem? Lekken van gegevens van interne DNS-servers is volgens mij geen probleem: het programma kan DNS-verzoeken doen, maar vervolgens kan het geen verbindingen maken om dit te lekken.
OpenDNS zit toch niet op mijn "intern" netwerk? Misschien begrijp ik je verkeerd met mijn beperkte kennis.. Echter vind ik het wel vreemd dat mijn firewall blijkbaar toch niet ALLES vanuit Firefox blokkeert, ook al heb ik dat zo ingesteld.
GuntherDW
Elite Poster
Elite Poster
Berichten: 1139
Lid geworden op: 11 mei 2007, 14:00
Locatie: zwijndrecht
Uitgedeelde bedankjes: 12 keer
Bedankt: 78 keer
Contacteer:

Tenzij firefox hun eigen DNS resolver gaat implementen (zie ik nog niet gebeuren) vraagt het gewoon inderdaad aan het onderliggende OS (voor zover ik weet) voor een record te resolven.

Je kan dit min of meer oplossen door wat te tweaken in je advanced settings (AKA about:config), maar het is niet aangeraden van dit te doen als je al niet weet waarom je DNS requests "leakt".

Indien je dit dus instelt ga je dus DNS over HTTPS instellen, waardoor Firefox zelf z'n DNS requests "afhandelt", maar is niet het antwoord op je vraag natuurlijk.

Je kan vrij makkelijk zien dat het je OS z'n DNS resolving functies gebruikt door oude netbios namen of hosts uit je etc/hosts te gebruiken.

https://en.wikipedia.org/wiki/DNS_leak
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 4578
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 58 keer
Bedankt: 446 keer

wat bij mij een beetje vreemd overkomt is dat je firefox (een browser dus) gaat installeren, en vervolgens wil blokkeren,
zodat je er niet meer mee kan... browsen?

is een kortere oplossing naar je ""probleem" dan niet gewoon firefox van de computer afgooien, en desgewenst een policy erop zetten dat je niet zomaar dingen kan installeren?
GuntherDW
Elite Poster
Elite Poster
Berichten: 1139
Lid geworden op: 11 mei 2007, 14:00
Locatie: zwijndrecht
Uitgedeelde bedankjes: 12 keer
Bedankt: 78 keer
Contacteer:

Ik denk eerder dat het een hypothetical scenario is waar hij mee worstelt, niet dat hij perse firefox 100% wil blokkeren.
idur
Starter
Starter
Berichten: 15
Lid geworden op: 31 maa 2019, 13:09
Uitgedeelde bedankjes: 2 keer
Bedankt: 2 keer

TomMe schreef:
idur schreef:Waar zie je een beveiligingsprobleem? Lekken van gegevens van interne DNS-servers is volgens mij geen probleem: het programma kan DNS-verzoeken doen, maar vervolgens kan het geen verbindingen maken om dit te lekken.
OpenDNS zit toch niet op mijn "intern" netwerk? Misschien begrijp ik je verkeerd met mijn beperkte kennis.. Echter vind ik het wel vreemd dat mijn firewall blijkbaar toch niet ALLES vanuit Firefox blokkeert, ook al heb ik dat zo ingesteld.
In het geval dat Firefox gegevens van publieke DNS-servers aanvraagt (via het OS), dan krijgt het alleen informatie die ook buiten jouw netwerk beschikbaar is. Gegevens zijn al publiek, dus is er geen sprake van een lek.

Als je wil voorkomen dat je computer een bepaalde DNS-query uitstuurt (bv. je wil niet dat er een query voor het A-record van http://www.example.com verstuurd wordt) dan kan je een truc toepassen.

Als Windows (of Linux, waarschijnlijk ook andere OS'en) een domeinnaam/computernaam terugvindt in het lokale hosts-bestand, dan zal het geen DNS-verzoek uitsturen, maar de entry uit dat bestand gebruiken. Als je daar een entry maakt voor 127.0.0.1 of een IP-adres uit je subnet dat niet gebruikt wordt, dan krijgen programma's dat IP als antwoord. Dit geldt dan wel voor alle programma's op je computer, niet alleen Firefox. UIteraard werkt dit ook alleen maar bij de specifieke domeinnamen die je in het hosts-bestand invult.

(EDIT: verduidelijken dat Firefox gegevens aanvraagt, maar niet zelf de DNS-servers bevraagt)
ITnetadmin
Elite Poster
Elite Poster
Berichten: 8445
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 164 keer
Bedankt: 618 keer

Hoe werkt DNS vanop je PC:
Bij een DNS request van een application op je PC, worden in volgorde gequeried:
1) de DNS cache, die geflushed wordt bij reboot of na een manual flush
2) de hosts file, die hardcoded DNS entries bevat
3) een externe DNS server, via het IP dat in de network settings gedefinieerd is

Dit wordt afgehandeld door de OS; blijkbaar blokkeert je software firewall enkel directe external connections van je browser, en geen indirecte.
TomMe
Plus Member
Plus Member
Berichten: 151
Lid geworden op: 24 nov 2006, 15:19
Uitgedeelde bedankjes: 15 keer
Bedankt: 4 keer

Ik wou nog maar even zeggen, bedankt aan allen voor de informatieve antwoorden. Wegens drukte even deze thread uit het oog verloren.. En het betreft inderdaad een hypothetisch scenario. Ik zag toevallig activiteit bij mijn LAN-adapter terwijl Firefox geblokkeerd was in mijn firewall en dat riep wat vraagtekens op. Hetzelfde gebeurt trouwens bij Chrome, en waarschijnlijk dus ook elk ander programma.
Gebruikersavatar
JamesEarlGray
Elite Poster
Elite Poster
Berichten: 1204
Lid geworden op: 24 aug 2017, 13:04
Uitgedeelde bedankjes: 64 keer
Bedankt: 99 keer

Nu is het aan een lollige 'hacker' om voor een eigen domein een nameserver te installeren, verschillende subdomeinen te definiëren en op de nameserver ook extra intelligentie toe te voegen die de aanvragen kan omvormen naar een informatiestroom. Bv: twee subdomeinen A en B, een aanvraag naar A betekent een nul en een aanvraag naar B betekent een één.

Nu kan je een trojan THANS geblokkeerd in de lokale firewall toch naar buiten laten communiceren, tenminste als dat malafide domein niet geblokkeerd is door een van de schakels in keten waarlangs de DNS-request van vertrekt.
GuntherDW
Elite Poster
Elite Poster
Berichten: 1139
Lid geworden op: 11 mei 2007, 14:00
Locatie: zwijndrecht
Uitgedeelde bedankjes: 12 keer
Bedankt: 78 keer
Contacteer:

Zo zijn er al langer manieren om traffic te encapsuleren. Heck er zijn zelfs (zeer trage obviously maargoed) IP over DNS mogelijkheden.
Indertijd (~10j terug) een tunnel opgezet voor een vriend van me zodat hij online kon in een hotel aangezien DNS requests gewoon unfiltered waren.

Het is nu wel al lang geleden maar ik denk dat het deze software was : https://code.kryo.se/iodine/
Plaats reactie

Terug naar “Software en apps”