Browser geblokkeerd in firewall wisselt informatie uit met DNS-server?

TomMe · 31 maa 2019, 13:11

Situatieschets:

Ik heb Firefox geblokkeerd in mijn Windows (7) firewall. Echter, wanneer ik Firefox open en naar een website ga (bv. duckduckgo.com) wordt er (als ik het log van mijn firewall correct begrijp) verbinding gemaakt met een DNS-server (in mijn geval OpenDNS):

Code: Selecteer alles

2019-03-31 12:51:50 ALLOW UDP 192.168.178.51 208.67.222.222 59671 53 0 - - - - - - - SEND
2019-03-31 12:51:50 DROP TCP 192.168.178.51 79.125.105.113 49938 443 0 - 0 0 0 - - - SEND
2019-03-31 12:51:50 DROP TCP 192.168.178.51 46.51.179.90 49939 443 0 - 0 0 0 - - - SEND
2019-03-31 12:51:50 ALLOW UDP 192.168.178.51 208.67.222.222 55740 53 0 - - - - - - - SEND
2019-03-31 12:51:50 DROP TCP 192.168.178.51 176.34.155.23 49940 443 0 - 0 0 0 - - - SEND

208.67.222.222 is van OpenDNS. 79.125.105.113, 46.51.179.90 en 176.34.155.23 zijn van duckduckgo.com.

Dus via mijn browser kan ik geen verbinding maken met het internet, maar toch wordt er informatie uitgewisseld met OpenDNS om te vragen welk IP-adres de website heeft die ik probeer te bezoeken. Dit vind ik toch maar raar.. Is er hier iemand die mij kan uitleggen hoe dat komt?

Sinna · 31 maa 2019, 13:27

Het is m.i. niet Firefox die de DNS-aanvraag doet maar het onderliggende besturingssysteem.

31 maa 2019, 20:57

Wiresharken en kijken welke request hij stuurt.

TomMe · 01 apr 2019, 20:15

Sinna schreef:Het is m.i. niet Firefox die de DNS-aanvraag doet maar het onderliggende besturingssysteem.

Is dat niet één of ander security issue?

ITnetadmin schreef:Wiresharken en kijken welke request hij stuurt.

Waarschijnlijk wordt er gevraagd wat het IP is van duckduckgo.com? Ik zal zien of ik dat programma eens aan de praat krijg..

idur · 01 apr 2019, 22:37

TomMe schreef:
Sinna schreef:Het is m.i. niet Firefox die de DNS-aanvraag doet maar het onderliggende besturingssysteem.
Is dat niet één of ander security issue?

Waar zie je een beveiligingsprobleem? Lekken van gegevens van interne DNS-servers is volgens mij geen probleem: het programma kan DNS-verzoeken doen, maar vervolgens kan het geen verbindingen maken om dit te lekken.

TomMe schreef:
ITnetadmin schreef:Wiresharken en kijken welke request hij stuurt.
Waarschijnlijk wordt er gevraagd wat het IP is van duckduckgo.com? Ik zal zien of ik dat programma eens aan de praat krijg..

Wireshark toont bij mijn weten geen informatie over welk programma bij het netwerkverkeer hoort.

TomMe · 06 apr 2019, 20:50

idur schreef:Waar zie je een beveiligingsprobleem? Lekken van gegevens van interne DNS-servers is volgens mij geen probleem: het programma kan DNS-verzoeken doen, maar vervolgens kan het geen verbindingen maken om dit te lekken.

OpenDNS zit toch niet op mijn "intern" netwerk? Misschien begrijp ik je verkeerd met mijn beperkte kennis.. Echter vind ik het wel vreemd dat mijn firewall blijkbaar toch niet ALLES vanuit Firefox blokkeert, ook al heb ik dat zo ingesteld.

GuntherDW · 06 apr 2019, 21:41

Tenzij firefox hun eigen DNS resolver gaat implementen (zie ik nog niet gebeuren) vraagt het gewoon inderdaad aan het onderliggende OS (voor zover ik weet) voor een record te resolven.

Je kan dit min of meer oplossen door wat te tweaken in je advanced settings (AKA about:config), maar het is niet aangeraden van dit te doen als je al niet weet waarom je DNS requests "leakt".

Indien je dit dus instelt ga je dus DNS over HTTPS instellen, waardoor Firefox zelf z'n DNS requests "afhandelt", maar is niet het antwoord op je vraag natuurlijk.

Je kan vrij makkelijk zien dat het je OS z'n DNS resolving functies gebruikt door oude netbios namen of hosts uit je etc/hosts te gebruiken.

https://en.wikipedia.org/wiki/DNS_leak

Splitter · 06 apr 2019, 22:22

wat bij mij een beetje vreemd overkomt is dat je firefox (een browser dus) gaat installeren, en vervolgens wil blokkeren,
zodat je er niet meer mee kan... browsen?

is een kortere oplossing naar je ""probleem" dan niet gewoon firefox van de computer afgooien, en desgewenst een policy erop zetten dat je niet zomaar dingen kan installeren?

GuntherDW · 06 apr 2019, 22:36

Ik denk eerder dat het een hypothetical scenario is waar hij mee worstelt, niet dat hij perse firefox 100% wil blokkeren.

idur · 07 apr 2019, 11:50

TomMe schreef:
idur schreef:Waar zie je een beveiligingsprobleem? Lekken van gegevens van interne DNS-servers is volgens mij geen probleem: het programma kan DNS-verzoeken doen, maar vervolgens kan het geen verbindingen maken om dit te lekken.
OpenDNS zit toch niet op mijn "intern" netwerk? Misschien begrijp ik je verkeerd met mijn beperkte kennis.. Echter vind ik het wel vreemd dat mijn firewall blijkbaar toch niet ALLES vanuit Firefox blokkeert, ook al heb ik dat zo ingesteld.

In het geval dat Firefox gegevens van publieke DNS-servers aanvraagt (via het OS), dan krijgt het alleen informatie die ook buiten jouw netwerk beschikbaar is. Gegevens zijn al publiek, dus is er geen sprake van een lek.

Als je wil voorkomen dat je computer een bepaalde DNS-query uitstuurt (bv. je wil niet dat er een query voor het A-record van http://www.example.com verstuurd wordt) dan kan je een truc toepassen.

Als Windows (of Linux, waarschijnlijk ook andere OS'en) een domeinnaam/computernaam terugvindt in het lokale hosts-bestand, dan zal het geen DNS-verzoek uitsturen, maar de entry uit dat bestand gebruiken. Als je daar een entry maakt voor 127.0.0.1 of een IP-adres uit je subnet dat niet gebruikt wordt, dan krijgen programma's dat IP als antwoord. Dit geldt dan wel voor alle programma's op je computer, niet alleen Firefox. UIteraard werkt dit ook alleen maar bij de specifieke domeinnamen die je in het hosts-bestand invult.

(EDIT: verduidelijken dat Firefox gegevens aanvraagt, maar niet zelf de DNS-servers bevraagt)

08 apr 2019, 01:55

Hoe werkt DNS vanop je PC:
Bij een DNS request van een application op je PC, worden in volgorde gequeried:
1) de DNS cache, die geflushed wordt bij reboot of na een manual flush
2) de hosts file, die hardcoded DNS entries bevat
3) een externe DNS server, via het IP dat in de network settings gedefinieerd is

Dit wordt afgehandeld door de OS; blijkbaar blokkeert je software firewall enkel directe external connections van je browser, en geen indirecte.

TomMe · 26 apr 2019, 19:30

Ik wou nog maar even zeggen, bedankt aan allen voor de informatieve antwoorden. Wegens drukte even deze thread uit het oog verloren.. En het betreft inderdaad een hypothetisch scenario. Ik zag toevallig activiteit bij mijn LAN-adapter terwijl Firefox geblokkeerd was in mijn firewall en dat riep wat vraagtekens op. Hetzelfde gebeurt trouwens bij Chrome, en waarschijnlijk dus ook elk ander programma.

JamesEarlGray · 26 apr 2019, 20:15

Nu is het aan een lollige 'hacker' om voor een eigen domein een nameserver te installeren, verschillende subdomeinen te definiëren en op de nameserver ook extra intelligentie toe te voegen die de aanvragen kan omvormen naar een informatiestroom. Bv: twee subdomeinen A en B, een aanvraag naar A betekent een nul en een aanvraag naar B betekent een één.

Nu kan je een trojan THANS geblokkeerd in de lokale firewall toch naar buiten laten communiceren, tenminste als dat malafide domein niet geblokkeerd is door een van de schakels in keten waarlangs de DNS-request van vertrekt.

GuntherDW · 27 apr 2019, 03:39

Zo zijn er al langer manieren om traffic te encapsuleren. Heck er zijn zelfs (zeer trage obviously maargoed) IP over DNS mogelijkheden.
Indertijd (~10j terug) een tunnel opgezet voor een vriend van me zodat hij online kon in een hotel aangezien DNS requests gewoon unfiltered waren.

Het is nu wel al lang geleden maar ik denk dat het deze software was : https://code.kryo.se/iodine/