DNS Tunnel entdeckt

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
mrHS
Beiträge: 35
Registriert: 12 Okt 2019, 09:49

DNS Tunnel entdeckt

Beitrag von mrHS »

Hallo,

im Syslog sehe ich z.B. diese Meldung:

Code: Alles auswählen

2022-08-19 06:08:15 	LOCAL3 	Alarm 	detected possible DNS tunnel, originating by host 192.168.x.x (filtered) 
Was bedeutet das denn genau? Die IP-Adresse ist mein iPhone. Wieso versucht das einen DNS Tunnel aufzubauen?

Vielen Dank
DanLo
Beiträge: 65
Registriert: 08 Jan 2019, 12:44

Re: DNS Tunnel entdeckt

Beitrag von DanLo »

Wenn du herausfinden willst, warum dein Telefon einen DNS Tunnel aufbauen will, dann wäre vermutlich ein Forum für besagtes Telefon eine vielversprechendere Anlaufstelle.
mrHS
Beiträge: 35
Registriert: 12 Okt 2019, 09:49

Re: DNS Tunnel entdeckt

Beitrag von mrHS »

Das ist natürlich richtig.
Mittlerweile sehe ich im Syslog aber mehrere solcher Meldungen von allen möglichen Geräten, auch von meinem Laptop.

Da ich erst vor zwei Tagen den Router von 10.32 auf 10.50 geupdatet habe und ich diese Meldung vorher nie gesehen habe, frage ich mich, ob das eine neue Funktion ist oder ob die Meldungen jetzt anders gehandhabt werden.

Was bedeutet die Meldung denn eigentlich genau?
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: DNS Tunnel entdeckt

Beitrag von Dr.Einstein »

https://www.lancom-systems.de/fileadmin ... ual_DE.pdf

20.2.6 DNS-Filter für DNS-Datentunnel
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: DNS Tunnel entdeckt

Beitrag von backslash »

Hi mrHS,

das Ganze ist eine Heuristik - es kann also auch Fehlalarme geben.

Du kannst ja mal einen DNS-Trace laufen lassen bis eine Anfrage deines Telefons den Alarm auslöst. Wenn in der Antwort mehr als "Adress-Limit" A- oder AAAA-Records mit einer TTL kleiner als die Minimum-TTL ist, dann kannst du das "Adress-Limit" entsprechend hochsetzen um den Fehlalarm zu unterdrücken.

Du kannst den Filter natürlich auch komplett abschalten...

Gruß
Backslash
mrHS
Beiträge: 35
Registriert: 12 Okt 2019, 09:49

Re: DNS Tunnel entdeckt

Beitrag von mrHS »

Ah ok, vielen Dank für eure Antworten.

Zum Thema Trace: Wie mache ich das genau? Kann ich das über die Weboberfläche machen oder brauche ich dazu ein Windows-Gerät mit LanConfig?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: DNS Tunnel entdeckt

Beitrag von backslash »

Hi mrHS

die Weboberfläche enthält das gleiche wie LANconfig...

Du kanst das natürlich auch auf dem CLI unter /setup/dns/tunnel-filter einstellen...

Gruß
Backslash
Antworten