accessviolation
Goto Top

Spoofen von FQDN über eigenem DNS Server

Hallo zusammen,

ich möchte für einen externen (internen) Dienst nicht unseren internen FQDN exposen. Gibt es eine Möglichkeit den FQDN zu spoofen über den selbstgemanagten Win-DNS-Server?

FQDN: firma.tld
gewünschter Spoof: asdf.abc

Kann man da was zusammenmurksen?

Nach Sinnhaftigkeit frage ich nicht face-smile

Danke und Grüße,
aV

Edit: wichtige Angaben ergänzt

Content-Key: 61404042488

Url: https://administrator.de/contentid/61404042488

Printed on: May 23, 2024 at 01:05 o'clock

Member: SlainteMhath
SlainteMhath May 15, 2024 at 09:55:24 (UTC)
Goto Top
Moin,

idk ob ich das richtig verstanden habe was du vorhast. In etwa so:

1. Domain kaufen
2. NS = eigene DNS Server
3. A-Record auf eigene IP zeigen lassen
4. ???
5. Profit

?

lg,
Slainte
Member: hempel
Solution hempel May 15, 2024 updated at 10:19:02 (UTC)
Goto Top
FQDN: firma.tld
gewünschter Spoof: asdf.abc
Mit eigener DNS-Zone mit leerem A-Record den der Client nutzt oder per DNAT Port 53 umgeleitet wurde, ja kann man, aber spätestens beim ungültigen Zertifikat (CN passt nicht zum Hostheader wird es auffallen, falls man keine eigene CA nutzt die auf am Client als vertrauenswürdig hinterlegt ist und das Cert des Ziel-Hosts per https proxy faked).

Gruß
Member: maretz
Solution maretz May 15, 2024 at 10:02:36 (UTC)
Goto Top
du kannst auch einfach ne "zone" (ich vermute mal win-dns) anlegen, die du eben asdf.abc nennst, da drin nur _einen_ Eintrag ohne hostname und nur die IP... schon glaubt dein DNS das der genau dafür auch zuständig ist und löst das auf... das ganze funktioniert natürlich _NUR_ wenn die auch deinen DNS Server nutzen... wenn du das ganze z.B. mittels administrator.de macht würde das zwar bei DIR gehen, aber natürlich würde jeder andere Rechner der Welt das ignorieren weil du den Eintrag nirgends hochladen kannst...

Und ob das ganze klappt hängt noch von vielen anderen Faktoren ab - zB. ob dein Browser nich mal wieder meint er kann selbst nen "secure-dns" machen,...
Member: accessViolation
accessViolation May 15, 2024 updated at 10:20:47 (UTC)
Goto Top
Oh, ich hätte nun mit shitstorm gerechnet, ..

Mit eigenem A-Record oder CNAME
War mein erster Ansatz, klappt nicht, wie ich das möchte.

ungültigen Zertifikat
Vollkommen egal, da nur für intern.

du kannst auch einfach ne "zone"
Das probiere ich, klingt nach einem guten Wink.

Danke euch! Ich berichte nochmal face-smile

Viele Grüße,
aV

Edit: ein ♥-chen für alle Mitdenkenden
Member: hempel
Solution hempel May 15, 2024 updated at 10:35:52 (UTC)
Goto Top
Zitat von @accessViolation:
Mit eigenem A-Record oder CNAME
War mein erster Ansatz, klappt nicht, wie ich das möchte.

Doch in einer neuen Zone für den FQDN natürlich anders macht das ja keinen Sinn face-smile.

screenshot

Powershell
Add-DnsServerPrimaryZone -DynamicUpdate None -Name xyz.de -ReplicationScope Domain
Add-DnsServerResourceRecordA -ZoneName xyz.de -Name "@" -IPv4Address 1.2.3.4  
Member: accessViolation
accessViolation May 15, 2024 at 10:23:56 (UTC)
Goto Top
Doch in einer neuen Zone für den FQDN natürlich anders macht das ja keinen Sinn face-smile.
Ahh, ja, das hatte ich nicht probiert. Dankeschöööön face-smile

Hole ich nachm Mittagsmampf nach face-smile
Member: accessViolation
accessViolation May 15, 2024 at 10:35:29 (UTC)
Goto Top
Stark - das wuppt!

Ich bin so dankbar um euch!

Herzlichen Dank! face-smile