9697748851
15.05.2024, aktualisiert am 17.05.2024
1035
7
0
Spoofen von FQDN über eigenem DNS Server
Hallo zusammen,
ich möchte für einen externen (internen) Dienst nicht unseren internen FQDN exposen. Gibt es eine Möglichkeit den FQDN zu spoofen über den selbstgemanagten Win-DNS-Server?
FQDN: firma.tld
gewünschter Spoof: asdf.abc
Kann man da was zusammenmurksen?
Nach Sinnhaftigkeit frage ich nicht
Danke und Grüße,
aV
Edit: wichtige Angaben ergänzt
ich möchte für einen externen (internen) Dienst nicht unseren internen FQDN exposen. Gibt es eine Möglichkeit den FQDN zu spoofen über den selbstgemanagten Win-DNS-Server?
FQDN: firma.tld
gewünschter Spoof: asdf.abc
Kann man da was zusammenmurksen?
Nach Sinnhaftigkeit frage ich nicht
Danke und Grüße,
aV
Edit: wichtige Angaben ergänzt
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 61404042488
Url: https://administrator.de/contentid/61404042488
Ausgedruckt am: 22.11.2024 um 00:11 Uhr
7 Kommentare
Neuester Kommentar
Moin,
idk ob ich das richtig verstanden habe was du vorhast. In etwa so:
1. Domain kaufen
2. NS = eigene DNS Server
3. A-Record auf eigene IP zeigen lassen
4. ???
5. Profit
?
lg,
Slainte
idk ob ich das richtig verstanden habe was du vorhast. In etwa so:
1. Domain kaufen
2. NS = eigene DNS Server
3. A-Record auf eigene IP zeigen lassen
4. ???
5. Profit
?
lg,
Slainte
1
FQDN: firma.tld
gewünschter Spoof: asdf.abc
Mit eigener DNS-Zone mit leerem A-Record den der Client nutzt oder per DNAT Port 53 umgeleitet wurde, ja kann man, aber spätestens beim ungültigen Zertifikat (CN passt nicht zum Hostheader wird es auffallen, falls man keine eigene CA nutzt die auf am Client als vertrauenswürdig hinterlegt ist und das Cert des Ziel-Hosts per https proxy faked).gewünschter Spoof: asdf.abc
Gruß
2
du kannst auch einfach ne "zone" (ich vermute mal win-dns) anlegen, die du eben asdf.abc nennst, da drin nur _einen_ Eintrag ohne hostname und nur die IP... schon glaubt dein DNS das der genau dafür auch zuständig ist und löst das auf... das ganze funktioniert natürlich _NUR_ wenn die auch deinen DNS Server nutzen... wenn du das ganze z.B. mittels administrator.de macht würde das zwar bei DIR gehen, aber natürlich würde jeder andere Rechner der Welt das ignorieren weil du den Eintrag nirgends hochladen kannst...
Und ob das ganze klappt hängt noch von vielen anderen Faktoren ab - zB. ob dein Browser nich mal wieder meint er kann selbst nen "secure-dns" machen,...
Und ob das ganze klappt hängt noch von vielen anderen Faktoren ab - zB. ob dein Browser nich mal wieder meint er kann selbst nen "secure-dns" machen,...
2
Oh, ich hätte nun mit shitstorm gerechnet, ..
Danke euch! Ich berichte nochmal
Viele Grüße,
aV
Edit: ein ♥-chen für alle Mitdenkenden
Mit eigenem A-Record oder CNAME
War mein erster Ansatz, klappt nicht, wie ich das möchte.ungültigen Zertifikat
Vollkommen egal, da nur für intern.du kannst auch einfach ne "zone"
Das probiere ich, klingt nach einem guten Wink.Danke euch! Ich berichte nochmal
Viele Grüße,
aV
Edit: ein ♥-chen für alle Mitdenkenden
Zitat von @9697748851:
Mit eigenem A-Record oder CNAME
War mein erster Ansatz, klappt nicht, wie ich das möchte.Doch in einer neuen Zone für den FQDN natürlich anders macht das ja keinen Sinn
.
Powershell
Add-DnsServerPrimaryZone -DynamicUpdate None -Name xyz.de -ReplicationScope Domain
Add-DnsServerResourceRecordA -ZoneName xyz.de -Name "@" -IPv4Address 1.2.3.4 Doch in einer neuen Zone für den FQDN natürlich anders macht das ja keinen Sinn face-smile.
Ahh, ja, das hatte ich nicht probiert. Dankeschöööön Hole ich nachm Mittagsmampf nach
Stark - das wuppt!
Ich bin so dankbar um euch!
Herzlichen Dank!
Ich bin so dankbar um euch!
Herzlichen Dank!
