9697748851
Goto Top

Spoofen von FQDN über eigenem DNS Server

Hallo zusammen,

ich möchte für einen externen (internen) Dienst nicht unseren internen FQDN exposen. Gibt es eine Möglichkeit den FQDN zu spoofen über den selbstgemanagten Win-DNS-Server?

FQDN: firma.tld
gewünschter Spoof: asdf.abc

Kann man da was zusammenmurksen?

Nach Sinnhaftigkeit frage ich nicht face-smile

Danke und Grüße,
aV

Edit: wichtige Angaben ergänzt

Content-ID: 61404042488

Url: https://administrator.de/forum/spoofen-von-fqdn-ueber-eigenem-dns-server-61404042488.html

Ausgedruckt am: 24.12.2024 um 18:12 Uhr

SlainteMhath
SlainteMhath 15.05.2024 um 11:55:24 Uhr
Goto Top
Moin,

idk ob ich das richtig verstanden habe was du vorhast. In etwa so:

1. Domain kaufen
2. NS = eigene DNS Server
3. A-Record auf eigene IP zeigen lassen
4. ???
5. Profit

?

lg,
Slainte
13034433319
Lösung 13034433319 15.05.2024 aktualisiert um 12:19:02 Uhr
Goto Top
FQDN: firma.tld
gewünschter Spoof: asdf.abc
Mit eigener DNS-Zone mit leerem A-Record den der Client nutzt oder per DNAT Port 53 umgeleitet wurde, ja kann man, aber spätestens beim ungültigen Zertifikat (CN passt nicht zum Hostheader wird es auffallen, falls man keine eigene CA nutzt die auf am Client als vertrauenswürdig hinterlegt ist und das Cert des Ziel-Hosts per https proxy faked).

Gruß
maretz
Lösung maretz 15.05.2024 um 12:02:36 Uhr
Goto Top
du kannst auch einfach ne "zone" (ich vermute mal win-dns) anlegen, die du eben asdf.abc nennst, da drin nur _einen_ Eintrag ohne hostname und nur die IP... schon glaubt dein DNS das der genau dafür auch zuständig ist und löst das auf... das ganze funktioniert natürlich _NUR_ wenn die auch deinen DNS Server nutzen... wenn du das ganze z.B. mittels administrator.de macht würde das zwar bei DIR gehen, aber natürlich würde jeder andere Rechner der Welt das ignorieren weil du den Eintrag nirgends hochladen kannst...

Und ob das ganze klappt hängt noch von vielen anderen Faktoren ab - zB. ob dein Browser nich mal wieder meint er kann selbst nen "secure-dns" machen,...
9697748851
9697748851 15.05.2024 aktualisiert um 12:20:47 Uhr
Goto Top
Oh, ich hätte nun mit shitstorm gerechnet, ..

Mit eigenem A-Record oder CNAME
War mein erster Ansatz, klappt nicht, wie ich das möchte.

ungültigen Zertifikat
Vollkommen egal, da nur für intern.

du kannst auch einfach ne "zone"
Das probiere ich, klingt nach einem guten Wink.

Danke euch! Ich berichte nochmal face-smile

Viele Grüße,
aV

Edit: ein ♥-chen für alle Mitdenkenden
13034433319
Lösung 13034433319 15.05.2024 aktualisiert um 12:35:52 Uhr
Goto Top
Zitat von @9697748851:
Mit eigenem A-Record oder CNAME
War mein erster Ansatz, klappt nicht, wie ich das möchte.

Doch in einer neuen Zone für den FQDN natürlich anders macht das ja keinen Sinn face-smile.

screenshot

Powershell
Add-DnsServerPrimaryZone -DynamicUpdate None -Name xyz.de -ReplicationScope Domain
Add-DnsServerResourceRecordA -ZoneName xyz.de -Name "@" -IPv4Address 1.2.3.4  
9697748851
9697748851 15.05.2024 um 12:23:56 Uhr
Goto Top
Doch in einer neuen Zone für den FQDN natürlich anders macht das ja keinen Sinn face-smile.
Ahh, ja, das hatte ich nicht probiert. Dankeschöööön face-smile

Hole ich nachm Mittagsmampf nach face-smile
9697748851
9697748851 15.05.2024 um 12:35:29 Uhr
Goto Top
Stark - das wuppt!

Ich bin so dankbar um euch!

Herzlichen Dank! face-smile