UDM Pro: Umgehung von Pi-Hole nicht mehr möglich

TWIN013 schrieb:
Meine QNAP erreiche ich intern z.B. auch unter https://qnapnas - ich nehme an, dass es sich um solche Dinge handelt.
Genau das ist es. Und wenn irgendwo in deiner DNS-Konfiguration der DHCP-Server als DNS auftaucht, sei es durch conditional forwarding in pihole, als Upstream-DNS oder auch direkt als DNS, dann klappt das auch. Das ist das worauf ich hinauswill. Wenn man aber zB pihole als DNS nutzt und dieser direkt via DHCP verteilt wird, aber nicht selbst der DHCP ist (sondern zB der Router), aber kein conditional forwarding konfiguriert hat, würde er den Namen "qnapnas" eben auch an seinen Upstream-DNS - zB cloudflare - durchreichen und der weiß er recht nichts damit anzufangen und dein Browser würde sagen "qnapnas konnte nicht gefunden werden". Ausnahmen wären andere Techniken zur Namensauflösung, die den Rahmen des Threads aber sprengen würden.


@-THOR- : Jetzt sind DHCP und Namensauflösung plötzlich sicherheitskritische Features? Oha, armes Internet, ist es doch voll von DHCP und Namensauflösung... :freak: Einer Firewall ist es doch vollkommen egal wie ein Client zu seiner IP-Adresse gekommen ist....
 
Hey Jungs, ich finde es ja toll, dass ihr mir beide helfen wollt bzw. mir hier eine Möglichkeit bietet mein Wissen zu vertiefen - nur fresst euch nicht. :D

Das einzige Gerät, auf das regelmäßig Angriffe gefahren werden, ist die QNAP - hier sind nur die Ports offen, die es eben für meine Anwendungsfälle auch sein müssen, die User in ihren Nutzungsrechten entsprechend knapp gehalten und die wichtigen User über 2FA abgesichert.

Die UDMP stellt für mich in gewisser Weise schon noch ein Forschungsprojekt dar, das weit über meine bisherigen Kenntnisse in Sachen Netzwerke und Security hinausgeht, aber genau darin liegt ja auch der Reiz. ;)
 
@Raijin Du hast zwar recht aber ich glaube auch das wir hier nicht viel brauchen :)

jedenfalls danke an den TE....werde mich mal wieder mit pihole auseinander setzen :)
 
TWIN013 schrieb:
Das einzige Gerät, auf das regelmäßig Angriffe gefahren werden, ist die QNAP - hier sind nur die Ports offen, die es eben für meine Anwendungsfälle auch sein müssen, die User in ihren Nutzungsrechten entsprechend knapp gehalten und die wichtigen User über 2FA abgesichert.

Die UDMP stellt für mich in gewisser Weise schon noch ein Forschungsprojekt dar, das weit über meine bisherigen Kenntnisse in Sachen Netzwerke und Security hinausgeht, aber genau darin liegt ja auch der Reiz. ;)
Die UDM ist echt cool und leistungsfähig. Leider patcht Ubiquiti sie immer mal gerne teilweise kaputt :D.
Die Angriffe sind leider "normal", bei mir bewegt es sich inzwischen auf die 1000 im Monat zu.

Da hast du dein NAS schon gut abgesichert, du könntest überlegen es noch in eine separate DMZ zu schieben falls du das nicht eh schon hast und ich dich falsch verstanden habe.
Denn wäre sie in deinem Hauptnetz und kompromittiert kommt man vor da an alle anderen Geräte weiter.

Den Zugriff dann zwischen DMZ und normalen Netz über Regeln in der UDM steuern und nur die nötigen Ports öffnen.

Raijin schrieb:
@-THOR- : Jetzt sind DHCP und Namensauflösung plötzlich sicherheitskritische Features? Oha, armes Internet, ist es doch voll von DHCP und Namensauflösung... :freak: Einer Firewall ist es doch vollkommen egal wie ein Client zu seiner IP-Adresse gekommen ist....

Ok, jetzt nochmal ganz neutral da hab ich mich ja auch etwas hinreißen lassen :). Ich denke wir beide wissen was der andere gemeint hat und mir ist auch deine Intention klar, die ja auch richtig ist.
Bei dem Punkt mit der Firewall, ja der ist es egal, allerdings muss sie ja das Ziel kennen und das kann sich bei DHCP und Namensauflösung nun mal ändern und das erfährt sie nicht, sie hat keine automatische Aktualisierung. Auch wenn die UDM der DHCP und DNS Server ist, sie ändert nie Firewall Regeln auf neue Ip's ab. Daher ist die Konfiguration ja immer über statische IP's. Zwingend sollte der Ziel Host also auch eine statische IP haben damit da nichts wechselt. So oder so hat man da also leider Konfig Aufwand bei einer Änderung.

Und das Namensauflösung im Ganzen betrachtet auch Sicherheitskritisch sein kann, das lässt sich auch nicht ganz abstreiten. DNSSEC gibt es ja nicht ohne Grund ;) .
 
Zuletzt bearbeitet:
Zurück
Oben