ComputerBase Menü
Aktuelles

UDM Pro: Umgehung von Pi-Hole nicht mehr möglich

TWIN013 schrieb:
Meine QNAP erreiche ich intern z.B. auch unter https://qnapnas - ich nehme an, dass es sich um solche Dinge handelt.
Zum Vergrößern anklicken....
Genau das ist es. Und wenn irgendwo in deiner DNS-Konfiguration der DHCP-Server als DNS auftaucht, sei es durch conditional forwarding in pihole, als Upstream-DNS oder auch direkt als DNS, dann klappt das auch. Das ist das worauf ich hinauswill. Wenn man aber zB pihole als DNS nutzt und dieser direkt via DHCP verteilt wird, aber nicht selbst der DHCP ist (sondern zB der Router), aber kein conditional forwarding konfiguriert hat, würde er den Namen "qnapnas" eben auch an seinen Upstream-DNS - zB cloudflare - durchreichen und der weiß er recht nichts damit anzufangen und dein Browser würde sagen "qnapnas konnte nicht gefunden werden". Ausnahmen wären andere Techniken zur Namensauflösung, die den Rahmen des Threads aber sprengen würden.


@-THOR- : Jetzt sind DHCP und Namensauflösung plötzlich sicherheitskritische Features? Oha, armes Internet, ist es doch voll von DHCP und Namensauflösung... :freak: Einer Firewall ist es doch vollkommen egal wie ein Client zu seiner IP-Adresse gekommen ist....
 
Hey Jungs, ich finde es ja toll, dass ihr mir beide helfen wollt bzw. mir hier eine Möglichkeit bietet mein Wissen zu vertiefen - nur fresst euch nicht. :D

Das einzige Gerät, auf das regelmäßig Angriffe gefahren werden, ist die QNAP - hier sind nur die Ports offen, die es eben für meine Anwendungsfälle auch sein müssen, die User in ihren Nutzungsrechten entsprechend knapp gehalten und die wichtigen User über 2FA abgesichert.

Die UDMP stellt für mich in gewisser Weise schon noch ein Forschungsprojekt dar, das weit über meine bisherigen Kenntnisse in Sachen Netzwerke und Security hinausgeht, aber genau darin liegt ja auch der Reiz. ;)
 
TWIN013 schrieb:
Das einzige Gerät, auf das regelmäßig Angriffe gefahren werden, ist die QNAP - hier sind nur die Ports offen, die es eben für meine Anwendungsfälle auch sein müssen, die User in ihren Nutzungsrechten entsprechend knapp gehalten und die wichtigen User über 2FA abgesichert.

Die UDMP stellt für mich in gewisser Weise schon noch ein Forschungsprojekt dar, das weit über meine bisherigen Kenntnisse in Sachen Netzwerke und Security hinausgeht, aber genau darin liegt ja auch der Reiz. ;)
Zum Vergrößern anklicken....
Die UDM ist echt cool und leistungsfähig. Leider patcht Ubiquiti sie immer mal gerne teilweise kaputt :D.
Die Angriffe sind leider "normal", bei mir bewegt es sich inzwischen auf die 1000 im Monat zu.

Da hast du dein NAS schon gut abgesichert, du könntest überlegen es noch in eine separate DMZ zu schieben falls du das nicht eh schon hast und ich dich falsch verstanden habe.
Denn wäre sie in deinem Hauptnetz und kompromittiert kommt man vor da an alle anderen Geräte weiter.

Den Zugriff dann zwischen DMZ und normalen Netz über Regeln in der UDM steuern und nur die nötigen Ports öffnen.

Raijin schrieb:
@-THOR- : Jetzt sind DHCP und Namensauflösung plötzlich sicherheitskritische Features? Oha, armes Internet, ist es doch voll von DHCP und Namensauflösung... :freak: Einer Firewall ist es doch vollkommen egal wie ein Client zu seiner IP-Adresse gekommen ist....
Zum Vergrößern anklicken....

Ok, jetzt nochmal ganz neutral da hab ich mich ja auch etwas hinreißen lassen :). Ich denke wir beide wissen was der andere gemeint hat und mir ist auch deine Intention klar, die ja auch richtig ist.
Bei dem Punkt mit der Firewall, ja der ist es egal, allerdings muss sie ja das Ziel kennen und das kann sich bei DHCP und Namensauflösung nun mal ändern und das erfährt sie nicht, sie hat keine automatische Aktualisierung. Auch wenn die UDM der DHCP und DNS Server ist, sie ändert nie Firewall Regeln auf neue Ip's ab. Daher ist die Konfiguration ja immer über statische IP's. Zwingend sollte der Ziel Host also auch eine statische IP haben damit da nichts wechselt. So oder so hat man da also leider Konfig Aufwand bei einer Änderung.

Und das Namensauflösung im Ganzen betrachtet auch Sicherheitskritisch sein kann, das lässt sich auch nicht ganz abstreiten. DNSSEC gibt es ja nicht ohne Grund ;) .
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Picard87
pi-hole auf Synology NAS blockt nicht
Antworten
10
Aufrufe
1.616
Raijin
Raijin
B
  • Gesperrt
Synology DNS auch auf Pi-Hole stellen?
Antworten
14
Aufrufe
1.438
TheManneken
TheManneken
Aorus Elite
FRITZBox!7590AX und pi-hole mit unbound
Antworten
7
Aufrufe
3.267
SeniorY
SeniorY
refskegg
Pi-Hole Blacklist greift nicht
Antworten
15
Aufrufe
3.675
refskegg
refskegg
Skywalker27
Pi Hole keine Clients
Antworten
14
Aufrufe
3.933
TP555
TP555
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz