Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Computerbeveiliging - Hoe je bad guys buiten de deur houdt

NXDOMAIN

Reageer met quote
28-01-2021, 16:27 door Anoniem, 16 reacties
Ik heb een domein waarvan ik vrij zeker ben dat deze actief gebruikt/misbruikt wordt via http(s). Vanwege TLP mag ik het domein helaas niet delen.
Toch levert een DNS lookup voor de verschillende records van dit domein een NXDOMAIN op. Feit is dat het domein bestaat (via whois gecontroleerd).

Mijn vraag: is het mogelijk dat je voor je domein instelt (als je je eigen dns server hebt) om te zeggen:
Alleen ip adres 1.2.3.4 en 5.6.7.8 mogen lookups doen voor het ip adres? En de rest dus niet.
Buitenlands internetverkeer buitensluiten op server niveau
Toegevoegde waarde van DMARC naast DKIM
Reacties (16)
Reageer met quote
29-01-2021, 10:21 door Anoniem
Door Anoniem: Ik heb een domein waarvan ik vrij zeker ben dat deze actief gebruikt/misbruikt wordt via http(s).
Zeer vage post....
Je hebt een domein dat misbruikt wordt via http(s)? Hoe wordt dit dan misbruikt? Hoe weet je dat? Jij beheerd toch de DNS records?

Vanwege TLP mag ik het domein helaas niet delen.[/quote[
Wat betekend TLP trouwens?

Toch levert een DNS lookup voor de verschillende records van dit domein een NXDOMAIN op. Feit is dat het domein bestaat (via whois gecontroleerd).
Wat bedoel je hiermee?

Jij bent toch de eigenaar van dit domain? Jij bepaald dus ook wat er in DNS staat.

Mijn vraag: is het mogelijk dat je voor je domein instelt (als je je eigen dns server hebt) om te zeggen:
Alleen ip adres 1.2.3.4 en 5.6.7.8 mogen lookups doen voor het ip adres? En de rest dus niet.
Je wilt zelf nu de DNS gaan hosten voor dit domein? Of.... Dan moet je meestal al meerdere DNS servers hebben volgens mij.

Je doet DNS lookups, en niet specifiek "voor het ip adres".


Je hebt een heel vaag topic, waarin eigenlijk niet duidelijk is: wat is nu je probleem?
Reageer met quote
29-01-2021, 10:58 door Anoniem
whitelist op je firewall, of dnscrypt zijn mogelijkheden
Reageer met quote
29-01-2021, 11:24 door Anoniem
In Pi-hole kun je via Groups bepalen wie kan resolven en wie een 0.0.0.0 als IP terug krijgt. Dit werkt alleen voor clients die gebruik maken van Pi-hole als DNS server.

Gebruikt een browser op client DoH dan hekpt niets of je moet poort TCP/443 dichtzetten maar dan kan die client helemaal geen pagina's op het intetnet meer bezoeken. Zo ook deze pagina op security.nl.
Reageer met quote
29-01-2021, 11:27 door Anoniem
Nee. DNS is een wereldwijde en openbare database.
Reageer met quote
29-01-2021, 11:54 door Anoniem
Door Anoniem: Ik heb een domein waarvan ik vrij zeker ben dat deze actief gebruikt/misbruikt wordt via http(s). Vanwege TLP mag ik het domein helaas niet delen.
Toch levert een DNS lookup voor de verschillende records van dit domein een NXDOMAIN op. Feit is dat het domein bestaat (via whois gecontroleerd).

Mijn vraag: is het mogelijk dat je voor je domein instelt (als je je eigen dns server hebt) om te zeggen:
Alleen ip adres 1.2.3.4 en 5.6.7.8 mogen lookups doen voor het ip adres? En de rest dus niet.

Nee.
Reageer met quote
29-01-2021, 12:15 door Anoniem
Door Anoniem: Nee. DNS is een wereldwijde en openbare database.

Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.

Bv. Jouw query op example.nl levert op google dig een IP adres op.
Maar diezelfde query kan op OpenDNS bv niets opleveren.

Het is openbaar, maar niets wereldwijd. Het zijn gewoon systemen die met elkaar praten en daar kun je beperkingen in opgeven.

Tip is dus: resolve vooral het IP adres eens (op zowel A als AAAA records) via meerdere dns servers.
En resolv het ook eens meteen op zowel primairy als secondary nameserver, uiteindelijk heb je daar de meeste kans op het juiste antwoord.
Reageer met quote
29-01-2021, 13:11 door Anoniem
Door Anoniem: Mijn vraag: is het mogelijk dat je voor je domein instelt (als je je eigen dns server hebt) om te zeggen: Alleen ip adres 1.2.3.4 en 5.6.7.8 mogen lookups doen voor het ip adres? En de rest dus niet.
Het lijkt mij wel iets dat in te stellen is op een authoritative nameserver, al heb ik dat zelf nooit gedaan. Echter lijkt het mij in de praktijk vrij lastig in te stellen aangezien het gaat om de IP-adressen van de recursive resolvers (lees Ziggo of Google DNS), niet om de IP-adressen van eindgebruikers.

Je kan nog even testen of je dezelfde records terug krijgt als je test via verschillende resolvers (Cloudflare, Google) etc en daar misschien wel een geldig record terug krijgt. Misschien zit er ook nog een verschil tussen A en AAAA records? Of een HTTPS record wat vrij niew is?
Reageer met quote
29-01-2021, 13:30 door Briolet
Door Anoniem:
Door Anoniem: Mijn vraag: is het mogelijk dat je voor je domein instelt (als je je eigen dns server hebt) om te zeggen: Alleen ip adres 1.2.3.4 en 5.6.7.8 mogen lookups doen voor het ip adres? En de rest dus niet.
Het lijkt mij wel iets dat in te stellen is op een authoritative nameserver, al heb ik dat zelf nooit gedaan. Echter lijkt het mij in de praktijk vrij lastig in te stellen aangezien het gaat om de IP-adressen van de recursive resolvers (lees Ziggo of Google DNS), niet om de IP-adressen van eindgebruikers.

Wij gebruiken een eigen DNS server waar groepen op aangemaakt zijn. Verschillende groepen krijgen een ander antwoord op basis van het IP adres. Maar zoals je aangeeft werkt dat lokaal goed bij de apparatuur die de DNS server rechtstreeks benaderd. Als je de server indirect benaderd via een 2e DNS server, zal het IP van de oorspronkelijke opvrager niet bekend zijn.
Reageer met quote
29-01-2021, 13:39 door Anoniem
Door Anoniem:
Door Anoniem: Nee. DNS is een wereldwijde en openbare database.

Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.

Bv. Jouw query op example.nl levert op google dig een IP adres op.
Maar diezelfde query kan op OpenDNS bv niets opleveren.

Het is openbaar, maar niets wereldwijd. Het zijn gewoon systemen die met elkaar praten en daar kun je beperkingen in opgeven.

Tip is dus: resolve vooral het IP adres eens (op zowel A als AAAA records) via meerdere dns servers.
En resolv het ook eens meteen op zowel primairy als secondary nameserver, uiteindelijk heb je daar de meeste kans op het juiste antwoord.

Ooit van recursive resolvers gehoord? Het kan alleen binnen je eigen kantooromgeving met bijvoorbeeld een split view.
Reageer met quote
29-01-2021, 13:40 door Anoniem
Ik denk dat je een security probleem probeert op te lossen op een verkeerde manier.

Analogie: wat je hier voorstelt is dat iedereen in Nederland de straatnaam mag opvragen om je winkel te bezoeken, maar mensen in het buitenland mogen niet weten in welke straat in Nederland je winkel staat.

Analyseer de attack-vector en mitigeer dat.
Reageer met quote
29-01-2021, 15:48 door Anoniem
Door Anoniem:
Door Anoniem: Nee. DNS is een wereldwijde en openbare database.

Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.

En als ik mijn eigen upstream DNS server draai en het verzoek richting de rootservers stuur wat krijg ik dan terug?
Reageer met quote
29-01-2021, 18:01 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Nee. DNS is een wereldwijde en openbare database.

Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.

En als ik mijn eigen upstream DNS server draai en het verzoek richting de rootservers stuur wat krijg ik dan terug?
Netwerk verkeer
Reageer met quote
29-01-2021, 18:58 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Nee. DNS is een wereldwijde en openbare database.

Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.

En als ik mijn eigen upstream DNS server draai en het verzoek richting de rootservers stuur wat krijg ik dan terug?

recursion requested but not available
Reageer met quote
29-01-2021, 19:00 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Nee. DNS is een wereldwijde en openbare database.

Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.

En als ik mijn eigen upstream DNS server draai en het verzoek richting de rootservers stuur wat krijg ik dan terug?
Netwerk verkeer

Top, hier kan ik wat mee. Dan is het probleem opgelost.
Reageer met quote
29-01-2021, 19:28 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Nee. DNS is een wereldwijde en openbare database.

Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.

En als ik mijn eigen upstream DNS server draai en het verzoek richting de rootservers stuur wat krijg ik dan terug?

Als je nou niet wilt leren hoe dingen werken, waarom is een antwoord op een klein onderdeeltje dan nuttig voor je ?

'upstream DNS' . Waarschijnlijk bedoel je een DNS resolver - evt 'full resolver' . De term 'recursor' of 'recursive resolver' wordt ook wel gebruikt voor deze DNS taak.

Die stuurt een query naar de root DNS servers , en krijgt (als het een geldig TLD is), NS records en A-records voor die NS'en terug .
Zo'n A-record voor een NS heet in dat geval een 'glue record' , want anders heb je een kip-ei probleem .

www.google.com A -> root . Antwoord : NS'en voor .com .
www.google A -> NS server voor .com . Antwoord : NS records (en A records) voor google.com .
www.google.com A -> NS server voor google.com : Antwoord : A records voor www.google.com

Dat is kortgezegd de simpele variant van een volledige lookup .

Je resolver zal typisch de NSen van TLDs wel in de cache hebben, dus niet voor elke query naar de roots gaan.

Maar dit soort dingen is ZO makkelijk te vinden - waarom willen mensen op een slow chat forum voorgesneden brokjes krijgen ?

(Trouwens - iemand die misbruik onderzoekt en blijkbaar met TLP te maken heeft (Traffic Light Protocol ? - kleurcodes voor informatie die wel of niet breed gedeeld mag worden ) - leer je vak. DNS kunnen nalopen is een basis ding voor als je misbruik domeinen wilt onderzoeken.
Reageer met quote
29-01-2021, 20:25 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Nee. DNS is een wereldwijde en openbare database.

Onjuist, dit kan wel. Sterker nog, DNS providers blocken soms zelf bepaalde verzoeken als ze zien dat er misbruik wordt gemaakt.

En als ik mijn eigen upstream DNS server draai en het verzoek richting de rootservers stuur wat krijg ik dan terug?

https://securitytrails.com/blog/dns-root-servers:
A. Root servers will return the list of TLD servers so the provider or configured server can again send a query, this time to a TLD server.
B. The TLD server will then return the authoritative name server where the desired domain is stored.
C. This is when the server that made the request sends a query to the authoritative server hosting the zone of the domain in question.
D. Once the request has reached the authoritative server, it will respond to the requesting server with the IP address for jouwbedrijfkes-voorbeeld.nl.

Die rootservers geven voor zover mij bekend nooit het antwoord voor iets van subje.jouwbedrijfkes-voorbeeld.nl, maar alleen waar moet je zijn voor .nl. dan zegt de SIDN dns server waar je voor jouwbedrijfkes-voorbeeld.nl moet zijn en jij haalt jouw antwoord op bij die nameserver (bv. ns.jouwbedrijfkes-voorbeeld.nl). Daarna mag je het wel ff cachen.

Mocht ik ernaast zitten, mogelijk goed toe te lichten hoe het wel werkt.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search
Vacature
Image

Security-engineer IAM

Krijg jij energie van technische vraagstukken op het vlak van Security en Risk? En steek je graag je handen uit de mouwen om zelf een bijdrage te leveren aan een veilige digitale omgeving waarin de data en euro’s van onze klanten worden beheerd. Dan komen we graag met jou in contact.

Lees meer

Heb jij een Hacker Mindset?

5 reacties
Aantal stemmen: 330
Vacature
Image

Senior Security Consultant

Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.

Lees meer
Is een laptop die via de werkkostenregeling wordt vergoed een privélaptop?
03-03-2021 door Arnoud Engelfriet

Juridische vraag: Bij ons bedrijf is gekozen voor bring-your-own-device, waarbij mensen zelf privé een laptop mogen kopen en ...

19 reacties
Lees meer
Certified Secure LIVE Online training
De verkiezingsprogramma's doorgelicht: Deel 4 digitalisering
20-02-2021 door Redactie

Een digitaal paspoort, recht op betaalbaar en snel internet, 'digitale inburgering' of digitaal stemmen, het zijn slechts een ...

8 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter