Browser geblokkeerd in firewall wisselt informatie uit met DNS-server?

TomMe
Plus Member
Plus Member
Berichten: 122
Lid geworden op: 24 Nov 2006
Bedankt: 4 keer
Uitgedeelde bedankjes: 4 keer

Browser geblokkeerd in firewall wisselt informatie uit met DNS-server?

Berichtdoor TomMe » 3 weken 4 dagen 20 uur geleden (31 Mar 2019, 13:11)

Situatieschets:

Ik heb Firefox geblokkeerd in mijn Windows (7) firewall. Echter, wanneer ik Firefox open en naar een website ga (bv. duckduckgo.com) wordt er (als ik het log van mijn firewall correct begrijp) verbinding gemaakt met een DNS-server (in mijn geval OpenDNS):

Code: Selecteer alles

2019-03-31 12:51:50 ALLOW UDP 192.168.178.51 208.67.222.222 59671 53 0 - - - - - - - SEND
2019-03-31 12:51:50 DROP TCP 192.168.178.51 79.125.105.113 49938 443 0 - 0 0 0 - - - SEND
2019-03-31 12:51:50 DROP TCP 192.168.178.51 46.51.179.90 49939 443 0 - 0 0 0 - - - SEND
2019-03-31 12:51:50 ALLOW UDP 192.168.178.51 208.67.222.222 55740 53 0 - - - - - - - SEND
2019-03-31 12:51:50 DROP TCP 192.168.178.51 176.34.155.23 49940 443 0 - 0 0 0 - - - SEND


208.67.222.222 is van OpenDNS. 79.125.105.113, 46.51.179.90 en 176.34.155.23 zijn van duckduckgo.com.

Dus via mijn browser kan ik geen verbinding maken met het internet, maar toch wordt er informatie uitgewisseld met OpenDNS om te vragen welk IP-adres de website heeft die ik probeer te bezoeken. Dit vind ik toch maar raar.. Is er hier iemand die mij kan uitleggen hoe dat komt?

Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 1507
Lid geworden op: 14 Nov 2008
Locatie: Brugge
Bedankt: 92 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 95 keer

Re: Browser geblokkeerd in firewall wisselt informatie uit met DNS-server?

Berichtdoor Sinna » 3 weken 4 dagen 20 uur geleden (31 Mar 2019, 13:27)

Het is m.i. niet Firefox die de DNS-aanvraag doet maar het onderliggende besturingssysteem.
Computer(k)nul

ITnetadmin
Elite Poster
Elite Poster
Berichten: 6916
Lid geworden op: 28 Jan 2012
Bedankt: 524 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 114 keer

Re: Browser geblokkeerd in firewall wisselt informatie uit met DNS-server?

Berichtdoor ITnetadmin » 3 weken 4 dagen 12 uur geleden (31 Mar 2019, 20:57)

Wiresharken en kijken welke request hij stuurt.

TomMe
Plus Member
Plus Member
Berichten: 122
Lid geworden op: 24 Nov 2006
Bedankt: 4 keer
Uitgedeelde bedankjes: 4 keer

Re: Browser geblokkeerd in firewall wisselt informatie uit met DNS-server?

Berichtdoor TomMe » 3 weken 3 dagen 13 uur geleden (01 Apr 2019, 20:15)

Sinna schreef:Het is m.i. niet Firefox die de DNS-aanvraag doet maar het onderliggende besturingssysteem.

Is dat niet één of ander security issue?

ITnetadmin schreef:Wiresharken en kijken welke request hij stuurt.

Waarschijnlijk wordt er gevraagd wat het IP is van duckduckgo.com? Ik zal zien of ik dat programma eens aan de praat krijg..

idur
Starter
Starter
Berichten: 13
Lid geworden op: 31 Mar 2019
Bedankt: 2 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 2 keer

Re: Browser geblokkeerd in firewall wisselt informatie uit met DNS-server?

Berichtdoor idur » 3 weken 3 dagen 11 uur geleden (01 Apr 2019, 22:37)

TomMe schreef:
Sinna schreef:Het is m.i. niet Firefox die de DNS-aanvraag doet maar het onderliggende besturingssysteem.

Is dat niet één of ander security issue?

Waar zie je een beveiligingsprobleem? Lekken van gegevens van interne DNS-servers is volgens mij geen probleem: het programma kan DNS-verzoeken doen, maar vervolgens kan het geen verbindingen maken om dit te lekken.
TomMe schreef:
ITnetadmin schreef:Wiresharken en kijken welke request hij stuurt.

Waarschijnlijk wordt er gevraagd wat het IP is van duckduckgo.com? Ik zal zien of ik dat programma eens aan de praat krijg..

Wireshark toont bij mijn weten geen informatie over welk programma bij het netwerkverkeer hoort.

TomMe
Plus Member
Plus Member
Berichten: 122
Lid geworden op: 24 Nov 2006
Bedankt: 4 keer
Uitgedeelde bedankjes: 4 keer

Re: Browser geblokkeerd in firewall wisselt informatie uit met DNS-server?

Berichtdoor TomMe » 2 weken 5 dagen 12 uur geleden (06 Apr 2019, 20:50)

idur schreef:Waar zie je een beveiligingsprobleem? Lekken van gegevens van interne DNS-servers is volgens mij geen probleem: het programma kan DNS-verzoeken doen, maar vervolgens kan het geen verbindingen maken om dit te lekken.

OpenDNS zit toch niet op mijn "intern" netwerk? Misschien begrijp ik je verkeerd met mijn beperkte kennis.. Echter vind ik het wel vreemd dat mijn firewall blijkbaar toch niet ALLES vanuit Firefox blokkeert, ook al heb ik dat zo ingesteld.

GuntherDW
Premium Member
Premium Member
Berichten: 513
Lid geworden op: 11 Mei 2007
Locatie: zwijndrecht
Bedankt: 19 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 6 keer
Contact:

Re: Browser geblokkeerd in firewall wisselt informatie uit met DNS-server?

Berichtdoor GuntherDW » 2 weken 5 dagen 12 uur geleden (06 Apr 2019, 21:41)

Tenzij firefox hun eigen DNS resolver gaat implementen (zie ik nog niet gebeuren) vraagt het gewoon inderdaad aan het onderliggende OS (voor zover ik weet) voor een record te resolven.

Je kan dit min of meer oplossen door wat te tweaken in je advanced settings (AKA about:config), maar het is niet aangeraden van dit te doen als je al niet weet waarom je DNS requests "leakt".

Indien je dit dus instelt ga je dus DNS over HTTPS instellen, waardoor Firefox zelf z'n DNS requests "afhandelt", maar is niet het antwoord op je vraag natuurlijk.

Je kan vrij makkelijk zien dat het je OS z'n DNS resolving functies gebruikt door oude netbios namen of hosts uit je etc/hosts te gebruiken.

https://en.wikipedia.org/wiki/DNS_leak

Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 3448
Lid geworden op: 10 Mar 2010
Bedankt: 351 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 50 keer

Re: Browser geblokkeerd in firewall wisselt informatie uit met DNS-server?

Berichtdoor Splitter » 2 weken 5 dagen 11 uur geleden (06 Apr 2019, 22:22)

wat bij mij een beetje vreemd overkomt is dat je firefox (een browser dus) gaat installeren, en vervolgens wil blokkeren,
zodat je er niet meer mee kan... browsen?

is een kortere oplossing naar je ""probleem" dan niet gewoon firefox van de computer afgooien, en desgewenst een policy erop zetten dat je niet zomaar dingen kan installeren?
ooit zal hier iets nuttigs staan

GuntherDW
Premium Member
Premium Member
Berichten: 513
Lid geworden op: 11 Mei 2007
Locatie: zwijndrecht
Bedankt: 19 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 6 keer
Contact:

Re: Browser geblokkeerd in firewall wisselt informatie uit met DNS-server?

Berichtdoor GuntherDW » 2 weken 5 dagen 11 uur geleden (06 Apr 2019, 22:36)

Ik denk eerder dat het een hypothetical scenario is waar hij mee worstelt, niet dat hij perse firefox 100% wil blokkeren.

idur
Starter
Starter
Berichten: 13
Lid geworden op: 31 Mar 2019
Bedankt: 2 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 2 keer

Re: Browser geblokkeerd in firewall wisselt informatie uit met DNS-server?

Berichtdoor idur » 2 weken 4 dagen 21 uur geleden (07 Apr 2019, 11:50)

TomMe schreef:
idur schreef:Waar zie je een beveiligingsprobleem? Lekken van gegevens van interne DNS-servers is volgens mij geen probleem: het programma kan DNS-verzoeken doen, maar vervolgens kan het geen verbindingen maken om dit te lekken.

OpenDNS zit toch niet op mijn "intern" netwerk? Misschien begrijp ik je verkeerd met mijn beperkte kennis.. Echter vind ik het wel vreemd dat mijn firewall blijkbaar toch niet ALLES vanuit Firefox blokkeert, ook al heb ik dat zo ingesteld.

In het geval dat Firefox gegevens van publieke DNS-servers aanvraagt (via het OS), dan krijgt het alleen informatie die ook buiten jouw netwerk beschikbaar is. Gegevens zijn al publiek, dus is er geen sprake van een lek.

Als je wil voorkomen dat je computer een bepaalde DNS-query uitstuurt (bv. je wil niet dat er een query voor het A-record van http://www.example.com verstuurd wordt) dan kan je een truc toepassen.

Als Windows (of Linux, waarschijnlijk ook andere OS'en) een domeinnaam/computernaam terugvindt in het lokale hosts-bestand, dan zal het geen DNS-verzoek uitsturen, maar de entry uit dat bestand gebruiken. Als je daar een entry maakt voor 127.0.0.1 of een IP-adres uit je subnet dat niet gebruikt wordt, dan krijgen programma's dat IP als antwoord. Dit geldt dan wel voor alle programma's op je computer, niet alleen Firefox. UIteraard werkt dit ook alleen maar bij de specifieke domeinnamen die je in het hosts-bestand invult.

(EDIT: verduidelijken dat Firefox gegevens aanvraagt, maar niet zelf de DNS-servers bevraagt)

ITnetadmin
Elite Poster
Elite Poster
Berichten: 6916
Lid geworden op: 28 Jan 2012
Bedankt: 524 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 114 keer

Re: Browser geblokkeerd in firewall wisselt informatie uit met DNS-server?

Berichtdoor ITnetadmin » 2 weken 4 dagen 7 uur geleden (08 Apr 2019, 01:55)

Hoe werkt DNS vanop je PC:
Bij een DNS request van een application op je PC, worden in volgorde gequeried:
1) de DNS cache, die geflushed wordt bij reboot of na een manual flush
2) de hosts file, die hardcoded DNS entries bevat
3) een externe DNS server, via het IP dat in de network settings gedefinieerd is

Dit wordt afgehandeld door de OS; blijkbaar blokkeert je software firewall enkel directe external connections van je browser, en geen indirecte.


Terug naar “Windows”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 1 gast