Threema DNS Server?

fmos

Hallo!

Mir hat kürzlich meine Netzwerk-Firewall folgende Warnungen ausgegeben:

Zitat

IPS Alert 1: Potential Corporate Privacy Violation. Signature ET DNS Non-DNS or Non-Compliant DNS traffic on DNS port Reserved Bit Set. From: 192.168.16.12:51580, to: 185.88.236.76:53, protocol: UDP

IPS Alert 1: Potential Corporate Privacy Violation. Signature ET DNS Non-DNS or Non-Compliant DNS traffic on DNS port Reserved Bit Set. From: 192.168.16.12:58983, to: 212.103.68.8:53, protocol: UDP

Die Adresse 192.168.16.12 ist die interne Adresse eines iPhones mit der Threema-App. Die beiden angegebenen öffentlichen Adressen gehören laut whois-Abfrage beide zu Threema (Nine Internet Solutions AG, Switzerland).

Habt ihr eine Idee, ob das mit rechten Dingen zugeht? Verwendet die App eigene DNS-Server und nicht den DNS-Server meines Providers bzw. den "normalen" DNS-Server wie er über DHCP verteilt wird oder laut Systemeinstellungen?

Viele Grüße

f09fa681

Gehe ich recht in der Annahme, dass du versucht hast zu Threemafonieren?

Deine Firewall (App oder Router?) beschwert sich darüber, dass wir versuchen den Threema STUN-Server über den DNS-Port zu erreichen. Das wird bewusst (auch) über Port 53 gemacht, weil es eben häufig in restriktiveren Netzen durchgelassen wird, die massenweise Ports blockieren.

Code

drill A ds-turn.threema.ch


;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 56371
;; flags: qr rd ra ; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;; ds-turn.threema.ch. IN A


;; ANSWER SECTION:
ds-turn.threema.ch. 278 IN A 185.88.236.76
ds-turn.threema.ch. 278 IN A 185.88.236.77
ds-turn.threema.ch. 278 IN A 212.103.68.8
ds-turn.threema.ch. 278 IN A 212.103.68.7


;; AUTHORITY SECTION:


;; ADDITIONAL SECTION:


;; Query time: 0 msec
;; SERVER: 10.26.0.11
;; WHEN: Tue Jun 11 23:08:58 2019
;; MSG SIZE  rcvd: 100

Alles anzeigen

fmos

Danke für die rasche Antwort und die einleuchtende Erklärung!

Deine Annahme ist wahrscheinlich richtig. Es gab an dem Tag auf dem Client einen eingehenden Anruf in Threema. Die Uhrzeit kann ich nicht korrelieren, weil die in der App nicht angezeigt wird und ich bei dem Anruf auch keine "Details" oä öffnen kann. Trotzdem, aufgrund deiner Erklärung gehe ich davon aus, dass es das war. Und bin beruhigt.

Wegen deiner Frage: Die Firewall läuft auf einem Router (UniFi Security Gateway, genauer dessen IPS).