Threema-Forum.de
Threema DNS Server? - Druckversion

+- Threema-Forum.de (https://threema-forum.de)
+-- Forum: Threema Diskussion (https://threema-forum.de/forum-5.html)
+--- Forum: Dies und das (https://threema-forum.de/forum-12.html)
+--- Thema: Threema DNS Server? (/thread-4734.html)



Threema DNS Server? - fmos - 11.06.2019.

Hallo!

Mir hat kürzlich meine Netzwerk-Firewall folgende Warnungen ausgegeben:


Zitat:IPS Alert 1: Potential Corporate Privacy Violation. Signature ET DNS Non-DNS or Non-Compliant DNS traffic on DNS port Reserved Bit Set. From: 192.168.16.12:51580, to: 185.88.236.76:53, protocol: UDP

IPS Alert 1: Potential Corporate Privacy Violation. Signature ET DNS Non-DNS or Non-Compliant DNS traffic on DNS port Reserved Bit Set. From: 192.168.16.12:58983, to: 212.103.68.8:53, protocol: UDP


Die Adresse 192.168.16.12 ist die interne Adresse eines iPhones mit der Threema-App. Die beiden angegebenen öffentlichen Adressen gehören laut whois-Abfrage beide zu Threema (Nine Internet Solutions AG, Switzerland).

Habt ihr eine Idee, ob das mit rechten Dingen zugeht? Verwendet die App eigene DNS-Server und nicht den DNS-Server meines Providers bzw. den "normalen" DNS-Server wie er über DHCP verteilt wird oder laut Systemeinstellungen? 

Viele Grüße


RE: Threema DNS Server? - lgrahl - 11.06.2019.

Gehe ich recht in der Annahme, dass du versucht hast zu Threemafonieren? Lächeln

Deine Firewall (App oder Router?) beschwert sich darüber, dass wir versuchen den Threema STUN-Server über den DNS-Port zu erreichen. Das wird bewusst (auch) über Port 53 gemacht, weil es eben häufig in restriktiveren Netzen durchgelassen wird, die massenweise Ports blockieren.

Code:
drill A ds-turn.threema.ch

;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 56371
;; flags: qr rd ra ; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;; ds-turn.threema.ch. IN A

;; ANSWER SECTION:
ds-turn.threema.ch. 278 IN A 185.88.236.76
ds-turn.threema.ch. 278 IN A 185.88.236.77
ds-turn.threema.ch. 278 IN A 212.103.68.8
ds-turn.threema.ch. 278 IN A 212.103.68.7

;; AUTHORITY SECTION:

;; ADDITIONAL SECTION:

;; Query time: 0 msec
;; SERVER: 10.26.0.11
;; WHEN: Tue Jun 11 23:08:58 2019
;; MSG SIZE  rcvd: 100



RE: Threema DNS Server? - fmos - 12.06.2019.

Danke für die rasche Antwort und die einleuchtende Erklärung!


Deine Annahme ist wahrscheinlich richtig. Es gab an dem Tag auf dem Client einen eingehenden Anruf in Threema. Die Uhrzeit kann ich nicht korrelieren, weil die in der App nicht angezeigt wird und ich bei dem Anruf auch keine "Details" oä öffnen kann. Trotzdem, aufgrund deiner Erklärung gehe ich davon aus, dass es das war. Und bin beruhigt.  Lächeln

Wegen deiner Frage: Die Firewall läuft auf einem Router (UniFi Security Gateway, genauer dessen IPS).