Hallo Gast! Bitte registriere dich um Beiträge schreiben zu können und Zugang zu allen Bereichen zu bekommen. Hier registrieren

Auch ohne Registrierung direkt eine Support-Anfrage stellen: Zum Support-Fomular


Threema DNS Server?
#1
Hallo!

Mir hat kürzlich meine Netzwerk-Firewall folgende Warnungen ausgegeben:


Zitat:IPS Alert 1: Potential Corporate Privacy Violation. Signature ET DNS Non-DNS or Non-Compliant DNS traffic on DNS port Reserved Bit Set. From: 192.168.16.12:51580, to: 185.88.236.76:53, protocol: UDP

IPS Alert 1: Potential Corporate Privacy Violation. Signature ET DNS Non-DNS or Non-Compliant DNS traffic on DNS port Reserved Bit Set. From: 192.168.16.12:58983, to: 212.103.68.8:53, protocol: UDP


Die Adresse 192.168.16.12 ist die interne Adresse eines iPhones mit der Threema-App. Die beiden angegebenen öffentlichen Adressen gehören laut whois-Abfrage beide zu Threema (Nine Internet Solutions AG, Switzerland).

Habt ihr eine Idee, ob das mit rechten Dingen zugeht? Verwendet die App eigene DNS-Server und nicht den DNS-Server meines Providers bzw. den "normalen" DNS-Server wie er über DHCP verteilt wird oder laut Systemeinstellungen? 

Viele Grüße
Zitieren
#2
Gehe ich recht in der Annahme, dass du versucht hast zu Threemafonieren? Lächeln

Deine Firewall (App oder Router?) beschwert sich darüber, dass wir versuchen den Threema STUN-Server über den DNS-Port zu erreichen. Das wird bewusst (auch) über Port 53 gemacht, weil es eben häufig in restriktiveren Netzen durchgelassen wird, die massenweise Ports blockieren.

Code:
drill A ds-turn.threema.ch

;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 56371
;; flags: qr rd ra ; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;; ds-turn.threema.ch. IN A

;; ANSWER SECTION:
ds-turn.threema.ch. 278 IN A 185.88.236.76
ds-turn.threema.ch. 278 IN A 185.88.236.77
ds-turn.threema.ch. 278 IN A 212.103.68.8
ds-turn.threema.ch. 278 IN A 212.103.68.7

;; AUTHORITY SECTION:

;; ADDITIONAL SECTION:

;; Query time: 0 msec
;; SERVER: 10.26.0.11
;; WHEN: Tue Jun 11 23:08:58 2019
;; MSG SIZE  rcvd: 100
Zitieren
#3
Danke für die rasche Antwort und die einleuchtende Erklärung!


Deine Annahme ist wahrscheinlich richtig. Es gab an dem Tag auf dem Client einen eingehenden Anruf in Threema. Die Uhrzeit kann ich nicht korrelieren, weil die in der App nicht angezeigt wird und ich bei dem Anruf auch keine "Details" oä öffnen kann. Trotzdem, aufgrund deiner Erklärung gehe ich davon aus, dass es das war. Und bin beruhigt.  Lächeln

Wegen deiner Frage: Die Firewall läuft auf einem Router (UniFi Security Gateway, genauer dessen IPS).
Zitieren


Möglicherweise verwandte Themen...
Thema Verfasser Antworten Ansichten Letzter Beitrag
  Welche Domain Name Server (DNS) nutzt ihr? threemat 17 8.931 22.01.2017., 09:38
Letzter Beitrag: huggenknubbel
  Threema Server-Standorte Miaz 15 8.825 12.10.2016., 23:26
Letzter Beitrag: rugk
  Eigene Telefonnumer/Mailadresse im Klartext auf dem Server? qwertfisch 34 20.319 03.07.2014., 21:15
Letzter Beitrag: Simon G.