sshd - kein reverse lookup!?

I.MC

Watt soll denn hier hin?
Hi,

mir fiel heute auf, dass ich mich wunderbar auch von intern auf dem sshd eines anderen Rechners einloggen kann, obwohl ich dem sshd auf dem Server nie gesagt habe, dass er keinen reverse dns lookup machen soll. Früher hing das dann immer ewig. Klappt aber wie gesagt 1a, das dürfte doch gar nicht!?

Gruß, I.MC

P.S. Zudem fällt mir gerade gar nicht mehr ein, wieso man diese Technik überhaupt noch einmal braucht. Man in the Middle Attack bzw. IP Spoofing verhindern?
 

SierraX

Well-Known Member
Verwechselst du das nicht mit dem Forward lookup?

Reverse lookup ist doch nur dazu da um zu ermitteln ob eine ip adresse eine Domain im bind hat.
 

I.MC

Watt soll denn hier hin?
SierraX schrieb:
Reverse lookup ist doch nur dazu da um zu ermitteln ob eine ip adresse eine Domain im bind hat.
Genau. Das wird IMHO deswegen gemacht, weil so ein Paket immer bei dem echten Inhaber der Absender IP ankommt. Sendet ein Angreifer unter der IP von B ein Paktet an C, und überprüft dieser darauf per DNS Lookup diese IP, so stellt er fest, das diese IP wohl gefälscht sein muss und nicht wirklich zu A gehört. Heisst, Kommunikation wird abgebrochen (bzw. sollte es theoretisch abgebrochen werden). Oder sehe ich da was falsch. Wieso sollte eine Anwendung sonst einen Reverse Lookup machen. Das tut mein SMTP z.B. auch.

Gruß, I.MC
 

SierraX

Well-Known Member
Dann könnte ja garkeiner mehr mit einander über das Internet kommunizieren sobald sich einmal die IP-Adresse ändert. Was ist dann eigentlich mit hosts die zwar in deinem Netzsegment sind aber nicht deiner Domain angehören?

sshd überprüft die berechtigungen anhand der 'known hosts'. Sicher kann man das auch über eine bind überprüfung machen. Scheint mir aber wenig sinnvoll.

edit: Revers lookups kann ich mir jetzt bloß wegen log dateien vorstellen.
 
Zuletzt bearbeitet:

I.MC

Watt soll denn hier hin?
SierraX schrieb:
Dann könnte ja garkeiner mehr mit einander über das Internet kommunizieren sobald sich einmal die IP-Adresse ändert.
Nö, wieso das? Wenn sich IP ändert wird die ja auch im DNS angepasst, wenn man der echte Inhaber ist. Also klappt auch stets der Reverse Lookup.
Was ist dann eigentlich mit hosts die zwar in deinem Netzsegment sind aber nicht deiner Domain angehören?
Genau das ist dann das Problem, die müssen so lange auf ein Vorangehen warten, bis der Dienst, der den Reverse Looup macht, einen Time Out hat (und einen daraufhin hoffentlich nicht rauskickt).

edit: Revers lookups kann ich mir jetzt bloß wegen log dateien vorstellen.
Wei gesagt, ich weiss es selbst gerade nicht wirklich. Mich hat nur einer vorhin damit vollgelabert und mir ist keine stichhaltige Antwort eingefallen :-).

Gruß, I.MC
 

SierraX

Well-Known Member
I.MC schrieb:
Nö, wieso das? Wenn sich IP ändert wird die ja auch im DNS angepasst, wenn man der echte Inhaber ist. Also klappt auch stets der Reverse Lookup.

Dann mach mal ein NS Lookup zu meiner momentanen ip: 84.157.231.102 und guck nach ob ich minimouse.sxcastle.de heisse. Meinem smtp Server bei 1 und 1 war auf alle faelle scheiss egal welche IP ich hab.
 

I.MC

Watt soll denn hier hin?
Das is ja egal. Wenn du dich irgenwohin verbindest, wird von deinem Router der korrekte DNS deiner öffentlichen IP übermittelt, nicht was du irgendwo eingestellt hast. Oder reden wir jetzt gerade aneinander vorbei.

Gruß, I.MC
 

SierraX

Well-Known Member
I.MC schrieb:
Das is ja egal. Wenn du dich irgenwohin verbindest, wird von deinem Router der korrekte DNS deiner öffentlichen IP übermittelt, nicht was du irgendwo eingestellt hast. Oder reden wir jetzt gerade aneinander vorbei.

Gruß, I.MC

Genau meine rede. Wenn du versuchst eine Private IP über das Internet aufzulösen kriegst du in Deutschland meist irgendeinen TOnline Namen afaik ist der auch nicht jedes mal gleich (zumindest nicht wenn du bei einem Anbieter bist welcher nur das Netz von TOnline verwendet). Also hast du bei vermeindlich jeden Zugriff eine IP die nich zu der Domain passt. Also würde bei einem sshd Zugriff über das Internet dein Daemon immer abwiegeln.
 

I.MC

Watt soll denn hier hin?
SierraX schrieb:
Also würde bei einem sshd Zugriff über das Internet dein Daemon immer abwiegeln.
Wieso das? Gerade da ja nicht, denn wenn ich auf einen entfernten Dämon über das Internet zugreife, dann sind meine Pakete doch immer mit einer öffentlichen IP versehen, die das Gegenüber normalerweise korrekt auflösen kann. Ich denke du meinst den internen Zugriff. Dann versucht der Dämon meine interne IP über den externen DNS des Providers aufzulösen, was dann Quatsch zurückgibt, bzw. sicher etwas anderes, als den lokal auf dem Client eingestellten hostname.

Gruß, I.MC
 

SierraX

Well-Known Member
Hab ich doch weiter unten geschrieben.
Es gibt zwar eine IP und eine Domain/Rechnernamen zurück aber etwas, was nicht nachprüfbar ist.
Also lass es einfach darauf bewenden, das sshd und jeder andere Dienst keinen Reverselookup braucht und gut ist
 

I.MC

Watt soll denn hier hin?
SierraX schrieb:
Also lass es einfach darauf bewenden, das sshd und jeder andere Dienst keinen Reverselookup braucht und gut ist
Nö, du brauchst ja nix mehr schreiben, wenn du keine Lust mehr hast ;-). Der Sinn dieser Technik ist für mich noch immer ungeklärt.

Gruß, I.MC
 
Oben