From 5b952fd1d0d53758857f438dfd56b0526525307a Mon Sep 17 00:00:00 2001 From: Alex Mitzsch <43502191+mitzsch@users.noreply.github.com> Date: Mon, 28 Aug 2023 10:38:10 +0200 Subject: [PATCH 1/9] Add basic info about dns rebind protection First draft - adds information about "dns rebind protection" --- docs_sources/ti_configuration-source.adoc | 7 ++++++- 1 file changed, 6 insertions(+), 1 deletion(-) diff --git a/docs_sources/ti_configuration-source.adoc b/docs_sources/ti_configuration-source.adoc index 1e64f9da..7a66a55a 100644 --- a/docs_sources/ti_configuration-source.adoc +++ b/docs_sources/ti_configuration-source.adoc @@ -90,4 +90,9 @@ Die Adresse des Apothekenverzeichnisses apovzd.zentral.erp.splitdns.ti-dienste.d Eine Variante der direkten Namensauflösung für Adressen der Telematikinfrastruktur ist, den Konnektor als primären DNS-Server über die Netzwerkkonfiguration durch den DHCP-Server in den Clients festzulegen. FQDNs der TI werden dann vom Konnektor durch den Namensdienst der TI aufgelöst, alle übrigen Adressen löst der Konnektor durch einen Namensdienst im Internet auf. Diese Funktionsweise stellt sich wie eine Reihenschaltung dar, nur dass der Konnektor nicht das Default-Gateway der Clients ist. === Anderer DNS-Resolver im lokalen Netz -Die Alternative dazu nutzt den Konnektor für die Namensauflösung nicht direkt. In Netzwerken mit eigenem Domain Controler lässt sich ein domain-spezifischer Forwarder konfigurieren, mit dem die Adressen `splitdns.ti-dienste.de` und die Adressen mit `*.telematik` über den Konnektor in IP-Adresssen der TI aufgelöst werden können. +Die Alternative dazu nutzt den Konnektor für die Namensauflösung nicht direkt. In Netzwerken mit eigenem Domain Controller lässt sich ein domain-spezifischer Forwarder konfigurieren, mit dem die Adressen `splitdns.ti-dienste.de` und die Adressen mit `*.telematik` über den Konnektor in IP-Adressen der TI aufgelöst werden können. + +=== Fallstricke bei der DNS Konfiguration +In Netzwerken, in denen stärkere Gateway Hard- und Software zum Einsatz kommt, kann es sein, dass die Funktion der _"DNS rebind protection"_ aktiviert ist. Die DNS rebind protection ist im wesentlichen als Sicherheitsfeature anzusehen und soll verhindern, dass im Internet aufgelöste FQDNs in eine private/lokale IP-Adresse (zB. für einen Phishing Server im lokalen Netz) übersetzt werden dürfen. Einige Dienste sind jedoch darauf ausgelegt, dass die Auflösung der FQDNs auch private/lokale IP-Adressen zurückgeben darf, so wie im Fall des eRezeptes. Die IP-Adressen hierfür stammen aus dem _"Shared address space"_. + +Ein Beispiel für eine Gateway Software, die diese Funktion standardmäßig aktiviert hat, ist die Open-source Lösung OPNsense. Sie basiert auf BSD und nutzt als DNS Dienst die Software Unbound. From 4e4460eac9d8ec3b06d612e5e92b1c75f005aa09 Mon Sep 17 00:00:00 2001 From: Alex Mitzsch <43502191+mitzsch@users.noreply.github.com> Date: Mon, 28 Aug 2023 11:35:17 +0200 Subject: [PATCH 2/9] Add more info regarding dns rebind protection Adds more information about DNS rebind protection, like diagnosis, how to fix (added steps for OPNsense firewall) and check. --- docs_sources/ti_configuration-source.adoc | 35 +++++++++++++++++++++++ 1 file changed, 35 insertions(+) diff --git a/docs_sources/ti_configuration-source.adoc b/docs_sources/ti_configuration-source.adoc index 7a66a55a..17344fff 100644 --- a/docs_sources/ti_configuration-source.adoc +++ b/docs_sources/ti_configuration-source.adoc @@ -96,3 +96,38 @@ Die Alternative dazu nutzt den Konnektor für die Namensauflösung nicht direkt. In Netzwerken, in denen stärkere Gateway Hard- und Software zum Einsatz kommt, kann es sein, dass die Funktion der _"DNS rebind protection"_ aktiviert ist. Die DNS rebind protection ist im wesentlichen als Sicherheitsfeature anzusehen und soll verhindern, dass im Internet aufgelöste FQDNs in eine private/lokale IP-Adresse (zB. für einen Phishing Server im lokalen Netz) übersetzt werden dürfen. Einige Dienste sind jedoch darauf ausgelegt, dass die Auflösung der FQDNs auch private/lokale IP-Adressen zurückgeben darf, so wie im Fall des eRezeptes. Die IP-Adressen hierfür stammen aus dem _"Shared address space"_. Ein Beispiel für eine Gateway Software, die diese Funktion standardmäßig aktiviert hat, ist die Open-source Lösung OPNsense. Sie basiert auf BSD und nutzt als DNS Dienst die Software Unbound. + +==== Diagnose +Eine einfach DNS record abfrage kann mögliche Probleme bei der Namensauflösung aufzeigen. +Öffnen Sie hierfür ein Terminal unter Windows und geben folgende Zeile ein: `nslookup erp.zentral.erp.splitdns.ti-dienste.de` + +Erhalten Sie folgende Antwort, kann dies auf eine aktivierte _"DNS rebind protection"_ zurückzuführen sein. + +.... +>nslookup erp.zentral.erp.splitdns.ti-dienste.de +Server: OPNsense.home +Address: 192.168.1.1 + +*** Keine internal type for both IPv4 and IPv6 Addresses (A+AAAA)-Einträge für erp.zentral.erp.splitdns.ti-dienste.de verfügbar. +.... + +==== Lösung der Problematik +Eine Ausnahme für die Auflösung der Adressen `splitdns.ti-dienste.de` und `*.telematik` für den Fachdienst des eRezeptes müssen in den DNS Einstellungen des DNS Servers eingetragen werden. + +Im Falle einer OPNsense Firewall ist dies im Web Interface in wenigen Schritten getan. Öffnen Sie die Weboberfläche und klicken Sie auf der linken Seite auf [Dienste], weiter auf [Unbound DNS] dort auf [Erweitert]. +Suchen Sie hier den Punkt [private Domains], tragen Sie dort die Adresse `splitdns.ti-dienste.de` ein und bestätigen Sie die Eingabe mit Enter. Führen Sie dies genauso mit der `*.telematik` Adresse durch. Wenn Sie +dies abgeschlossen haben, scrollen Sie an das Ende der Seite und klicken Sie [Anwenden]. Der Dienst übernimmt nun die Einstellungen. + +==== Kontrolle +Eine erneute DNS Abfrage sollte nun die aufgelösten Adressen zurückgeben: + +.... +>nslookup erp.zentral.erp.splitdns.ti-dienste.de +Server: OPNsense.home +Address: 192.168.1.1 + +Nicht autorisierende Antwort: +Name: erp.zentral.erp.splitdns.ti-dienste.de +Addresses: 100.102.28.10 + 100.102.29.10 +.... From 49086d41850f0bb3f0326d2730e75c589bab8ffa Mon Sep 17 00:00:00 2001 From: Alex Mitzsch <43502191+mitzsch@users.noreply.github.com> Date: Mon, 28 Aug 2023 11:40:53 +0200 Subject: [PATCH 3/9] Cosmetic changes Spelling mistakes... --- docs_sources/ti_configuration-source.adoc | 12 ++++++------ 1 file changed, 6 insertions(+), 6 deletions(-) diff --git a/docs_sources/ti_configuration-source.adoc b/docs_sources/ti_configuration-source.adoc index 17344fff..ee6dd005 100644 --- a/docs_sources/ti_configuration-source.adoc +++ b/docs_sources/ti_configuration-source.adoc @@ -98,11 +98,10 @@ In Netzwerken, in denen stärkere Gateway Hard- und Software zum Einsatz kommt, Ein Beispiel für eine Gateway Software, die diese Funktion standardmäßig aktiviert hat, ist die Open-source Lösung OPNsense. Sie basiert auf BSD und nutzt als DNS Dienst die Software Unbound. ==== Diagnose -Eine einfach DNS record abfrage kann mögliche Probleme bei der Namensauflösung aufzeigen. -Öffnen Sie hierfür ein Terminal unter Windows und geben folgende Zeile ein: `nslookup erp.zentral.erp.splitdns.ti-dienste.de` +Eine einfach DNS Abfrage kann mögliche Probleme bei der Namensauflösung aufzeigen. +Öffnen Sie hierfür ein Terminal unter Windows und geben Sie folgende Zeile ein: `nslookup erp.zentral.erp.splitdns.ti-dienste.de` Erhalten Sie folgende Antwort, kann dies auf eine aktivierte _"DNS rebind protection"_ zurückzuführen sein. - .... >nslookup erp.zentral.erp.splitdns.ti-dienste.de Server: OPNsense.home @@ -114,9 +113,10 @@ Address: 192.168.1.1 ==== Lösung der Problematik Eine Ausnahme für die Auflösung der Adressen `splitdns.ti-dienste.de` und `*.telematik` für den Fachdienst des eRezeptes müssen in den DNS Einstellungen des DNS Servers eingetragen werden. -Im Falle einer OPNsense Firewall ist dies im Web Interface in wenigen Schritten getan. Öffnen Sie die Weboberfläche und klicken Sie auf der linken Seite auf [Dienste], weiter auf [Unbound DNS] dort auf [Erweitert]. -Suchen Sie hier den Punkt [private Domains], tragen Sie dort die Adresse `splitdns.ti-dienste.de` ein und bestätigen Sie die Eingabe mit Enter. Führen Sie dies genauso mit der `*.telematik` Adresse durch. Wenn Sie -dies abgeschlossen haben, scrollen Sie an das Ende der Seite und klicken Sie [Anwenden]. Der Dienst übernimmt nun die Einstellungen. +===== OPNsense-Konfiguration +Im Falle einer OPNsense Firewall ist dies im Web Interface in wenigen Schritten getan. Öffnen Sie das Web Interface und klicken Sie auf der linken Seite auf [Dienste], weiter auf [Unbound DNS] und dort auf [Erweitert]. +Suchen Sie hier den Punkt [private Domains], tragen Sie dort die Adresse `splitdns.ti-dienste.de` ein und bestätigen Sie die Eingabe mit Enter. Führen Sie dies genauso mit der `*.telematik` Adresse durch. +Wenn Sie dies abgeschlossen haben, scrollen Sie an das Ende der Seite und klicken Sie [Anwenden]. Der Dienst übernimmt nun die Einstellungen. ==== Kontrolle Eine erneute DNS Abfrage sollte nun die aufgelösten Adressen zurückgeben: From 596a3274fda1c55c4ecbf31ddf93cb425443a33f Mon Sep 17 00:00:00 2001 From: Florian Schoffke Date: Tue, 29 Aug 2023 07:42:51 +0200 Subject: [PATCH 4/9] run build script --- docs/ti_configuration.adoc | 42 +++++++++++++++++++++++++++++++++++++- 1 file changed, 41 insertions(+), 1 deletion(-) diff --git a/docs/ti_configuration.adoc b/docs/ti_configuration.adoc index 10adfd93..c2960d05 100644 --- a/docs/ti_configuration.adoc +++ b/docs/ti_configuration.adoc @@ -100,4 +100,44 @@ Die Adresse des Apothekenverzeichnisses apovzd.zentral.erp.splitdns.ti-dienste.d Eine Variante der direkten Namensauflösung für Adressen der Telematikinfrastruktur ist, den Konnektor als primären DNS-Server über die Netzwerkkonfiguration durch den DHCP-Server in den Clients festzulegen. FQDNs der TI werden dann vom Konnektor durch den Namensdienst der TI aufgelöst, alle übrigen Adressen löst der Konnektor durch einen Namensdienst im Internet auf. Diese Funktionsweise stellt sich wie eine Reihenschaltung dar, nur dass der Konnektor nicht das Default-Gateway der Clients ist. === Anderer DNS-Resolver im lokalen Netz -Die Alternative dazu nutzt den Konnektor für die Namensauflösung nicht direkt. In Netzwerken mit eigenem Domain Controler lässt sich ein domain-spezifischer Forwarder konfigurieren, mit dem die Adressen `splitdns.ti-dienste.de` und die Adressen mit `*.telematik` über den Konnektor in IP-Adresssen der TI aufgelöst werden können. +Die Alternative dazu nutzt den Konnektor für die Namensauflösung nicht direkt. In Netzwerken mit eigenem Domain Controller lässt sich ein domain-spezifischer Forwarder konfigurieren, mit dem die Adressen `splitdns.ti-dienste.de` und die Adressen mit `*.telematik` über den Konnektor in IP-Adressen der TI aufgelöst werden können. + +=== Fallstricke bei der DNS Konfiguration +In Netzwerken, in denen stärkere Gateway Hard- und Software zum Einsatz kommt, kann es sein, dass die Funktion der _"DNS rebind protection"_ aktiviert ist. Die DNS rebind protection ist im wesentlichen als Sicherheitsfeature anzusehen und soll verhindern, dass im Internet aufgelöste FQDNs in eine private/lokale IP-Adresse (zB. für einen Phishing Server im lokalen Netz) übersetzt werden dürfen. Einige Dienste sind jedoch darauf ausgelegt, dass die Auflösung der FQDNs auch private/lokale IP-Adressen zurückgeben darf, so wie im Fall des eRezeptes. Die IP-Adressen hierfür stammen aus dem _"Shared address space"_. + +Ein Beispiel für eine Gateway Software, die diese Funktion standardmäßig aktiviert hat, ist die Open-source Lösung OPNsense. Sie basiert auf BSD und nutzt als DNS Dienst die Software Unbound. + +==== Diagnose +Eine einfach DNS Abfrage kann mögliche Probleme bei der Namensauflösung aufzeigen. +Öffnen Sie hierfür ein Terminal unter Windows und geben Sie folgende Zeile ein: `nslookup erp.zentral.erp.splitdns.ti-dienste.de` + +Erhalten Sie folgende Antwort, kann dies auf eine aktivierte _"DNS rebind protection"_ zurückzuführen sein. +.... +>nslookup erp.zentral.erp.splitdns.ti-dienste.de +Server: OPNsense.home +Address: 192.168.1.1 + +*** Keine internal type for both IPv4 and IPv6 Addresses (A+AAAA)-Einträge für erp.zentral.erp.splitdns.ti-dienste.de verfügbar. +.... + +==== Lösung der Problematik +Eine Ausnahme für die Auflösung der Adressen `splitdns.ti-dienste.de` und `*.telematik` für den Fachdienst des eRezeptes müssen in den DNS Einstellungen des DNS Servers eingetragen werden. + +===== OPNsense-Konfiguration +Im Falle einer OPNsense Firewall ist dies im Web Interface in wenigen Schritten getan. Öffnen Sie das Web Interface und klicken Sie auf der linken Seite auf [Dienste], weiter auf [Unbound DNS] und dort auf [Erweitert]. +Suchen Sie hier den Punkt [private Domains], tragen Sie dort die Adresse `splitdns.ti-dienste.de` ein und bestätigen Sie die Eingabe mit Enter. Führen Sie dies genauso mit der `*.telematik` Adresse durch. +Wenn Sie dies abgeschlossen haben, scrollen Sie an das Ende der Seite und klicken Sie [Anwenden]. Der Dienst übernimmt nun die Einstellungen. + +==== Kontrolle +Eine erneute DNS Abfrage sollte nun die aufgelösten Adressen zurückgeben: + +.... +>nslookup erp.zentral.erp.splitdns.ti-dienste.de +Server: OPNsense.home +Address: 192.168.1.1 + +Nicht autorisierende Antwort: +Name: erp.zentral.erp.splitdns.ti-dienste.de +Addresses: 100.102.28.10 + 100.102.29.10 +.... From 8a9dbfc2906a07c168fc687dd832ac509d23fde4 Mon Sep 17 00:00:00 2001 From: Alex Mitzsch <43502191+mitzsch@users.noreply.github.com> Date: Tue, 29 Aug 2023 09:50:39 +0200 Subject: [PATCH 5/9] Fallstricke > Fehlerbehebung --- docs_sources/ti_configuration-source.adoc | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/docs_sources/ti_configuration-source.adoc b/docs_sources/ti_configuration-source.adoc index ee6dd005..d2f258c7 100644 --- a/docs_sources/ti_configuration-source.adoc +++ b/docs_sources/ti_configuration-source.adoc @@ -92,7 +92,7 @@ Eine Variante der direkten Namensauflösung für Adressen der Telematikinfrastru === Anderer DNS-Resolver im lokalen Netz Die Alternative dazu nutzt den Konnektor für die Namensauflösung nicht direkt. In Netzwerken mit eigenem Domain Controller lässt sich ein domain-spezifischer Forwarder konfigurieren, mit dem die Adressen `splitdns.ti-dienste.de` und die Adressen mit `*.telematik` über den Konnektor in IP-Adressen der TI aufgelöst werden können. -=== Fallstricke bei der DNS Konfiguration +=== Fehlerbehandlung der DNS Konfiguration In Netzwerken, in denen stärkere Gateway Hard- und Software zum Einsatz kommt, kann es sein, dass die Funktion der _"DNS rebind protection"_ aktiviert ist. Die DNS rebind protection ist im wesentlichen als Sicherheitsfeature anzusehen und soll verhindern, dass im Internet aufgelöste FQDNs in eine private/lokale IP-Adresse (zB. für einen Phishing Server im lokalen Netz) übersetzt werden dürfen. Einige Dienste sind jedoch darauf ausgelegt, dass die Auflösung der FQDNs auch private/lokale IP-Adressen zurückgeben darf, so wie im Fall des eRezeptes. Die IP-Adressen hierfür stammen aus dem _"Shared address space"_. Ein Beispiel für eine Gateway Software, die diese Funktion standardmäßig aktiviert hat, ist die Open-source Lösung OPNsense. Sie basiert auf BSD und nutzt als DNS Dienst die Software Unbound. From 541f38d2129d03ee1ad9fde517857ad1e1e3debe Mon Sep 17 00:00:00 2001 From: Alex Mitzsch <43502191+mitzsch@users.noreply.github.com> Date: Tue, 29 Aug 2023 10:02:24 +0200 Subject: [PATCH 6/9] im wesentlich > im Wesentlichen --- docs_sources/ti_configuration-source.adoc | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/docs_sources/ti_configuration-source.adoc b/docs_sources/ti_configuration-source.adoc index d2f258c7..0898a98a 100644 --- a/docs_sources/ti_configuration-source.adoc +++ b/docs_sources/ti_configuration-source.adoc @@ -93,7 +93,7 @@ Eine Variante der direkten Namensauflösung für Adressen der Telematikinfrastru Die Alternative dazu nutzt den Konnektor für die Namensauflösung nicht direkt. In Netzwerken mit eigenem Domain Controller lässt sich ein domain-spezifischer Forwarder konfigurieren, mit dem die Adressen `splitdns.ti-dienste.de` und die Adressen mit `*.telematik` über den Konnektor in IP-Adressen der TI aufgelöst werden können. === Fehlerbehandlung der DNS Konfiguration -In Netzwerken, in denen stärkere Gateway Hard- und Software zum Einsatz kommt, kann es sein, dass die Funktion der _"DNS rebind protection"_ aktiviert ist. Die DNS rebind protection ist im wesentlichen als Sicherheitsfeature anzusehen und soll verhindern, dass im Internet aufgelöste FQDNs in eine private/lokale IP-Adresse (zB. für einen Phishing Server im lokalen Netz) übersetzt werden dürfen. Einige Dienste sind jedoch darauf ausgelegt, dass die Auflösung der FQDNs auch private/lokale IP-Adressen zurückgeben darf, so wie im Fall des eRezeptes. Die IP-Adressen hierfür stammen aus dem _"Shared address space"_. +In Netzwerken, in denen stärkere Gateway Hard- und Software zum Einsatz kommt, kann es sein, dass die Funktion der _"DNS rebind protection"_ aktiviert ist. Die DNS rebind protection ist im Wesentlichen als Sicherheitsfeature anzusehen und soll verhindern, dass im Internet aufgelöste FQDNs in eine private/lokale IP-Adresse (zB. für einen Phishing Server im lokalen Netz) übersetzt werden dürfen. Einige Dienste sind jedoch darauf ausgelegt, dass die Auflösung der FQDNs auch private/lokale IP-Adressen zurückgeben darf, so wie im Fall des eRezeptes. Die IP-Adressen hierfür stammen aus dem _"Shared address space"_. Ein Beispiel für eine Gateway Software, die diese Funktion standardmäßig aktiviert hat, ist die Open-source Lösung OPNsense. Sie basiert auf BSD und nutzt als DNS Dienst die Software Unbound. From 5868aab672db313b7d9521360cca13fd401f31dc Mon Sep 17 00:00:00 2001 From: Alex Mitzsch <43502191+mitzsch@users.noreply.github.com> Date: Tue, 29 Aug 2023 10:13:19 +0200 Subject: [PATCH 7/9] rebind > rebinding + eRezeptes > E-Rezepts --- docs_sources/ti_configuration-source.adoc | 6 +++--- 1 file changed, 3 insertions(+), 3 deletions(-) diff --git a/docs_sources/ti_configuration-source.adoc b/docs_sources/ti_configuration-source.adoc index 0898a98a..2d30e32d 100644 --- a/docs_sources/ti_configuration-source.adoc +++ b/docs_sources/ti_configuration-source.adoc @@ -93,7 +93,7 @@ Eine Variante der direkten Namensauflösung für Adressen der Telematikinfrastru Die Alternative dazu nutzt den Konnektor für die Namensauflösung nicht direkt. In Netzwerken mit eigenem Domain Controller lässt sich ein domain-spezifischer Forwarder konfigurieren, mit dem die Adressen `splitdns.ti-dienste.de` und die Adressen mit `*.telematik` über den Konnektor in IP-Adressen der TI aufgelöst werden können. === Fehlerbehandlung der DNS Konfiguration -In Netzwerken, in denen stärkere Gateway Hard- und Software zum Einsatz kommt, kann es sein, dass die Funktion der _"DNS rebind protection"_ aktiviert ist. Die DNS rebind protection ist im Wesentlichen als Sicherheitsfeature anzusehen und soll verhindern, dass im Internet aufgelöste FQDNs in eine private/lokale IP-Adresse (zB. für einen Phishing Server im lokalen Netz) übersetzt werden dürfen. Einige Dienste sind jedoch darauf ausgelegt, dass die Auflösung der FQDNs auch private/lokale IP-Adressen zurückgeben darf, so wie im Fall des eRezeptes. Die IP-Adressen hierfür stammen aus dem _"Shared address space"_. +In Netzwerken, in denen stärkere Gateway Hard- und Software zum Einsatz kommt, kann es sein, dass die Funktion der _"DNS rebinding protection"_ aktiviert ist. Die DNS rebinding protection ist im Wesentlichen als Sicherheitsfeature anzusehen und soll verhindern, dass im Internet aufgelöste FQDNs in eine private/lokale IP-Adresse (zB. für einen Phishing Server im lokalen Netz) übersetzt werden dürfen. Einige Dienste sind jedoch darauf ausgelegt, dass die Auflösung der FQDNs auch private/lokale IP-Adressen zurückgeben darf, so wie im Fall des E-Rezepts. Die IP-Adressen hierfür stammen aus dem _"shared address space"_. Ein Beispiel für eine Gateway Software, die diese Funktion standardmäßig aktiviert hat, ist die Open-source Lösung OPNsense. Sie basiert auf BSD und nutzt als DNS Dienst die Software Unbound. @@ -101,7 +101,7 @@ Ein Beispiel für eine Gateway Software, die diese Funktion standardmäßig akti Eine einfach DNS Abfrage kann mögliche Probleme bei der Namensauflösung aufzeigen. Öffnen Sie hierfür ein Terminal unter Windows und geben Sie folgende Zeile ein: `nslookup erp.zentral.erp.splitdns.ti-dienste.de` -Erhalten Sie folgende Antwort, kann dies auf eine aktivierte _"DNS rebind protection"_ zurückzuführen sein. +Erhalten Sie folgende Antwort, kann dies auf eine aktivierte _"DNS rebinding protection"_ zurückzuführen sein. .... >nslookup erp.zentral.erp.splitdns.ti-dienste.de Server: OPNsense.home @@ -111,7 +111,7 @@ Address: 192.168.1.1 .... ==== Lösung der Problematik -Eine Ausnahme für die Auflösung der Adressen `splitdns.ti-dienste.de` und `*.telematik` für den Fachdienst des eRezeptes müssen in den DNS Einstellungen des DNS Servers eingetragen werden. +Eine Ausnahme für die Auflösung der Adressen `splitdns.ti-dienste.de` und `*.telematik` für den Fachdienst des E-Rezepts müssen in den DNS Einstellungen des DNS Servers eingetragen werden. ===== OPNsense-Konfiguration Im Falle einer OPNsense Firewall ist dies im Web Interface in wenigen Schritten getan. Öffnen Sie das Web Interface und klicken Sie auf der linken Seite auf [Dienste], weiter auf [Unbound DNS] und dort auf [Erweitert]. From a28c6f1c2a1ee8e7ebbc07a30840d55fc108fd43 Mon Sep 17 00:00:00 2001 From: Alex Mitzsch <43502191+mitzsch@users.noreply.github.com> Date: Tue, 29 Aug 2023 10:14:25 +0200 Subject: [PATCH 8/9] "in private/lokale IP-Adressen" --- docs_sources/ti_configuration-source.adoc | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/docs_sources/ti_configuration-source.adoc b/docs_sources/ti_configuration-source.adoc index 2d30e32d..39f4618b 100644 --- a/docs_sources/ti_configuration-source.adoc +++ b/docs_sources/ti_configuration-source.adoc @@ -93,7 +93,7 @@ Eine Variante der direkten Namensauflösung für Adressen der Telematikinfrastru Die Alternative dazu nutzt den Konnektor für die Namensauflösung nicht direkt. In Netzwerken mit eigenem Domain Controller lässt sich ein domain-spezifischer Forwarder konfigurieren, mit dem die Adressen `splitdns.ti-dienste.de` und die Adressen mit `*.telematik` über den Konnektor in IP-Adressen der TI aufgelöst werden können. === Fehlerbehandlung der DNS Konfiguration -In Netzwerken, in denen stärkere Gateway Hard- und Software zum Einsatz kommt, kann es sein, dass die Funktion der _"DNS rebinding protection"_ aktiviert ist. Die DNS rebinding protection ist im Wesentlichen als Sicherheitsfeature anzusehen und soll verhindern, dass im Internet aufgelöste FQDNs in eine private/lokale IP-Adresse (zB. für einen Phishing Server im lokalen Netz) übersetzt werden dürfen. Einige Dienste sind jedoch darauf ausgelegt, dass die Auflösung der FQDNs auch private/lokale IP-Adressen zurückgeben darf, so wie im Fall des E-Rezepts. Die IP-Adressen hierfür stammen aus dem _"shared address space"_. +In Netzwerken, in denen stärkere Gateway Hard- und Software zum Einsatz kommt, kann es sein, dass die Funktion der _"DNS rebinding protection"_ aktiviert ist. Die DNS rebinding protection ist im Wesentlichen als Sicherheitsfeature anzusehen und soll verhindern, dass im Internet aufgelöste FQDNs in private/lokale IP-Adressen (zB. für einen Phishing Server im lokalen Netz) übersetzt werden dürfen. Einige Dienste sind jedoch darauf ausgelegt, dass die Auflösung der FQDNs auch private/lokale IP-Adressen zurückgeben darf, so wie im Fall des E-Rezepts. Die IP-Adressen hierfür stammen aus dem _"shared address space"_. Ein Beispiel für eine Gateway Software, die diese Funktion standardmäßig aktiviert hat, ist die Open-source Lösung OPNsense. Sie basiert auf BSD und nutzt als DNS Dienst die Software Unbound. From f9f9d289c83745face48bee7dc3dc06b7fcf3e44 Mon Sep 17 00:00:00 2001 From: Florian Schoffke Date: Tue, 29 Aug 2023 13:23:06 +0200 Subject: [PATCH 9/9] build ti_configuration file --- docs/ti_configuration.adoc | 8 ++++---- 1 file changed, 4 insertions(+), 4 deletions(-) diff --git a/docs/ti_configuration.adoc b/docs/ti_configuration.adoc index c2960d05..15bc07a8 100644 --- a/docs/ti_configuration.adoc +++ b/docs/ti_configuration.adoc @@ -102,8 +102,8 @@ Eine Variante der direkten Namensauflösung für Adressen der Telematikinfrastru === Anderer DNS-Resolver im lokalen Netz Die Alternative dazu nutzt den Konnektor für die Namensauflösung nicht direkt. In Netzwerken mit eigenem Domain Controller lässt sich ein domain-spezifischer Forwarder konfigurieren, mit dem die Adressen `splitdns.ti-dienste.de` und die Adressen mit `*.telematik` über den Konnektor in IP-Adressen der TI aufgelöst werden können. -=== Fallstricke bei der DNS Konfiguration -In Netzwerken, in denen stärkere Gateway Hard- und Software zum Einsatz kommt, kann es sein, dass die Funktion der _"DNS rebind protection"_ aktiviert ist. Die DNS rebind protection ist im wesentlichen als Sicherheitsfeature anzusehen und soll verhindern, dass im Internet aufgelöste FQDNs in eine private/lokale IP-Adresse (zB. für einen Phishing Server im lokalen Netz) übersetzt werden dürfen. Einige Dienste sind jedoch darauf ausgelegt, dass die Auflösung der FQDNs auch private/lokale IP-Adressen zurückgeben darf, so wie im Fall des eRezeptes. Die IP-Adressen hierfür stammen aus dem _"Shared address space"_. +=== Fehlerbehandlung der DNS Konfiguration +In Netzwerken, in denen stärkere Gateway Hard- und Software zum Einsatz kommt, kann es sein, dass die Funktion der _"DNS rebinding protection"_ aktiviert ist. Die DNS rebinding protection ist im Wesentlichen als Sicherheitsfeature anzusehen und soll verhindern, dass im Internet aufgelöste FQDNs in private/lokale IP-Adressen (zB. für einen Phishing Server im lokalen Netz) übersetzt werden dürfen. Einige Dienste sind jedoch darauf ausgelegt, dass die Auflösung der FQDNs auch private/lokale IP-Adressen zurückgeben darf, so wie im Fall des E-Rezepts. Die IP-Adressen hierfür stammen aus dem _"shared address space"_. Ein Beispiel für eine Gateway Software, die diese Funktion standardmäßig aktiviert hat, ist die Open-source Lösung OPNsense. Sie basiert auf BSD und nutzt als DNS Dienst die Software Unbound. @@ -111,7 +111,7 @@ Ein Beispiel für eine Gateway Software, die diese Funktion standardmäßig akti Eine einfach DNS Abfrage kann mögliche Probleme bei der Namensauflösung aufzeigen. Öffnen Sie hierfür ein Terminal unter Windows und geben Sie folgende Zeile ein: `nslookup erp.zentral.erp.splitdns.ti-dienste.de` -Erhalten Sie folgende Antwort, kann dies auf eine aktivierte _"DNS rebind protection"_ zurückzuführen sein. +Erhalten Sie folgende Antwort, kann dies auf eine aktivierte _"DNS rebinding protection"_ zurückzuführen sein. .... >nslookup erp.zentral.erp.splitdns.ti-dienste.de Server: OPNsense.home @@ -121,7 +121,7 @@ Address: 192.168.1.1 .... ==== Lösung der Problematik -Eine Ausnahme für die Auflösung der Adressen `splitdns.ti-dienste.de` und `*.telematik` für den Fachdienst des eRezeptes müssen in den DNS Einstellungen des DNS Servers eingetragen werden. +Eine Ausnahme für die Auflösung der Adressen `splitdns.ti-dienste.de` und `*.telematik` für den Fachdienst des E-Rezepts müssen in den DNS Einstellungen des DNS Servers eingetragen werden. ===== OPNsense-Konfiguration Im Falle einer OPNsense Firewall ist dies im Web Interface in wenigen Schritten getan. Öffnen Sie das Web Interface und klicken Sie auf der linken Seite auf [Dienste], weiter auf [Unbound DNS] und dort auf [Erweitert].