Merge pull request #86 from mitzsch/dns-rebind-protection

Add Info about DNS rebind protection

docs/ti_configuration.adoc

@@ -100,4 +100,44 @@ Die Adresse des Apothekenverzeichnisses apovzd.zentral.erp.splitdns.ti-dienste.d
 Eine Variante der direkten Namensauflösung für Adressen der Telematikinfrastruktur ist, den Konnektor als primären DNS-Server über die Netzwerkkonfiguration durch den DHCP-Server in den Clients festzulegen. FQDNs der TI werden dann vom Konnektor durch den Namensdienst der TI aufgelöst, alle übrigen Adressen löst der Konnektor durch einen Namensdienst im Internet auf. Diese Funktionsweise stellt sich wie eine Reihenschaltung dar, nur dass der Konnektor nicht das Default-Gateway der Clients ist.
 
 === Anderer DNS-Resolver im lokalen Netz
-Die Alternative dazu nutzt den Konnektor für die Namensauflösung nicht direkt. In Netzwerken mit eigenem Domain Controler lässt sich ein domain-spezifischer Forwarder konfigurieren, mit dem die Adressen `splitdns.ti-dienste.de` und die Adressen mit `*.telematik` über den Konnektor in IP-Adresssen der TI aufgelöst werden können.
+Die Alternative dazu nutzt den Konnektor für die Namensauflösung nicht direkt. In Netzwerken mit eigenem Domain Controller lässt sich ein domain-spezifischer Forwarder konfigurieren, mit dem die Adressen `splitdns.ti-dienste.de` und die Adressen mit `*.telematik` über den Konnektor in IP-Adressen der TI aufgelöst werden können.
+
+=== Fehlerbehandlung der DNS Konfiguration
+In Netzwerken, in denen stärkere Gateway Hard- und Software zum Einsatz kommt, kann es sein, dass die Funktion der _"DNS rebinding protection"_ aktiviert ist. Die DNS rebinding protection ist im Wesentlichen als Sicherheitsfeature anzusehen und soll verhindern, dass im Internet aufgelöste FQDNs in private/lokale IP-Adressen (zB. für einen Phishing Server im lokalen Netz) übersetzt werden dürfen. Einige Dienste sind jedoch darauf ausgelegt, dass die Auflösung der FQDNs auch private/lokale IP-Adressen zurückgeben darf, so wie im Fall des E-Rezepts. Die IP-Adressen hierfür stammen aus dem _"shared address space"_.
+
+Ein Beispiel für eine Gateway Software, die diese Funktion standardmäßig aktiviert hat, ist die Open-source Lösung OPNsense. Sie basiert auf BSD und nutzt als DNS Dienst die Software Unbound.
+
+==== Diagnose
+Eine einfach DNS Abfrage kann mögliche Probleme bei der Namensauflösung aufzeigen.
+Öffnen Sie hierfür ein Terminal unter Windows und geben Sie folgende Zeile ein: `nslookup erp.zentral.erp.splitdns.ti-dienste.de`
+
+Erhalten Sie folgende Antwort, kann dies auf eine aktivierte _"DNS rebinding protection"_ zurückzuführen sein.
+....
+>nslookup erp.zentral.erp.splitdns.ti-dienste.de
+Server:  OPNsense.home
+Address:  192.168.1.1
+
+*** Keine internal type for both IPv4 and IPv6 Addresses (A+AAAA)-Einträge für erp.zentral.erp.splitdns.ti-dienste.de verfügbar.
+....
+
+==== Lösung der Problematik
+Eine Ausnahme für die Auflösung der Adressen `splitdns.ti-dienste.de` und `*.telematik` für den Fachdienst des E-Rezepts müssen in den DNS Einstellungen des DNS Servers eingetragen werden.
+
+===== OPNsense-Konfiguration
+Im Falle einer OPNsense Firewall ist dies im Web Interface in wenigen Schritten getan. Öffnen Sie das Web Interface und klicken Sie auf der linken Seite auf [Dienste], weiter auf [Unbound DNS] und dort auf [Erweitert].
+Suchen Sie hier den Punkt [private Domains], tragen Sie dort die Adresse `splitdns.ti-dienste.de` ein und bestätigen Sie die Eingabe mit Enter. Führen Sie dies genauso mit der `*.telematik` Adresse durch.
+Wenn Sie dies abgeschlossen haben, scrollen Sie an das Ende der Seite und klicken Sie [Anwenden]. Der Dienst übernimmt nun die Einstellungen.
+
+==== Kontrolle
+Eine erneute DNS Abfrage sollte nun die aufgelösten Adressen zurückgeben:
+
+....
+>nslookup erp.zentral.erp.splitdns.ti-dienste.de
+Server:  OPNsense.home
+Address:  192.168.1.1
+
+Nicht autorisierende Antwort:
+Name:    erp.zentral.erp.splitdns.ti-dienste.de
+Addresses:  100.102.28.10
+          100.102.29.10
+....

docs_sources/ti_configuration-source.adoc

@@ -90,4 +90,44 @@ Die Adresse des Apothekenverzeichnisses apovzd.zentral.erp.splitdns.ti-dienste.d
 Eine Variante der direkten Namensauflösung für Adressen der Telematikinfrastruktur ist, den Konnektor als primären DNS-Server über die Netzwerkkonfiguration durch den DHCP-Server in den Clients festzulegen. FQDNs der TI werden dann vom Konnektor durch den Namensdienst der TI aufgelöst, alle übrigen Adressen löst der Konnektor durch einen Namensdienst im Internet auf. Diese Funktionsweise stellt sich wie eine Reihenschaltung dar, nur dass der Konnektor nicht das Default-Gateway der Clients ist.
 
 === Anderer DNS-Resolver im lokalen Netz
-Die Alternative dazu nutzt den Konnektor für die Namensauflösung nicht direkt. In Netzwerken mit eigenem Domain Controler lässt sich ein domain-spezifischer Forwarder konfigurieren, mit dem die Adressen `splitdns.ti-dienste.de` und die Adressen mit `*.telematik` über den Konnektor in IP-Adresssen der TI aufgelöst werden können.
+Die Alternative dazu nutzt den Konnektor für die Namensauflösung nicht direkt. In Netzwerken mit eigenem Domain Controller lässt sich ein domain-spezifischer Forwarder konfigurieren, mit dem die Adressen `splitdns.ti-dienste.de` und die Adressen mit `*.telematik` über den Konnektor in IP-Adressen der TI aufgelöst werden können.
+
+=== Fehlerbehandlung der DNS Konfiguration
+In Netzwerken, in denen stärkere Gateway Hard- und Software zum Einsatz kommt, kann es sein, dass die Funktion der _"DNS rebinding protection"_ aktiviert ist. Die DNS rebinding protection ist im Wesentlichen als Sicherheitsfeature anzusehen und soll verhindern, dass im Internet aufgelöste FQDNs in private/lokale IP-Adressen (zB. für einen Phishing Server im lokalen Netz) übersetzt werden dürfen. Einige Dienste sind jedoch darauf ausgelegt, dass die Auflösung der FQDNs auch private/lokale IP-Adressen zurückgeben darf, so wie im Fall des E-Rezepts. Die IP-Adressen hierfür stammen aus dem _"shared address space"_. 
+
+Ein Beispiel für eine Gateway Software, die diese Funktion standardmäßig aktiviert hat, ist die Open-source Lösung OPNsense. Sie basiert auf BSD und nutzt als DNS Dienst die Software Unbound.
+
+==== Diagnose 
+Eine einfach DNS Abfrage kann mögliche Probleme bei der Namensauflösung aufzeigen. 
+Öffnen Sie hierfür ein Terminal unter Windows und geben Sie folgende Zeile ein: `nslookup erp.zentral.erp.splitdns.ti-dienste.de`
+
+Erhalten Sie folgende Antwort, kann dies auf eine aktivierte _"DNS rebinding protection"_ zurückzuführen sein.
+....
+>nslookup erp.zentral.erp.splitdns.ti-dienste.de
+Server:  OPNsense.home
+Address:  192.168.1.1
+ 
+*** Keine internal type for both IPv4 and IPv6 Addresses (A+AAAA)-Einträge für erp.zentral.erp.splitdns.ti-dienste.de verfügbar.
+....
+
+==== Lösung der Problematik
+Eine Ausnahme für die Auflösung der Adressen `splitdns.ti-dienste.de` und `*.telematik` für den Fachdienst des E-Rezepts müssen in den DNS Einstellungen des DNS Servers eingetragen werden.
+
+===== OPNsense-Konfiguration
+Im Falle einer OPNsense Firewall ist dies im Web Interface in wenigen Schritten getan. Öffnen Sie das Web Interface und klicken Sie auf der linken Seite auf [Dienste], weiter auf [Unbound DNS] und dort auf [Erweitert].
+Suchen Sie hier den Punkt [private Domains], tragen Sie dort die Adresse `splitdns.ti-dienste.de` ein und bestätigen Sie die Eingabe mit Enter. Führen Sie dies genauso mit der `*.telematik` Adresse durch. 
+Wenn Sie dies abgeschlossen haben, scrollen Sie an das Ende der Seite und klicken Sie [Anwenden]. Der Dienst übernimmt nun die Einstellungen. 
+
+==== Kontrolle
+Eine erneute DNS Abfrage sollte nun die aufgelösten Adressen zurückgeben:
+
+....
+>nslookup erp.zentral.erp.splitdns.ti-dienste.de
+Server:  OPNsense.home
+Address:  192.168.1.1
+
+Nicht autorisierende Antwort:
+Name:    erp.zentral.erp.splitdns.ti-dienste.de
+Addresses:  100.102.28.10
+          100.102.29.10
+....