 |
|
|
|
| Autor |
Nachricht |
ElPatron
Anmeldungsdatum: 06.02.2006
Beiträge: 23
|
 Verfasst am:
Di 19 Jun, 2007 14:57 |
  |
|
Vielleicht ein wenig off-topic, aber ich suche schon seit einer Weile nach dem IP Adressbereich von Microsofts Updateservern, um sie in einem DENY_ALL Regelsatz als Ausnahmeregel einzubauen.
Hat vielleicht jemand entsprechende Informationen?
Vielen Dank und Gruß,
markus |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
COMCARGRU
Anmeldungsdatum: 10.11.2004
Beiträge: 976
Wohnort: Hessen
|
| Verfasst am:
Di 19 Jun, 2007 15:24 |
|
|
Tach,
wie wäre es mit einem DNS-Lookup auf windowsupdate.microsoft.com?
Andererseits könnte auch Wireshark hilfreich sein?
Gruß
COMCARGRU |
_________________
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet??? |
|
|
|
ElPatron
Anmeldungsdatum: 06.02.2006
Beiträge: 23
|
| Verfasst am:
Di 19 Jun, 2007 15:58 |
|
|
| COMCARGRU hat folgendes geschrieben:
|
Tach,
wie wäre es mit einem DNS-Lookup auf windowsupdate.microsoft.com?
Andererseits könnte auch Wireshark hilfreich sein?
|
Die Ergebnisse solcher Recherchen sind nicht besonders hilfreich, da sie immer unterschiedlich ausfallen (Load Balancing bei MS?). Interessant wäre der tatsächlich benutze IP-Adressbereich oder eine explizite Liste der Server... - oder eine Möglichkeit, Firewallregeln auf Hostnamen zu triggern...
Gruß,
markus |
|
|
|
|
Jirka
Moderator
Anmeldungsdatum: 03.01.2005
Beiträge: 1905
Wohnort: Ex-OPAL-Gebiet
|
| Verfasst am:
Di 19 Jun, 2007 18:10 |
|
|
Hallo Markus,
> eine Möglichkeit, Firewallregeln auf Hostnamen zu triggern
Das geht leider nicht. Wäre sicher ganz interessant.
> aber ich suche schon seit einer Weile nach dem IP Adressbereich von Microsofts Updateservern
Ich auch.
> um sie in einem DENY_ALL Regelsatz als Ausnahmeregel einzubauen.
In meinem Fall würde ich sie ganz gerne über eine andere WAN-Verbindung rausschicken.
Also ich bin der Meinung, dass windowsupdate.microsoft.com nur zum abgleichen des Update-Standes verwendet wird, die eigentlichen Updates werden über eine Organisation AKAMAI Technologies geladen, und die haben glaube ich so einen großen Serverpark, dass man da nicht mehr von einem IP-Bereich sprechen kann ...
Viele Grüße,
Jirka |
|
|
|
|
Enno26
Anmeldungsdatum: 26.09.2006
Beiträge: 113
|
| Verfasst am:
Di 19 Jun, 2007 18:44 |
|
|
Warum setzt ihr nicht einfach nen WSUS Server ein, der kann doch über jede gewünschte Verbindung bzw. Richtung geroutet werden.
Wie Jirka schon richtig sagte laufen die MS Updates über akamai und somit über sehr viele IP- Adressen.
Info -> http://de.wikipedia.org/wiki/Akamai |
_________________
Lancom 1722 VoIP, L54g |
|
|
|
ElPatron
Anmeldungsdatum: 06.02.2006
Beiträge: 23
|
| Verfasst am:
Mi 20 Jun, 2007 08:27 |
|
|
| Enno26 hat folgendes geschrieben:
|
Warum setzt ihr nicht einfach nen WSUS Server ein, der kann doch über jede gewünschte Verbindung bzw. Richtung geroutet werden.
Wie Jirka schon richtig sagte laufen die MS Updates über akamai und somit über sehr viele IP- Adressen.
Info -> http://de.wikipedia.org/wiki/Akamai
|
Weil ich keine Lust habe, bei ca. 400 Kunden mit 4 bis 20 Rechnern einen WSUS aufzusetzen - das heißt: Lust schon, aber es bezahlt mir keiner...
Danke für den Wikipedia-Link!
markus |
|
|
|
|
gm
Anmeldungsdatum: 21.10.2006
Beiträge: 300
Wohnort: Großkonreuth
|
| Verfasst am:
Mi 20 Jun, 2007 10:48 |
|
|
Hi ElPatron,
glaube nicht, daß es ratsam ist die Windowsupdate-Server über die IP-Adressen festzumachen. Was ist, wenn Microsoft plötzlich die Adressen ändert? Dann bekommen deine 400 Kunden zunächst mal keine Updates mehr und stehen mit runtergelassenen Hosen neuer Schadsoftware gegenüber. Außerdem die Adressbereiche bei 400 Kunden zu pflegen wäre mir etwas viel arbeit. Da bist ja über 2 Monate drüber (1 Router je Kunde / 10 Std. Nettoarbeitszeit / max. 1 Stunde für Aufschalten, den Kunden bescheidgeben und umstellen). Bei so vielen Kunden könntest ja einen SUS bei dir oder bei einem Root-Server-Hoster einrichten und die Kunden per VPN darauf zugreifen lassen...
Falls Du Mitglied im MSDN oder Technet bist, bei so vielen Kunden gehe ich schwer davon aus, könntest ja direkt einen normalerweise kostenlosen Call bei Microsoft aufmachen, wäre gespannt was die dazu sagen.
Gruß
gm |
|
|
 |
|
ElPatron
Anmeldungsdatum: 06.02.2006
Beiträge: 23
|
| Verfasst am:
Do 21 Jun, 2007 21:53 |
|
|
Moin gm,
die Router wären per Script schnell aktualisiert, das wäre nicht das Thema, aber der Adressbereich von Akamai ist einfach zu groß...
Habe auf heise online einen Kommentar gefunden, der die Bereiche einigermaßen zu beschreiben scheint:
| Zitat:
|
heise online Forum-Kommentar
64.4.0.0 - 64.4.63.255 (64.4.0.0/18) : update.microsoft.com
195.0.0.0 - 195.255.255.255 (195.0.0.0/8) : akamaitechnologies.com
207.46.0.0 - 207.46.255.255 (207.46.0.0/16) : update.microsoft.com
208.174.0.0 - 208.175.127.255 (208.174.0.0/16 und 208.175.0.0/17) :
download.windowsupdate.com
208.175.160.0 - 208.175.223.255 (208.175.160.0/19 und
208.175.192.0/19) : download.windowsupdate.com
212.0.0.0 - 212.255.255.255 (212.0.0.0/8) :
download.windowsupdate.com
|
Gruß,
Markus |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Sa 23 Jun, 2007 16:12 |
|
|
Hi ElPatron
| Zitat:
|
|
oder eine Möglichkeit, Firewallregeln auf Hostnamen zu triggern...
|
das würde bei einer Serverfarm auch nicht unbedingt helfen, da eine vorwärtsauflösung des Namens immer eine andere IP-Adresse liefert und Reversauflösung der IP-Adresse nicht unbedingt den übergeordneten Namen...
Gruß
Backslash |
|
|
|
|
|
|
|
|
| |
|
|
