Hallo,
ich möchte erreichen, dass ein Server im LAN (Nutzung nur als FileServer) nur Zugriff auf die für Windows Update notwendigen Dienste Zugriff hat und ansonsten zum WAN dicht ist. Wie kann ich dies mit meinem 1823 anzustellen? Hat das jemand bereits umgesetzt?
Firewall nur für Windows Update öffnen
Moderator: Lancom-Systems Moderatoren
Hi ptc,
das Problem ist, daß hinter dem Windowsupdate eine Serverfarm steht, die Firewall aler nicht mit DNS-Namen umgehen kann.
Daher mußt du alle für das Windowsupdate genutzten Adressen ermitteln und kannst diese in einer Allow-Regel eintragen. Zusätzlich brauchst du dann noch eine Deny-All-Regel. Damit kann der Server aber trotzdem mehr, als nur auf das Windowsupdate zugreifen - er kommt auf alles, was auf den angegebenen IP-Adressen liegt.
Die einzige Chance, die du hast, das dicht zumachen, besteht in einem Proxy, den du vor deinen Server stellst und der ihm wirklich nur den Zugriff auf das Windowsupdate erlaubt.
Gruß
Backslash
das Problem ist, daß hinter dem Windowsupdate eine Serverfarm steht, die Firewall aler nicht mit DNS-Namen umgehen kann.
Daher mußt du alle für das Windowsupdate genutzten Adressen ermitteln und kannst diese in einer Allow-Regel eintragen. Zusätzlich brauchst du dann noch eine Deny-All-Regel. Damit kann der Server aber trotzdem mehr, als nur auf das Windowsupdate zugreifen - er kommt auf alles, was auf den angegebenen IP-Adressen liegt.
Die einzige Chance, die du hast, das dicht zumachen, besteht in einem Proxy, den du vor deinen Server stellst und der ihm wirklich nur den Zugriff auf das Windowsupdate erlaubt.
Gruß
Backslash
Danke für die prompte Antwort. Kann mir vorstellen, das ging schon einigen durch den Kopf.
Der Sache über IP's beizukommen würde nicht praktikabel sein, gerade wegen der breiten PI-Bereiche. Meine Idee war ein negierter DNS-Filter, nur die erfassten DNS's zu erlauben - vor allem nur für diesen Rechner. Nach einigem Suchen fanden sich 5 oder 6 verwendete DNS. Dieses Prinzip konnte wohl schon umgesetzt werden.
Ich weiß, dass die Sache mit erlaubten DNS neue Angriffsflächen bilden könnte. Trotzdem würde ich diesen Ansatz gern umsetzen können. Hat jemand einen Vorschlag?
Der Sache über IP's beizukommen würde nicht praktikabel sein, gerade wegen der breiten PI-Bereiche. Meine Idee war ein negierter DNS-Filter, nur die erfassten DNS's zu erlauben - vor allem nur für diesen Rechner. Nach einigem Suchen fanden sich 5 oder 6 verwendete DNS. Dieses Prinzip konnte wohl schon umgesetzt werden.
Ich weiß, dass die Sache mit erlaubten DNS neue Angriffsflächen bilden könnte. Trotzdem würde ich diesen Ansatz gern umsetzen können. Hat jemand einen Vorschlag?
Hi ptc
das Problem ist, daß es im LANCOM keine positiv-Filter für DNS-Namen gibt, denn dann könnte man speziell für den Server zwei Einträge in der Filter-Tabelle erstellen - einen der für den Server alles blockt und einen, der die Domains des Windowsupdate erlaubt.
Aber selbst das würde ja dein Problem nicht lösen, weil ein DNS-Filter Zugriffe, die direkt an eine IP-Adresse gerichtet sind, nicht filtern kann - das ist so wie mit dem tollen Kinderporno-Stopschild, das ein 10 jähriger innerhalb von 20 Sekunden umgeht...
Du könntest aber hingehen und einfach für jede der beim Windowsupdate genutzten Domains nur eine IP in der Firewall freigeben und im DNS-Server des LANCOMs passende Einträge machen, die den Domains immer diese IP zuweist. Das geht solange gut, bis Microsoft diese IP-Adresse aus dem Pool nimmt...
Gruß
Backslash
das Problem ist, daß es im LANCOM keine positiv-Filter für DNS-Namen gibt, denn dann könnte man speziell für den Server zwei Einträge in der Filter-Tabelle erstellen - einen der für den Server alles blockt und einen, der die Domains des Windowsupdate erlaubt.
Aber selbst das würde ja dein Problem nicht lösen, weil ein DNS-Filter Zugriffe, die direkt an eine IP-Adresse gerichtet sind, nicht filtern kann - das ist so wie mit dem tollen Kinderporno-Stopschild, das ein 10 jähriger innerhalb von 20 Sekunden umgeht...
Du könntest aber hingehen und einfach für jede der beim Windowsupdate genutzten Domains nur eine IP in der Firewall freigeben und im DNS-Server des LANCOMs passende Einträge machen, die den Domains immer diese IP zuweist. Das geht solange gut, bis Microsoft diese IP-Adresse aus dem Pool nimmt...
Gruß
Backslash