WSUS 3.0 mit SSL

[Deadlaw 10]

Hallo allerseits,

 

habe nur eine kurze Frage zu SSL beim WSUS 3.0.

 

Ich habe die remote admin console auf meinem ADminrechner installiert und greife so über Port 80 auf den WSUS zu. Somit wird ja auch mein Passwort im Klartext über das Netz geschickt, da ich mich ja im Grunde am IIS anmelde, richtig??

 

Ich habe nun ein Certificate erstellt, welches ich auf den IIS am Wsus binden könnte, damit ich über 443 über eine admin console zugreifen kann.

 

Wenn ich das Cert. einbinde, arbeiten die Clients danach normal weiter mit port 80?

 

Funktioniert das?

 

Vielen Dank schonma.

 

Gruß Marcel

[LukasB 10]

Dein Passwort zum IIS muss nicht zwingend im Klartext übertragen werden, dafür gibts schliesslich NTLM, welches das ganze schon verschlüsselt. Selbes auch die Sharepoint via HTTP, etc.

 

Grundsätzlich solltest du SSL für WSUS aktivieren, und die Clients nachher auch für den Zugriff via HTTPS forcieren (mittels "Verschlüsselte Verbindung erforderlich"). Machen musst du das allerdings nicht, d.h. nur weil dein wSUS SSL kann müssen die Clients nicht via SSL darauf zugreifen. Du kannst also SSL aktivieren und alles testen, und erst wenn du dir sicher bist das alles funktioniert die GPO auf SSL ändern (achtung, Clients müssen dem Zertifikat natürlich vertrauen).

[Necron 71]

Wenn ich das Cert. einbinde, arbeiten die Clients danach normal weiter mit port 80?

Ja das geht, solange du nicht die Option aktivierst, dass ein sicherer Kanal vorausgesetzt wird.

[Deadlaw 10]

naja die Clients müssen sich nicht unbedingt über ssl updaten.

 

Aber seid ihr sicher, dass diese Anmeldung auf der IIS Seite über Port 80 via NTLM geht? Wenn ja, ist es ja ok.

[LukasB 10]

Schau doch nach. Auf meinen Servern ists überall so, und ich hab das nicht von Hand geändert.

 

Ausserdem sollten die Clients SSL verwenden, sonst gibts MITM Angriffe um ihnen "falsche" Updates unterzujubeln.

[Necron 71]

Ausserdem sollten die Clients SSL verwenden, sonst gibts MITM Angriffe um ihnen "falsche" Updates unterzujubeln.

Wenn man das Problem ausschließen wollte oder schon den Verdacht hat, wäre eine Portsecurity wesentlich besser, aber auch teurer.

[LukasB 10]

Wenn man das Problem ausschließen wollte oder schon den Verdacht hat, wäre eine Portsecurity wesentlich besser, aber auch teurer.

 

Nein, Portsecurity ist dafür keine Lösung. Stichwort "Laptop", "Ausser Haus".

[Necron 71]

Nein, Portsecurity ist dafür keine Lösung. Stichwort "Laptop", "Ausser Haus".

Off-Topic:

Ich will darauf jetzt auch nicht genauer eingehen, aber ich sehe da konkret kein Problem drin. Ansonsten PN an mich, dann können wir darüber gerne diskutieren.;)

[WSUSPraxis 48]

@Lukas

 

 

Na sag uns was für ein Problem du darin siehst ?

[LukasB 10]

Naja, ein Laptop sucht auch ausserhalb der Domain Verbindung zum WSUS-Server.

 

Der WSUS Server wird vom Client nicht authentifiziert. Wenn man also in einem Untrusted LAN ist (z.B. Wireless Hotspot), einen passend konfigurierten DNS-Eintrag zurückliefert dann greift der Client darauf zu, und lädt sich dann "verseuchte" Updates herunter.

 

Die Updates selbst werden nicht per SSL verschlüsselt, da sie ja signiert sind. Die Informationen zur Signatur kommen aber über den Metadata-Channel, der Standardmässig nicht verschlüsselt ist.

 

Mehr Infos:

 

Microsoft Corporation

[Necron 71]

Mir ging es primär mit der Bemerkung Port Security darum, dass wenn man allgemein Man-In-The-Middle Angriffe in seinem Netzwerk vermutet (was du mit deinem Beispiel ins Spiel gebracht hast), sich Gedanken um die Sicherung des gesamten zu machen und nicht nur um die Updates.