schnuffi79 11 Geschrieben 21. März 2008 Melden Teilen Geschrieben 21. März 2008 Hallo zusammen, ich sitze gerade über einer Neuplanung von einen Kunden Netzwerk soweit ist das auch alles schon klaro und abgenickt von den entscheidungsträger. Wo ich mir jetzt im Moment den Kopf zerbreche ist die Frage zur Sicherheit bei der DNS Weiterleitung wenn Anfragen vom IE kommen zwecks Internetzugriff. Unser Kunde erhält einen Internetanschluss der Firma 1&1 hier bekommt er die FritzBOX 7270 glaube ich mit geliefert diese soll dann die Interneverbindung herstellen. Wenn ich den Server zum DC dann Hochstufe sowie der DNS - Server läuft ohne Fehler und andere Bauchschmerzen mehr hat. Würde ich dann gerne eine DNS Weiterleitung einrichten das wenn eben eine Anfrage eines Clients kommt womit der Server nichts anzufangen weiß er diese an die FritzBOX weiterleitet und somit dann die Internetverbindung zu stande kommt. Die IP - Adressen werden ebenfalls über DHCP Verteilt hier muss ich dann bei der Konfiguartion des DHCP Server unter Standard Gateway die IP der FritzBOX angeben und es sollte rein Logisch Funktioniere. In wie fern habe ich damit ein Sicherheitlücke augetan bzw. wie Sicher/Unsicher ist dieses Konfiguration!? Zitieren Link zu diesem Kommentar
NorbertFe 1.886 Geschrieben 21. März 2008 Melden Teilen Geschrieben 21. März 2008 In wie fern habe ich damit ein Sicherheitlücke augetan bzw. wie Sicher/Unsicher ist dieses Konfiguration!? Sagen wir mal so: Potenziell hast du durch den Internetzugang natürlich eine Sicherheitslücke. Allerdings ist die Wahrscheinlichkeit, dass deine User sich Viren runterladen deutlich höher, als dass du Probleme durch den DNS Forward deines DCs bekommst ;) Bye Norbert PS: Falls es nicht deutlich gewesen sein sollte: Den DNS Forward deines DCs auf deinen Router (oder auch direkt auf DNS Server im I-Net) halt ich für ein zu vernachlässigendes Risiko, wenn man den Rest der Umgebung betrachtet. :) Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 21. März 2008 Melden Teilen Geschrieben 21. März 2008 Wozu aber die Weiterleitung? Zitieren Link zu diesem Kommentar
schnuffi79 11 Geschrieben 21. März 2008 Autor Melden Teilen Geschrieben 21. März 2008 @NorbertFe also einen Aktuellen Virenscanner haben wir auf Client sowie auf Server setzen wir den Kaspersky Small Business Version ein. Also kann man diese Einstellung auch so lassen und damit Arbeiten im Produktiven einsatz. Wie du ja schon sagtest sich eine Virus, Wurm oder anderes Schathaftes teil einzufangen ist weit aus höher wie einen Angriff darauf hin. @lefg Weiterleitung aus dem Grund! Ich habe es nur Versucht mit der IP - Adresse des Router diese habe ich in den Netzwerkeinstellungen eines Test Clients eingegeben unter Standard Gateway. So war es mir nicht möglich eine Internetseite aufzurufen. Sobald ich noch die IP des Router unter DNS eingetragen habe hat sich auch eine Internetseite öffnen lasse. Daher habe ich in meiner Testumgebung mal mit DNS Weiterleitung getestet. Jetzt konnte ich die IP beim Client raus nemen nur noch die im Standard Gateway lassen und es lief. Ich habe es hoffentlich Verständlich geschrieben. Hast du eventuell noch einen anderen Vorschlag wie man es Lösen könnte ohne Weiterleitung!? Zitieren Link zu diesem Kommentar
NorbertFe 1.886 Geschrieben 21. März 2008 Melden Teilen Geschrieben 21. März 2008 Wozu aber die Weiterleitung? Weil es ohne Weiterleitung keine Antworten für dem DNS Server unbekannte Hosts gibt. :) Normalerweise nutzt der Windows DNS Server allerdings dann die Rootserver, wenn keiner dran geschraubt hat und der DNS Server nicht selbst Rootserver spielt. Bye Norbert Zitieren Link zu diesem Kommentar
NorbertFe 1.886 Geschrieben 21. März 2008 Melden Teilen Geschrieben 21. März 2008 also einen Aktuellen Virenscanner haben wir auf Client sowie auf Server setzen wir den Kaspersky Small Business Version ein. Also kann man diese Einstellung auch so lassen und damit Arbeiten im Produktiven einsatz. Wie du ja schon sagtest sich eine Virus, Wurm oder anderes Schathaftes teil einzufangen ist weit aus höher wie einen Angriff darauf hin. Selbst mit Virenscanner ist die "Bedrohung" deiner CLients durch das Surfen höher, als die DNS Forwards deines DNS Servers ;) Weiterleitung aus dem Grund! Ich habe es nur Versucht mit der IP - Adresse des Router diese habe ich in den Netzwerkeinstellungen eines Test Clients eingegeben unter Standard Gateway. So war es mir nicht möglich eine Internetseite aufzurufen. Sobald ich noch die IP des Router unter DNS eingetragen habe hat sich auch eine Internetseite öffnen lasse. Daher habe ich in meiner Testumgebung mal mit DNS Weiterleitung getestet. Jetzt konnte ich die IP beim Client raus nemen nur noch die im Standard Gateway lassen und es lief. Ich habe es hoffentlich Verständlich geschrieben. Das ist auch das die einzig richtige Methode. Alle Clients fragen deinen DNS Server und der macht das Forward auf entweder deinen DNS Proxy im Router oder auf DNS Server direkt im I-Net. Bye Norbert Zitieren Link zu diesem Kommentar
schnuffi79 11 Geschrieben 21. März 2008 Autor Melden Teilen Geschrieben 21. März 2008 @NorbertFe also an den Root Servern habe ich nichts geschraubt die sind noch so wie bei der Installation bzw. so wie sie beim Hochstufen zum DC Automatisch eingerichtet worden sind. Aber Funktioniert hatte es dann leider auch nicht. Erst nach dem ich die Weiterleitung auf die FritzBOX gemacht habe. Haben sich die Internetseiten aufbauen lassen. Also wenn dieses die einzige und richtige Variante ist. Dann habe ich doch gut in meinen grauen Zellen nachgegrasst. Wenn diese Umrüstung dann geschafft ist soll noch ein weiterer Rechner angeschafft werden nichts neues großes. Dieser soll dann mit einer Astaro FW ausgerüstet werden die dann den Internetzugang herstellt. Hier werden dann auch: - ContentFilter - sowie die Einbruchsdedektierung aktiv sein denke mal somit kommt zusätzlich noch ein wenig Sicherheit ins Netz rein. Zumal man ja hier auch die Möglichkeiten hat: - gewisse Inhalte erst gar nicht durch zulassen z.B. *.exe oder *.zip - wiederum kann man ja hier schon mal auch den Virenscanner nutzen beim Download von Files Natürlich ersetzt dieses nicht einen Aktuellen Virenscanner der zusätzlich auf einen System zu sein hat. Aber man sollte eben Versuchen so nah wie Möglich an die 99,9% zu kommen. Und 100% Sicherheit wird es nie geben auch nicht wenn man kein Internetzugang hat weil dann ist immer noch die Schwachstelle die 30cm vorm Bildschirm sitzt. Zitieren Link zu diesem Kommentar
NorbertFe 1.886 Geschrieben 21. März 2008 Melden Teilen Geschrieben 21. März 2008 also an den Root Servern habe ich nichts geschraubt die sind noch so wie bei der Installation bzw. so wie sie beim Hochstufen zum DC Automatisch eingerichtet worden sind. Aber Funktioniert hatte es dann leider auch nicht. Erst nach dem ich die Weiterleitung auf die FritzBOX gemacht habe. Haben sich die Internetseiten aufbauen lassen.[/Quote] Dann hat eventuell die Fritzbox einen Filter, der direkte DNS Queries ins I-Net nicht zuläßt. Kann ich nur mutmaßen, da ich die Box nicht kenne. Bye Norbert Zitieren Link zu diesem Kommentar
schnuffi79 11 Geschrieben 21. März 2008 Autor Melden Teilen Geschrieben 21. März 2008 Dann hat eventuell die Fritzbox einen Filter, der direkte DNS Queries ins I-Net nicht zuläßt. Kann ich nur mutmaßen, da ich die Box nicht kenne. Bye Norbert Hm könnte mir Vorstellen das höchsten ein Port von der Firewall der BOX die Anfrage blockt. Worüber werden diese Anfragen abgewickelt da kann ich ja mal zum Spaß diesen Port auf der BOX freigeben mal sehen ob es daran liegt. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.