MercedesCR7 1 Geschrieben 18. September 2020 Melden Teilen Geschrieben 18. September 2020 (bearbeitet) Hallo, mir ist aufgefallen, dass unser DNS auf alle DNS Anfragen antwortet. Das sollte so natürlich nicht so sein, denn der DNS darf nur auf die Zonen und Einträge antworten, die er auch hat. Wird sind ja so leicht angreifbar für DDoS Angriffe und so weiter. Wir haben noch Windows Server 2008R2 1. Ich habe mitbekommen das ab Windows Server 2016 Versionen Konfigurationsoptionen dagegen gibt, stimmt das? Welche sind das? 2. Muss ich auf der Firewall alle Verbindungen auf Port 53 blockieren, mit der Ausnahme der internen Netze und der Resolver von unseren Internetanbieter? (Link: /open-dns-resolver-issues-on-windows-server) Was könnt ihr empfehlen ? Vielen Dank schon mal. Grüße bearbeitet 18. September 2020 von MercedesCR7 Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 18. September 2020 Melden Teilen Geschrieben 18. September 2020 Ist der DNS Server im Internet erreichbar oder wer soll diesen angreifen? Was ist mit Einträgen, die er nicht hat? Wer soll die beantworten? Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 18. September 2020 Melden Teilen Geschrieben 18. September 2020 Moin, vor 18 Minuten schrieb MercedesCR7: mir ist aufgefallen, dass unser DNS auf alle DNS Anfragen antwortet. Das sollte so natürlich nicht so sein, denn der DNS darf nur auf die Zonen und Einträge antworten, die er auch hat. ist das so? Ich würde sagen, das ist zuerst eine Frage der Anforderungen. Die müsstest du bitte noch mal klären, sonst kann man zu deiner Frage vermutlich lang diskutieren, aber sie nicht beantworten. Gruß, Nils Zitieren Link zu diesem Kommentar
mwiederkehr 373 Geschrieben 18. September 2020 Melden Teilen Geschrieben 18. September 2020 Ist der Server Domänencontroller oder nur DNS-Server für extern? Rekursive Abfragen kannst Du auch bei Server 2008 R2 in den erweiterten Eigenschaften deaktivieren. Dies ist aber nicht zu empfehlen, wenn der Server gleichzeitig Domänencontroller ist. Bei Server 2016 kann man einstellen, dass nur Anfragen von gewissen Netzen rekursiv beantwortet werden. Aber grundsätzlich würde ich keine extern erreichbaren Dienste auf einem Domänencontroller laufen lassen. Im Zweifelsfall würde ich die Zonen extern hosten lassen. Kostet zum Beispiel bei Azure 50 Cents pro Monat oder so. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 18. September 2020 Melden Teilen Geschrieben 18. September 2020 vor 8 Minuten schrieb mwiederkehr: Bei Server 2016 kann man einstellen, dass nur Anfragen von gewissen Netzen rekursiv beantwortet werden. Jupp, aber mal von hidden master würde ich auch nirgends einen Windows DNS ins Netz stellen. ;) und die DNS policies sind Echt wieder mal ein Konfigurationsalbtraum. ;) 1 Zitieren Link zu diesem Kommentar
MercedesCR7 1 Geschrieben 18. September 2020 Autor Melden Teilen Geschrieben 18. September 2020 28 minutes ago, Dukel said: Ist der DNS Server im Internet erreichbar oder wer soll diesen angreifen? Was ist mit Einträgen, die er nicht hat? Wer soll die beantworten? Unser Internetanbieter hat mir es jetzt gerade bestätigt, er hat es auf shadowserver.org getestet hat und er meinte auch das: 12.34.546.789 udp 53 mail.firma.com antwortet der Server auf alle beliebige DNS Anfragen aus dem Internet. 32 minutes ago, NilsK said: Moin, ist das so? Ich würde sagen, das ist zuerst eine Frage der Anforderungen. Die müsstest du bitte noch mal klären, sonst kann man zu deiner Frage vermutlich lang diskutieren, aber sie nicht beantworten. Gruß, Nils Ja, unser Internetanbieter hat es getestet, eben gerade hat er mir es mitgeteilt. 31 minutes ago, mwiederkehr said: Ist der Server Domänencontroller oder nur DNS-Server für extern? Rekursive Abfragen kannst Du auch bei Server 2008 R2 in den erweiterten Eigenschaften deaktivieren. Dies ist aber nicht zu empfehlen, wenn der Server gleichzeitig Domänencontroller ist. Bei Server 2016 kann man einstellen, dass nur Anfragen von gewissen Netzen rekursiv beantwortet werden. Aber grundsätzlich würde ich keine extern erreichbaren Dienste auf einem Domänencontroller laufen lassen. Im Zweifelsfall würde ich die Zonen extern hosten lassen. Kostet zum Beispiel bei Azure 50 Cents pro Monat oder so. Ja, der Server ist auch ein Domänencontroller ^^ , ich weiß nicht die beste Methode aber bald ändern wir das auf Server 2019. Ach in Azure kann man das machen? Wir sind gerade in der Migration in Azure. Danke für die Info. Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 18. September 2020 Melden Teilen Geschrieben 18. September 2020 Wieso hast du einen (veralteten) Windows Server im Internet verfügbar? Was macht dieser Server? Wieso steht der nicht im LAN? Ist das evtl. ein DC? Zitieren Link zu diesem Kommentar
mwiederkehr 373 Geschrieben 18. September 2020 Melden Teilen Geschrieben 18. September 2020 vor 15 Minuten schrieb MercedesCR7: Ja, der Server ist auch ein Domänencontroller ^^ , ich weiß nicht die beste Methode aber bald ändern wir das auf Server 2019. Das ist nicht nur "nicht die beste Methode", das ist ganz schlecht. Mit Server 2019 wird es nur unwesentlich besser. Weshalb braucht ihr einen extern erreichbaren DNS? Für eure eigene Domäne? Läuft auf dem Server etwa auch noch ein IIS mit einem uralten Joomla 1.5 für die Firmenwebsite? (Ja, habe ich schon so gesehen.) DNS ist einer jener Dienste, bei denen man meist besser fährt, wenn man sie nicht selbst anbietet. Die Infrastruktur sollte redundant sein, aber gleichzeitig erzeugt DNS weder gross Last noch Traffic. Also ideal, um günstig zugemietet zu werden. Entweder beim Hoster, wo schon die Website läuft, oder bei einem Anbieter wie Azure. 1 Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 18. September 2020 Melden Teilen Geschrieben 18. September 2020 Ein DC gehört ins LAN und nicht zu einem Provider. Wenn es nicht anderst geht, dann macht man sich vorher Gedanken, wie man das richtig macht und bei dem Provider absichert. 1 Zitieren Link zu diesem Kommentar
falkebo 21 Geschrieben 18. September 2020 Melden Teilen Geschrieben 18. September 2020 @MercedesCR7 wie alle schon sagten, Domain-Controller gehören unter keinen Umständen nach außen geöffnet. Die schnellste und effektivste Lösung dieses Schlamassel aufzulösen wäre es den DC wieder nur ins LAN zu packen, ggf. Port-Forwarding abzuschalten und eure Domain für Public Anfragen von eurem Domain Hoster DNS erledigen zu lassen. Das Stichwort hierzu wäre dann Split-Brain-DNS. 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 18. September 2020 Melden Teilen Geschrieben 18. September 2020 vor 46 Minuten schrieb MercedesCR7: Ja, der Server ist auch ein Domänencontroller ^^ , ich weiß nicht die beste Methode aber bald ändern wir das auf Server 2019. Das ändert doch nichts daran, dass die Idee schlecht ist. Man stellt seinen DC nicht ins Internet (egal ob da noch NAT dazwischen ist). Wozu gibts überhaupt eine DNS technische Erreichbarkeit von extern auf diesen Server? vor 4 Minuten schrieb falkebo: Das Stichwort hierzu wäre dann Split-Brain-DNS. Genau und da gibts dann noch diverse andere Absicherungen. vor 48 Minuten schrieb MercedesCR7: Ach in Azure kann man das machen? Wir sind gerade in der Migration in Azure. Danke für die Info. Das ist doch wurscht wo du einen PUBLIC DNS laufen läßt. Nur der DC ist dann nicht auf der selben Kiste zu Hause. 1 Zitieren Link zu diesem Kommentar
MercedesCR7 1 Geschrieben 22. September 2020 Autor Melden Teilen Geschrieben 22. September 2020 On 9/18/2020 at 4:26 PM, mwiederkehr said: Das ist nicht nur "nicht die beste Methode", das ist ganz schlecht. Mit Server 2019 wird es nur unwesentlich besser. Weshalb braucht ihr einen extern erreichbaren DNS? Für eure eigene Domäne? Läuft auf dem Server etwa auch noch ein IIS mit einem uralten Joomla 1.5 für die Firmenwebsite? (Ja, habe ich schon so gesehen.) DNS ist einer jener Dienste, bei denen man meist besser fährt, wenn man sie nicht selbst anbietet. Die Infrastruktur sollte redundant sein, aber gleichzeitig erzeugt DNS weder gross Last noch Traffic. Also ideal, um günstig zugemietet zu werden. Entweder beim Hoster, wo schon die Website läuft, oder bei einem Anbieter wie Azure. Was ist der genaue Nachteil Domänencontroller und DNS-DHCP auf einem Server zu haben? Weil wenn DNS auf einem Domänencontroller installiert ist, besteht der Vorteil, dass die Daten in Active Directory integriert und mit der AD-Replikation auf andere Domänencontroller verteilt werden können. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 22. September 2020 Melden Teilen Geschrieben 22. September 2020 (bearbeitet) vor 5 Minuten schrieb MercedesCR7: Weil wenn DNS auf einem Domänencontroller installiert ist, besteht der Vorteil, dass die Daten in Active Directory integriert und mit der AD-Replikation auf andere Domänencontroller verteilt werden können. DNS sollte auf einem DC schon vorhanden sein. Es geht meist um DHCP. ;) Abgesehen davon, gehts hier darum, dass der DC mit seinem DNS aus dem Internet heraus erreichbar ist beim TO. Ach der TO bist ja du. :) bearbeitet 22. September 2020 von NorbertFe 1 Zitieren Link zu diesem Kommentar
MercedesCR7 1 Geschrieben 23. September 2020 Autor Melden Teilen Geschrieben 23. September 2020 23 hours ago, NorbertFe said: DNS sollte auf einem DC schon vorhanden sein. Es geht meist um DHCP. ;) Abgesehen davon, gehts hier darum, dass der DC mit seinem DNS aus dem Internet heraus erreichbar ist beim TO. Ach der TO bist ja du. :) Also meinst du DHCP und Domaincontroller sollen separat auf zwei Servern laufen? Ich bin jetzt bisschen verwirrt . Also bei eine meine alten Firma war DNS-DHCP auf einen Server und AD auf einen anderen Server - so ist es doch optimal oder ? Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 23. September 2020 Melden Teilen Geschrieben 23. September 2020 Nochmal, der "Ursprungsaufreger" hier im Thread war, dass dein DNS deines DCs im INternet als Resolver verfügbar ist/war. Das ist eine schlechte Idee, wie dir hier alle erklärt haben. Ob du deinen DC auch als DHCP betreiben willst, hängt von deinen Anforderungen ab. Man kann das tun, es ist aber sicherheitstechnisch nicht empfohlen. Trotzdem tun es viele, weil die Anzahl der Server die in Verwendung sind, auch irgendwo endlich ist bei den meisten. 2 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.