Jump to content
Sign in to follow this  
Deadlaw

WSUS 3.0 mit SSL

Recommended Posts

Hallo allerseits,

 

habe nur eine kurze Frage zu SSL beim WSUS 3.0.

 

Ich habe die remote admin console auf meinem ADminrechner installiert und greife so über Port 80 auf den WSUS zu. Somit wird ja auch mein Passwort im Klartext über das Netz geschickt, da ich mich ja im Grunde am IIS anmelde, richtig??

 

Ich habe nun ein Certificate erstellt, welches ich auf den IIS am Wsus binden könnte, damit ich über 443 über eine admin console zugreifen kann.

 

Wenn ich das Cert. einbinde, arbeiten die Clients danach normal weiter mit port 80?

 

Funktioniert das?

 

Vielen Dank schonma.

 

Gruß Marcel

Share this post


Link to post

Dein Passwort zum IIS muss nicht zwingend im Klartext übertragen werden, dafür gibts schliesslich NTLM, welches das ganze schon verschlüsselt. Selbes auch die Sharepoint via HTTP, etc.

 

Grundsätzlich solltest du SSL für WSUS aktivieren, und die Clients nachher auch für den Zugriff via HTTPS forcieren (mittels "Verschlüsselte Verbindung erforderlich"). Machen musst du das allerdings nicht, d.h. nur weil dein wSUS SSL kann müssen die Clients nicht via SSL darauf zugreifen. Du kannst also SSL aktivieren und alles testen, und erst wenn du dir sicher bist das alles funktioniert die GPO auf SSL ändern (achtung, Clients müssen dem Zertifikat natürlich vertrauen).

Share this post


Link to post

Wenn ich das Cert. einbinde, arbeiten die Clients danach normal weiter mit port 80?

Ja das geht, solange du nicht die Option aktivierst, dass ein sicherer Kanal vorausgesetzt wird.

Share this post


Link to post

naja die Clients müssen sich nicht unbedingt über ssl updaten.

 

Aber seid ihr sicher, dass diese Anmeldung auf der IIS Seite über Port 80 via NTLM geht? Wenn ja, ist es ja ok.

Share this post


Link to post

Schau doch nach. Auf meinen Servern ists überall so, und ich hab das nicht von Hand geändert.

 

Ausserdem sollten die Clients SSL verwenden, sonst gibts MITM Angriffe um ihnen "falsche" Updates unterzujubeln.

Share this post


Link to post

Ausserdem sollten die Clients SSL verwenden, sonst gibts MITM Angriffe um ihnen "falsche" Updates unterzujubeln.

Wenn man das Problem ausschließen wollte oder schon den Verdacht hat, wäre eine Portsecurity wesentlich besser, aber auch teurer.

Share this post


Link to post
Wenn man das Problem ausschließen wollte oder schon den Verdacht hat, wäre eine Portsecurity wesentlich besser, aber auch teurer.

 

Nein, Portsecurity ist dafür keine Lösung. Stichwort "Laptop", "Ausser Haus".

Share this post


Link to post
Nein, Portsecurity ist dafür keine Lösung. Stichwort "Laptop", "Ausser Haus".

Off-Topic:

Ich will darauf jetzt auch nicht genauer eingehen, aber ich sehe da konkret kein Problem drin. Ansonsten PN an mich, dann können wir darüber gerne diskutieren.;)

Share this post


Link to post

Naja, ein Laptop sucht auch ausserhalb der Domain Verbindung zum WSUS-Server.

 

Der WSUS Server wird vom Client nicht authentifiziert. Wenn man also in einem Untrusted LAN ist (z.B. Wireless Hotspot), einen passend konfigurierten DNS-Eintrag zurückliefert dann greift der Client darauf zu, und lädt sich dann "verseuchte" Updates herunter.

 

Die Updates selbst werden nicht per SSL verschlüsselt, da sie ja signiert sind. Die Informationen zur Signatur kommen aber über den Metadata-Channel, der Standardmässig nicht verschlüsselt ist.

 

Mehr Infos:

 

Microsoft Corporation

Share this post


Link to post

Mir ging es primär mit der Bemerkung Port Security darum, dass wenn man allgemein Man-In-The-Middle Angriffe in seinem Netzwerk vermutet (was du mit deinem Beispiel ins Spiel gebracht hast), sich Gedanken um die Sicherung des gesamten zu machen und nicht nur um die Updates.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...