2006 - Regel für Download von Updates vom WSUS; Gefährlich?

[fha 10]

Hallo Zusammen,

 

Bei einem Kunden war einmal geplant (keine Ahnung von wem...) den WSUS so einzurichten, dass die User von überall auf den WSUS via SSL zugreifen können.

Die GPO wurde also so eingerichtet, dass alle Clients auf die Adresse "https://wsus.externedomäne.com:443" zugreifen. Das funktioniert auch soweit was die Reports und die Prüfung auf neue Updates betrifft.

Aber sobald der Download der Updates startet greift der Client immer via http auf folgende URL zu: "http://wsus.externedomäne.com:8530".

 

Nun habe ich bereits herausgefunden "It's not a bug, it's a feature" bzw. "This behaviour is by design" wie z. B. hier nach zu lesen ist:

Social Technet: WSUS Client Commnunicates with WSUS server but fails to download updates

 

Also habe ich nun im ISA 2006 eine Regel eingerichtet die die Anfrage auf Port 8530 annimmt und als seine eigene Anfrage an den WSUS auf Port 8530 weiterleitet. Es funktioniert!

 

Aber:

Ich kenne den ISA 2006 nicht wirklich, daher diese Frage an Euch: Wie groß ist das Tor das ich damit geöffnet habe?

Ist es annähernd unbedenklich, weil der ISA noch dazwischen sitzt?

Ist es eine katastrophale Sicherheitslücke weil nun via HTTP auf einen Server innerhalb der Domäne (keine DMZ) zugegriffen werden kann?

 

Es würde mir sehr helfen wenn jemand, der sich mit den ISA-Strukturen auskennt hier eine Beurteilung posten könnte.

 

Vielen Dank.

[djmaker 95]

Aus meiner Sicht ist das keine gute Konstellation. Sofern sich die Clients von extern aktualisieren sollen hast Du 3 Möglichkeiten:

 

-Aktualisierung über eine VPN-Verbindung in das interne Netz

-Erzeugung einer Gruppenrichtlinie die eine automatische Aktualisierung der Clients erzwingt (ohne Angabe eines WSUS, dann wird von Microsoft aktulisiert)

-du gibst dem ISA eine weiter Netzwerkkarte und erstellst eine DMZ mit einem separaten WSUS

[NorbertFe 1.799]

Ich habs noch nie probiert, aber Secure the WSUS 3.0 SP2 Deployment beschreibt ja ein ähnliches Vorgehen wie deines. Wenn du dir nicht sicher bist, würde ich wie DJMaker schreibt einfach eine DMZ aufmachen mit einem WSUS Replikatsserver drin.

 

Bye

Norbert

[srv2008 10]

Wie schon erwähnt, ich würde eine DMZ oder eine VPN Verbindung aus Sicherheitsgründen wählen.

[fha 10]

Vielen Dank für die Antworten!

 

Den Gedanken mit der DMz hatte ich auch schon, scheute aber den Aufwand... aber das wird wohl der Weg werden den ich einschlage.

 

@Norbert:

Ja, das Vorgehen habe ich ja gewählt. Die Clients connecten sich auch alle via 443 um ihre Reports abzugeben oder die Liste mit anstehender Updates abzurufen. Aber der Download läuft nicht mehr auf den SSL-Port.

 

Du kannst es dir so vorstellen:

Wenn du die updates nicht automatisch installierst sondern nur bereitstellst und den User über neue Updates informierst, dann kannst du auf "Updates suchen" klicken und er sucht. Auf der Firewall registrierst du nur Datenverkehr auf Port 443. Schließlich ist er fertig mit suchen und sagt dir, dass für dein System 21 oder weniger Updates bereitstehen. Sobald du nun auf den Button "Updates installieren" klickst und der BITS mit dem Download der Updates beginnt schlägt auf der Firewall plötzlich Datenverkehr auf Port 8530 auf. Der Grund ist, dass das der Port ist auf den die WSUS-Installation konfiguriert wurde.

 

Und laut dem netten MVP aus dem Link meines ersten Posts ist dieses Verhalten nicht konfigurierbar.

 

Aber konfigurierbar ist der Netzwerkort in dem mein WSUS sitzt und der wird demnächst DMZ heißen ;-)

 

Vielen Dank nochmals.

bearbeitet 21. Dezember 2011 von fha
Rechtschreibung und Satzstellung