Jump to content
Sign in to follow this  
fha

2006 - Regel für Download von Updates vom WSUS; Gefährlich?

Recommended Posts

Hallo Zusammen,

 

Bei einem Kunden war einmal geplant (keine Ahnung von wem...) den WSUS so einzurichten, dass die User von überall auf den WSUS via SSL zugreifen können.

Die GPO wurde also so eingerichtet, dass alle Clients auf die Adresse "https://wsus.externedomäne.com:443" zugreifen. Das funktioniert auch soweit was die Reports und die Prüfung auf neue Updates betrifft.

Aber sobald der Download der Updates startet greift der Client immer via http auf folgende URL zu: "http://wsus.externedomäne.com:8530".

 

Nun habe ich bereits herausgefunden "It's not a bug, it's a feature" bzw. "This behaviour is by design" wie z. B. hier nach zu lesen ist:

Social Technet: WSUS Client Commnunicates with WSUS server but fails to download updates

 

Also habe ich nun im ISA 2006 eine Regel eingerichtet die die Anfrage auf Port 8530 annimmt und als seine eigene Anfrage an den WSUS auf Port 8530 weiterleitet. Es funktioniert!

 

Aber:

Ich kenne den ISA 2006 nicht wirklich, daher diese Frage an Euch: Wie groß ist das Tor das ich damit geöffnet habe?

Ist es annähernd unbedenklich, weil der ISA noch dazwischen sitzt?

Ist es eine katastrophale Sicherheitslücke weil nun via HTTP auf einen Server innerhalb der Domäne (keine DMZ) zugegriffen werden kann?

 

Es würde mir sehr helfen wenn jemand, der sich mit den ISA-Strukturen auskennt hier eine Beurteilung posten könnte.

 

Vielen Dank.

Share this post


Link to post
Share on other sites

Aus meiner Sicht ist das keine gute Konstellation. Sofern sich die Clients von extern aktualisieren sollen hast Du 3 Möglichkeiten:

 

-Aktualisierung über eine VPN-Verbindung in das interne Netz

-Erzeugung einer Gruppenrichtlinie die eine automatische Aktualisierung der Clients erzwingt (ohne Angabe eines WSUS, dann wird von Microsoft aktulisiert)

-du gibst dem ISA eine weiter Netzwerkkarte und erstellst eine DMZ mit einem separaten WSUS

Share this post


Link to post
Share on other sites

Vielen Dank für die Antworten!

 

Den Gedanken mit der DMz hatte ich auch schon, scheute aber den Aufwand... aber das wird wohl der Weg werden den ich einschlage.

 

@Norbert:

Ja, das Vorgehen habe ich ja gewählt. Die Clients connecten sich auch alle via 443 um ihre Reports abzugeben oder die Liste mit anstehender Updates abzurufen. Aber der Download läuft nicht mehr auf den SSL-Port.

 

Du kannst es dir so vorstellen:

Wenn du die updates nicht automatisch installierst sondern nur bereitstellst und den User über neue Updates informierst, dann kannst du auf "Updates suchen" klicken und er sucht. Auf der Firewall registrierst du nur Datenverkehr auf Port 443. Schließlich ist er fertig mit suchen und sagt dir, dass für dein System 21 oder weniger Updates bereitstehen. Sobald du nun auf den Button "Updates installieren" klickst und der BITS mit dem Download der Updates beginnt schlägt auf der Firewall plötzlich Datenverkehr auf Port 8530 auf. Der Grund ist, dass das der Port ist auf den die WSUS-Installation konfiguriert wurde.

 

Und laut dem netten MVP aus dem Link meines ersten Posts ist dieses Verhalten nicht konfigurierbar.

 

Aber konfigurierbar ist der Netzwerkort in dem mein WSUS sitzt und der wird demnächst DMZ heißen ;-)

 

Vielen Dank nochmals.

Edited by fha
Rechtschreibung und Satzstellung

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...