Jump to content

DNS Open Resolver


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Posted (edited)

Hallo,

 

mir ist aufgefallen, dass unser DNS auf alle DNS Anfragen antwortet.

Das sollte so natürlich nicht so sein, denn der DNS darf nur auf die Zonen und Einträge antworten, die er auch hat.

Wird sind ja so leicht angreifbar für DDoS Angriffe und so weiter. Wir haben noch Windows Server 2008R2

 

1. Ich habe mitbekommen das ab Windows Server 2016 Versionen Konfigurationsoptionen dagegen gibt, stimmt das? Welche sind das?

2. Muss ich auf der Firewall alle Verbindungen auf Port 53 blockieren, mit der Ausnahme der internen Netze und der Resolver von unseren Internetanbieter? (Link: /open-dns-resolver-issues-on-windows-server)

 

Was könnt ihr empfehlen ?

 

Vielen Dank schon mal.

Grüße

 

Edited by MercedesCR7
Posted

Moin,

 

vor 18 Minuten schrieb MercedesCR7:

mir ist aufgefallen, dass unser DNS auf alle DNS Anfragen antwortet.

Das sollte so natürlich nicht so sein, denn der DNS darf nur auf die Zonen und Einträge antworten, die er auch hat.

ist das so?

Ich würde sagen, das ist zuerst eine Frage der Anforderungen. Die müsstest du bitte noch mal klären, sonst kann man zu deiner Frage vermutlich lang diskutieren, aber sie nicht beantworten.

 

Gruß, Nils

 

Posted

Ist der Server Domänencontroller oder nur DNS-Server für extern?

 

Rekursive Abfragen kannst Du auch bei Server 2008 R2 in den erweiterten Eigenschaften deaktivieren. Dies ist aber nicht zu empfehlen, wenn der Server gleichzeitig Domänencontroller ist. :D

 

Bei Server 2016 kann man einstellen, dass nur Anfragen von gewissen Netzen rekursiv beantwortet werden. Aber grundsätzlich würde ich keine extern erreichbaren Dienste auf einem Domänencontroller laufen lassen. Im Zweifelsfall würde ich die Zonen extern hosten lassen. Kostet zum Beispiel bei Azure 50 Cents pro Monat oder so.

Posted
vor 8 Minuten schrieb mwiederkehr:

Bei Server 2016 kann man einstellen, dass nur Anfragen von gewissen Netzen rekursiv beantwortet werden.

Jupp, aber mal von hidden master würde ich auch nirgends einen Windows DNS ins Netz stellen. ;) und die DNS policies sind Echt wieder mal ein Konfigurationsalbtraum. ;)

  • Like 1
Posted
28 minutes ago, Dukel said:

Ist der DNS Server im Internet erreichbar oder wer soll diesen angreifen?

Was ist mit Einträgen, die er nicht hat? Wer soll die beantworten?

 

Unser Internetanbieter hat mir es jetzt gerade bestätigt, er hat es auf shadowserver.org getestet hat und er meinte auch das:

 

12.34.546.789 udp 53 mail.firma.com

 

antwortet der Server auf alle beliebige DNS Anfragen aus dem Internet.

32 minutes ago, NilsK said:

Moin,

 

ist das so?

Ich würde sagen, das ist zuerst eine Frage der Anforderungen. Die müsstest du bitte noch mal klären, sonst kann man zu deiner Frage vermutlich lang diskutieren, aber sie nicht beantworten.

 

Gruß, Nils

 

Ja, unser Internetanbieter hat es getestet, eben gerade hat er mir es mitgeteilt.

31 minutes ago, mwiederkehr said:

Ist der Server Domänencontroller oder nur DNS-Server für extern?

 

Rekursive Abfragen kannst Du auch bei Server 2008 R2 in den erweiterten Eigenschaften deaktivieren. Dies ist aber nicht zu empfehlen, wenn der Server gleichzeitig Domänencontroller ist. :D

 

Bei Server 2016 kann man einstellen, dass nur Anfragen von gewissen Netzen rekursiv beantwortet werden. Aber grundsätzlich würde ich keine extern erreichbaren Dienste auf einem Domänencontroller laufen lassen. Im Zweifelsfall würde ich die Zonen extern hosten lassen. Kostet zum Beispiel bei Azure 50 Cents pro Monat oder so.

Ja, der Server ist auch ein Domänencontroller :D ^^ , ich weiß nicht die beste Methode aber bald ändern wir das auf Server 2019.

Ach in Azure kann man das machen? Wir sind gerade in der Migration in Azure. Danke für die Info.

Posted
vor 15 Minuten schrieb MercedesCR7:

Ja, der Server ist auch ein Domänencontroller :D ^^ , ich weiß nicht die beste Methode aber bald ändern wir das auf Server 2019.

Das ist nicht nur "nicht die beste Methode", das ist ganz schlecht. Mit Server 2019 wird es nur unwesentlich besser. Weshalb braucht ihr einen extern erreichbaren DNS? Für eure eigene Domäne? Läuft auf dem Server etwa auch noch ein IIS mit einem uralten Joomla 1.5 für die Firmenwebsite? :D (Ja, habe ich schon so gesehen.)

 

DNS ist einer jener Dienste, bei denen man meist besser fährt, wenn man sie nicht selbst anbietet. Die Infrastruktur sollte redundant sein, aber gleichzeitig erzeugt DNS weder gross Last noch Traffic. Also ideal, um günstig zugemietet zu werden. Entweder beim Hoster, wo schon die Website läuft, oder bei einem Anbieter wie Azure.

  • Like 1
Posted

@MercedesCR7 wie alle schon sagten, Domain-Controller gehören unter keinen Umständen nach außen geöffnet.

Die schnellste und effektivste Lösung dieses Schlamassel aufzulösen wäre es den DC wieder nur ins LAN zu packen, ggf. Port-Forwarding abzuschalten und eure Domain für Public Anfragen von eurem Domain Hoster DNS erledigen zu lassen. Das Stichwort hierzu wäre dann Split-Brain-DNS.

  • Like 1
Posted
vor 46 Minuten schrieb MercedesCR7:

Ja, der Server ist auch ein Domänencontroller :D ^^ , ich weiß nicht die beste Methode aber bald ändern wir das auf Server 2019.

 

Das ändert doch nichts daran, dass die Idee schlecht ist. Man stellt seinen DC nicht ins Internet (egal ob da noch NAT dazwischen ist). Wozu gibts überhaupt eine DNS technische Erreichbarkeit von extern auf diesen Server?

vor 4 Minuten schrieb falkebo:

Das Stichwort hierzu wäre dann Split-Brain-DNS.

Genau und da gibts dann noch diverse andere Absicherungen.

vor 48 Minuten schrieb MercedesCR7:

Ach in Azure kann man das machen? Wir sind gerade in der Migration in Azure. Danke für die Info.

Das ist doch wurscht wo du einen PUBLIC DNS laufen läßt. Nur der DC ist dann nicht auf der selben Kiste zu Hause.

  • Like 1
Posted
On 9/18/2020 at 4:26 PM, mwiederkehr said:

Das ist nicht nur "nicht die beste Methode", das ist ganz schlecht. Mit Server 2019 wird es nur unwesentlich besser. Weshalb braucht ihr einen extern erreichbaren DNS? Für eure eigene Domäne? Läuft auf dem Server etwa auch noch ein IIS mit einem uralten Joomla 1.5 für die Firmenwebsite? :D (Ja, habe ich schon so gesehen.)

 

DNS ist einer jener Dienste, bei denen man meist besser fährt, wenn man sie nicht selbst anbietet. Die Infrastruktur sollte redundant sein, aber gleichzeitig erzeugt DNS weder gross Last noch Traffic. Also ideal, um günstig zugemietet zu werden. Entweder beim Hoster, wo schon die Website läuft, oder bei einem Anbieter wie Azure.

Was ist der genaue Nachteil Domänencontroller und DNS-DHCP auf einem Server zu haben?

 

Weil wenn DNS auf einem Domänencontroller installiert ist, besteht der Vorteil, dass die Daten in Active Directory integriert und mit der AD-Replikation auf andere Domänencontroller verteilt werden können.

Posted (edited)
vor 5 Minuten schrieb MercedesCR7:

Weil wenn DNS auf einem Domänencontroller installiert ist, besteht der Vorteil, dass die Daten in Active Directory integriert und mit der AD-Replikation auf andere Domänencontroller verteilt werden können.

DNS sollte auf einem DC schon vorhanden sein. Es geht meist um DHCP. ;) Abgesehen davon, gehts hier darum, dass der DC mit seinem DNS aus dem Internet heraus erreichbar ist beim TO.

Ach der TO bist ja du. :)

Edited by NorbertFe
  • Like 1
Posted
23 hours ago, NorbertFe said:

DNS sollte auf einem DC schon vorhanden sein. Es geht meist um DHCP. ;) Abgesehen davon, gehts hier darum, dass der DC mit seinem DNS aus dem Internet heraus erreichbar ist beim TO.

Ach der TO bist ja du. :)

Also meinst du DHCP und Domaincontroller sollen separat auf zwei Servern laufen?

 

Ich bin jetzt bisschen verwirrt :D . Also bei eine meine alten Firma war DNS-DHCP auf einen Server und AD auf einen anderen Server - so ist es doch optimal oder ?

Posted

Nochmal, der "Ursprungsaufreger" hier im Thread war, dass dein DNS deines DCs im INternet als Resolver verfügbar ist/war. Das ist eine schlechte Idee, wie dir hier alle erklärt haben. Ob du deinen DC auch als DHCP betreiben willst, hängt von deinen Anforderungen ab. Man kann das tun, es ist aber sicherheitstechnisch nicht empfohlen. Trotzdem tun es viele, weil die Anzahl der Server die in Verwendung sind, auch irgendwo endlich ist bei den meisten.

  • Like 2
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...