MercedesCR7 1 Geschrieben 18. September 2020 Melden Geschrieben 18. September 2020 (bearbeitet) Hallo, mir ist aufgefallen, dass unser DNS auf alle DNS Anfragen antwortet. Das sollte so natürlich nicht so sein, denn der DNS darf nur auf die Zonen und Einträge antworten, die er auch hat. Wird sind ja so leicht angreifbar für DDoS Angriffe und so weiter. Wir haben noch Windows Server 2008R2 1. Ich habe mitbekommen das ab Windows Server 2016 Versionen Konfigurationsoptionen dagegen gibt, stimmt das? Welche sind das? 2. Muss ich auf der Firewall alle Verbindungen auf Port 53 blockieren, mit der Ausnahme der internen Netze und der Resolver von unseren Internetanbieter? (Link: /open-dns-resolver-issues-on-windows-server) Was könnt ihr empfehlen ? Vielen Dank schon mal. Grüße bearbeitet 18. September 2020 von MercedesCR7 Zitieren
Dukel 465 Geschrieben 18. September 2020 Melden Geschrieben 18. September 2020 Ist der DNS Server im Internet erreichbar oder wer soll diesen angreifen? Was ist mit Einträgen, die er nicht hat? Wer soll die beantworten? Zitieren
NilsK 3.012 Geschrieben 18. September 2020 Melden Geschrieben 18. September 2020 Moin, Am 18.9.2020 um 13:14 schrieb MercedesCR7: mir ist aufgefallen, dass unser DNS auf alle DNS Anfragen antwortet. Das sollte so natürlich nicht so sein, denn der DNS darf nur auf die Zonen und Einträge antworten, die er auch hat. Mehr ist das so? Ich würde sagen, das ist zuerst eine Frage der Anforderungen. Die müsstest du bitte noch mal klären, sonst kann man zu deiner Frage vermutlich lang diskutieren, aber sie nicht beantworten. Gruß, Nils Zitieren
mwiederkehr 392 Geschrieben 18. September 2020 Melden Geschrieben 18. September 2020 Ist der Server Domänencontroller oder nur DNS-Server für extern? Rekursive Abfragen kannst Du auch bei Server 2008 R2 in den erweiterten Eigenschaften deaktivieren. Dies ist aber nicht zu empfehlen, wenn der Server gleichzeitig Domänencontroller ist. Bei Server 2016 kann man einstellen, dass nur Anfragen von gewissen Netzen rekursiv beantwortet werden. Aber grundsätzlich würde ich keine extern erreichbaren Dienste auf einem Domänencontroller laufen lassen. Im Zweifelsfall würde ich die Zonen extern hosten lassen. Kostet zum Beispiel bei Azure 50 Cents pro Monat oder so. Zitieren
NorbertFe 2.206 Geschrieben 18. September 2020 Melden Geschrieben 18. September 2020 Am 18.9.2020 um 13:37 schrieb mwiederkehr: Bei Server 2016 kann man einstellen, dass nur Anfragen von gewissen Netzen rekursiv beantwortet werden. Mehr Jupp, aber mal von hidden master würde ich auch nirgends einen Windows DNS ins Netz stellen. ;) und die DNS policies sind Echt wieder mal ein Konfigurationsalbtraum. ;) 1 Zitieren
MercedesCR7 1 Geschrieben 18. September 2020 Autor Melden Geschrieben 18. September 2020 Am 18.9.2020 um 13:34 schrieb Dukel: Ist der DNS Server im Internet erreichbar oder wer soll diesen angreifen? Was ist mit Einträgen, die er nicht hat? Wer soll die beantworten? Mehr Unser Internetanbieter hat mir es jetzt gerade bestätigt, er hat es auf shadowserver.org getestet hat und er meinte auch das: 12.34.546.789 udp 53 mail.firma.com antwortet der Server auf alle beliebige DNS Anfragen aus dem Internet. Am 18.9.2020 um 13:34 schrieb NilsK: Moin, ist das so? Ich würde sagen, das ist zuerst eine Frage der Anforderungen. Die müsstest du bitte noch mal klären, sonst kann man zu deiner Frage vermutlich lang diskutieren, aber sie nicht beantworten. Gruß, Nils Mehr Ja, unser Internetanbieter hat es getestet, eben gerade hat er mir es mitgeteilt. Am 18.9.2020 um 13:37 schrieb mwiederkehr: Ist der Server Domänencontroller oder nur DNS-Server für extern? Rekursive Abfragen kannst Du auch bei Server 2008 R2 in den erweiterten Eigenschaften deaktivieren. Dies ist aber nicht zu empfehlen, wenn der Server gleichzeitig Domänencontroller ist. Bei Server 2016 kann man einstellen, dass nur Anfragen von gewissen Netzen rekursiv beantwortet werden. Aber grundsätzlich würde ich keine extern erreichbaren Dienste auf einem Domänencontroller laufen lassen. Im Zweifelsfall würde ich die Zonen extern hosten lassen. Kostet zum Beispiel bei Azure 50 Cents pro Monat oder so. Mehr Ja, der Server ist auch ein Domänencontroller ^^ , ich weiß nicht die beste Methode aber bald ändern wir das auf Server 2019. Ach in Azure kann man das machen? Wir sind gerade in der Migration in Azure. Danke für die Info. Zitieren
Dukel 465 Geschrieben 18. September 2020 Melden Geschrieben 18. September 2020 Wieso hast du einen (veralteten) Windows Server im Internet verfügbar? Was macht dieser Server? Wieso steht der nicht im LAN? Ist das evtl. ein DC? Zitieren
mwiederkehr 392 Geschrieben 18. September 2020 Melden Geschrieben 18. September 2020 Am 18.9.2020 um 14:06 schrieb MercedesCR7: Ja, der Server ist auch ein Domänencontroller ^^ , ich weiß nicht die beste Methode aber bald ändern wir das auf Server 2019. Mehr Das ist nicht nur "nicht die beste Methode", das ist ganz schlecht. Mit Server 2019 wird es nur unwesentlich besser. Weshalb braucht ihr einen extern erreichbaren DNS? Für eure eigene Domäne? Läuft auf dem Server etwa auch noch ein IIS mit einem uralten Joomla 1.5 für die Firmenwebsite? (Ja, habe ich schon so gesehen.) DNS ist einer jener Dienste, bei denen man meist besser fährt, wenn man sie nicht selbst anbietet. Die Infrastruktur sollte redundant sein, aber gleichzeitig erzeugt DNS weder gross Last noch Traffic. Also ideal, um günstig zugemietet zu werden. Entweder beim Hoster, wo schon die Website läuft, oder bei einem Anbieter wie Azure. 1 Zitieren
Dukel 465 Geschrieben 18. September 2020 Melden Geschrieben 18. September 2020 Ein DC gehört ins LAN und nicht zu einem Provider. Wenn es nicht anderst geht, dann macht man sich vorher Gedanken, wie man das richtig macht und bei dem Provider absichert. 1 Zitieren
falkebo 21 Geschrieben 18. September 2020 Melden Geschrieben 18. September 2020 @MercedesCR7 wie alle schon sagten, Domain-Controller gehören unter keinen Umständen nach außen geöffnet. Die schnellste und effektivste Lösung dieses Schlamassel aufzulösen wäre es den DC wieder nur ins LAN zu packen, ggf. Port-Forwarding abzuschalten und eure Domain für Public Anfragen von eurem Domain Hoster DNS erledigen zu lassen. Das Stichwort hierzu wäre dann Split-Brain-DNS. 1 Zitieren
NorbertFe 2.206 Geschrieben 18. September 2020 Melden Geschrieben 18. September 2020 Am 18.9.2020 um 14:06 schrieb MercedesCR7: Ja, der Server ist auch ein Domänencontroller ^^ , ich weiß nicht die beste Methode aber bald ändern wir das auf Server 2019. Mehr Das ändert doch nichts daran, dass die Idee schlecht ist. Man stellt seinen DC nicht ins Internet (egal ob da noch NAT dazwischen ist). Wozu gibts überhaupt eine DNS technische Erreichbarkeit von extern auf diesen Server? Am 18.9.2020 um 14:49 schrieb falkebo: Das Stichwort hierzu wäre dann Split-Brain-DNS. Mehr Genau und da gibts dann noch diverse andere Absicherungen. Am 18.9.2020 um 14:06 schrieb MercedesCR7: Ach in Azure kann man das machen? Wir sind gerade in der Migration in Azure. Danke für die Info. Mehr Das ist doch wurscht wo du einen PUBLIC DNS laufen läßt. Nur der DC ist dann nicht auf der selben Kiste zu Hause. 1 Zitieren
MercedesCR7 1 Geschrieben 22. September 2020 Autor Melden Geschrieben 22. September 2020 Am 18.9.2020 um 14:26 schrieb mwiederkehr: Das ist nicht nur "nicht die beste Methode", das ist ganz schlecht. Mit Server 2019 wird es nur unwesentlich besser. Weshalb braucht ihr einen extern erreichbaren DNS? Für eure eigene Domäne? Läuft auf dem Server etwa auch noch ein IIS mit einem uralten Joomla 1.5 für die Firmenwebsite? (Ja, habe ich schon so gesehen.) DNS ist einer jener Dienste, bei denen man meist besser fährt, wenn man sie nicht selbst anbietet. Die Infrastruktur sollte redundant sein, aber gleichzeitig erzeugt DNS weder gross Last noch Traffic. Also ideal, um günstig zugemietet zu werden. Entweder beim Hoster, wo schon die Website läuft, oder bei einem Anbieter wie Azure. Mehr Was ist der genaue Nachteil Domänencontroller und DNS-DHCP auf einem Server zu haben? Weil wenn DNS auf einem Domänencontroller installiert ist, besteht der Vorteil, dass die Daten in Active Directory integriert und mit der AD-Replikation auf andere Domänencontroller verteilt werden können. Zitieren
NorbertFe 2.206 Geschrieben 22. September 2020 Melden Geschrieben 22. September 2020 (bearbeitet) Am 22.9.2020 um 14:43 schrieb MercedesCR7: Weil wenn DNS auf einem Domänencontroller installiert ist, besteht der Vorteil, dass die Daten in Active Directory integriert und mit der AD-Replikation auf andere Domänencontroller verteilt werden können. Mehr DNS sollte auf einem DC schon vorhanden sein. Es geht meist um DHCP. ;) Abgesehen davon, gehts hier darum, dass der DC mit seinem DNS aus dem Internet heraus erreichbar ist beim TO. Ach der TO bist ja du. :) bearbeitet 22. September 2020 von NorbertFe 1 Zitieren
MercedesCR7 1 Geschrieben 23. September 2020 Autor Melden Geschrieben 23. September 2020 Am 22.9.2020 um 14:45 schrieb NorbertFe: DNS sollte auf einem DC schon vorhanden sein. Es geht meist um DHCP. ;) Abgesehen davon, gehts hier darum, dass der DC mit seinem DNS aus dem Internet heraus erreichbar ist beim TO. Ach der TO bist ja du. :) Mehr Also meinst du DHCP und Domaincontroller sollen separat auf zwei Servern laufen? Ich bin jetzt bisschen verwirrt . Also bei eine meine alten Firma war DNS-DHCP auf einen Server und AD auf einen anderen Server - so ist es doch optimal oder ? Zitieren
NorbertFe 2.206 Geschrieben 23. September 2020 Melden Geschrieben 23. September 2020 Nochmal, der "Ursprungsaufreger" hier im Thread war, dass dein DNS deines DCs im INternet als Resolver verfügbar ist/war. Das ist eine schlechte Idee, wie dir hier alle erklärt haben. Ob du deinen DC auch als DHCP betreiben willst, hängt von deinen Anforderungen ab. Man kann das tun, es ist aber sicherheitstechnisch nicht empfohlen. Trotzdem tun es viele, weil die Anzahl der Server die in Verwendung sind, auch irgendwo endlich ist bei den meisten. 2 Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.