Jump to content

DNS Open Resolver


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

mir ist aufgefallen, dass unser DNS auf alle DNS Anfragen antwortet.

Das sollte so natürlich nicht so sein, denn der DNS darf nur auf die Zonen und Einträge antworten, die er auch hat.

Wird sind ja so leicht angreifbar für DDoS Angriffe und so weiter. Wir haben noch Windows Server 2008R2

 

1. Ich habe mitbekommen das ab Windows Server 2016 Versionen Konfigurationsoptionen dagegen gibt, stimmt das? Welche sind das?

2. Muss ich auf der Firewall alle Verbindungen auf Port 53 blockieren, mit der Ausnahme der internen Netze und der Resolver von unseren Internetanbieter? (Link: /open-dns-resolver-issues-on-windows-server)

 

Was könnt ihr empfehlen ?

 

Vielen Dank schon mal.

Grüße

 

bearbeitet von MercedesCR7
Link zu diesem Kommentar

Moin,

 

vor 18 Minuten schrieb MercedesCR7:

mir ist aufgefallen, dass unser DNS auf alle DNS Anfragen antwortet.

Das sollte so natürlich nicht so sein, denn der DNS darf nur auf die Zonen und Einträge antworten, die er auch hat.

ist das so?

Ich würde sagen, das ist zuerst eine Frage der Anforderungen. Die müsstest du bitte noch mal klären, sonst kann man zu deiner Frage vermutlich lang diskutieren, aber sie nicht beantworten.

 

Gruß, Nils

 

Link zu diesem Kommentar

Ist der Server Domänencontroller oder nur DNS-Server für extern?

 

Rekursive Abfragen kannst Du auch bei Server 2008 R2 in den erweiterten Eigenschaften deaktivieren. Dies ist aber nicht zu empfehlen, wenn der Server gleichzeitig Domänencontroller ist. :D

 

Bei Server 2016 kann man einstellen, dass nur Anfragen von gewissen Netzen rekursiv beantwortet werden. Aber grundsätzlich würde ich keine extern erreichbaren Dienste auf einem Domänencontroller laufen lassen. Im Zweifelsfall würde ich die Zonen extern hosten lassen. Kostet zum Beispiel bei Azure 50 Cents pro Monat oder so.

Link zu diesem Kommentar
28 minutes ago, Dukel said:

Ist der DNS Server im Internet erreichbar oder wer soll diesen angreifen?

Was ist mit Einträgen, die er nicht hat? Wer soll die beantworten?

 

Unser Internetanbieter hat mir es jetzt gerade bestätigt, er hat es auf shadowserver.org getestet hat und er meinte auch das:

 

12.34.546.789 udp 53 mail.firma.com

 

antwortet der Server auf alle beliebige DNS Anfragen aus dem Internet.

32 minutes ago, NilsK said:

Moin,

 

ist das so?

Ich würde sagen, das ist zuerst eine Frage der Anforderungen. Die müsstest du bitte noch mal klären, sonst kann man zu deiner Frage vermutlich lang diskutieren, aber sie nicht beantworten.

 

Gruß, Nils

 

Ja, unser Internetanbieter hat es getestet, eben gerade hat er mir es mitgeteilt.

31 minutes ago, mwiederkehr said:

Ist der Server Domänencontroller oder nur DNS-Server für extern?

 

Rekursive Abfragen kannst Du auch bei Server 2008 R2 in den erweiterten Eigenschaften deaktivieren. Dies ist aber nicht zu empfehlen, wenn der Server gleichzeitig Domänencontroller ist. :D

 

Bei Server 2016 kann man einstellen, dass nur Anfragen von gewissen Netzen rekursiv beantwortet werden. Aber grundsätzlich würde ich keine extern erreichbaren Dienste auf einem Domänencontroller laufen lassen. Im Zweifelsfall würde ich die Zonen extern hosten lassen. Kostet zum Beispiel bei Azure 50 Cents pro Monat oder so.

Ja, der Server ist auch ein Domänencontroller :D ^^ , ich weiß nicht die beste Methode aber bald ändern wir das auf Server 2019.

Ach in Azure kann man das machen? Wir sind gerade in der Migration in Azure. Danke für die Info.

Link zu diesem Kommentar
vor 15 Minuten schrieb MercedesCR7:

Ja, der Server ist auch ein Domänencontroller :D ^^ , ich weiß nicht die beste Methode aber bald ändern wir das auf Server 2019.

Das ist nicht nur "nicht die beste Methode", das ist ganz schlecht. Mit Server 2019 wird es nur unwesentlich besser. Weshalb braucht ihr einen extern erreichbaren DNS? Für eure eigene Domäne? Läuft auf dem Server etwa auch noch ein IIS mit einem uralten Joomla 1.5 für die Firmenwebsite? :D (Ja, habe ich schon so gesehen.)

 

DNS ist einer jener Dienste, bei denen man meist besser fährt, wenn man sie nicht selbst anbietet. Die Infrastruktur sollte redundant sein, aber gleichzeitig erzeugt DNS weder gross Last noch Traffic. Also ideal, um günstig zugemietet zu werden. Entweder beim Hoster, wo schon die Website läuft, oder bei einem Anbieter wie Azure.

Link zu diesem Kommentar

@MercedesCR7 wie alle schon sagten, Domain-Controller gehören unter keinen Umständen nach außen geöffnet.

Die schnellste und effektivste Lösung dieses Schlamassel aufzulösen wäre es den DC wieder nur ins LAN zu packen, ggf. Port-Forwarding abzuschalten und eure Domain für Public Anfragen von eurem Domain Hoster DNS erledigen zu lassen. Das Stichwort hierzu wäre dann Split-Brain-DNS.

Link zu diesem Kommentar
vor 46 Minuten schrieb MercedesCR7:

Ja, der Server ist auch ein Domänencontroller :D ^^ , ich weiß nicht die beste Methode aber bald ändern wir das auf Server 2019.

 

Das ändert doch nichts daran, dass die Idee schlecht ist. Man stellt seinen DC nicht ins Internet (egal ob da noch NAT dazwischen ist). Wozu gibts überhaupt eine DNS technische Erreichbarkeit von extern auf diesen Server?

vor 4 Minuten schrieb falkebo:

Das Stichwort hierzu wäre dann Split-Brain-DNS.

Genau und da gibts dann noch diverse andere Absicherungen.

vor 48 Minuten schrieb MercedesCR7:

Ach in Azure kann man das machen? Wir sind gerade in der Migration in Azure. Danke für die Info.

Das ist doch wurscht wo du einen PUBLIC DNS laufen läßt. Nur der DC ist dann nicht auf der selben Kiste zu Hause.

Link zu diesem Kommentar
On 9/18/2020 at 4:26 PM, mwiederkehr said:

Das ist nicht nur "nicht die beste Methode", das ist ganz schlecht. Mit Server 2019 wird es nur unwesentlich besser. Weshalb braucht ihr einen extern erreichbaren DNS? Für eure eigene Domäne? Läuft auf dem Server etwa auch noch ein IIS mit einem uralten Joomla 1.5 für die Firmenwebsite? :D (Ja, habe ich schon so gesehen.)

 

DNS ist einer jener Dienste, bei denen man meist besser fährt, wenn man sie nicht selbst anbietet. Die Infrastruktur sollte redundant sein, aber gleichzeitig erzeugt DNS weder gross Last noch Traffic. Also ideal, um günstig zugemietet zu werden. Entweder beim Hoster, wo schon die Website läuft, oder bei einem Anbieter wie Azure.

Was ist der genaue Nachteil Domänencontroller und DNS-DHCP auf einem Server zu haben?

 

Weil wenn DNS auf einem Domänencontroller installiert ist, besteht der Vorteil, dass die Daten in Active Directory integriert und mit der AD-Replikation auf andere Domänencontroller verteilt werden können.

Link zu diesem Kommentar
vor 5 Minuten schrieb MercedesCR7:

Weil wenn DNS auf einem Domänencontroller installiert ist, besteht der Vorteil, dass die Daten in Active Directory integriert und mit der AD-Replikation auf andere Domänencontroller verteilt werden können.

DNS sollte auf einem DC schon vorhanden sein. Es geht meist um DHCP. ;) Abgesehen davon, gehts hier darum, dass der DC mit seinem DNS aus dem Internet heraus erreichbar ist beim TO.

Ach der TO bist ja du. :)

bearbeitet von NorbertFe
Link zu diesem Kommentar
23 hours ago, NorbertFe said:

DNS sollte auf einem DC schon vorhanden sein. Es geht meist um DHCP. ;) Abgesehen davon, gehts hier darum, dass der DC mit seinem DNS aus dem Internet heraus erreichbar ist beim TO.

Ach der TO bist ja du. :)

Also meinst du DHCP und Domaincontroller sollen separat auf zwei Servern laufen?

 

Ich bin jetzt bisschen verwirrt :D . Also bei eine meine alten Firma war DNS-DHCP auf einen Server und AD auf einen anderen Server - so ist es doch optimal oder ?

Link zu diesem Kommentar

Nochmal, der "Ursprungsaufreger" hier im Thread war, dass dein DNS deines DCs im INternet als Resolver verfügbar ist/war. Das ist eine schlechte Idee, wie dir hier alle erklärt haben. Ob du deinen DC auch als DHCP betreiben willst, hängt von deinen Anforderungen ab. Man kann das tun, es ist aber sicherheitstechnisch nicht empfohlen. Trotzdem tun es viele, weil die Anzahl der Server die in Verwendung sind, auch irgendwo endlich ist bei den meisten.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...