11
DNS DHCP auf DC oder Firewall
Guten Abend,
macht es einen Unterschied den DNS und DHCP Dienst auf einem Domain Controller oder auf einer UTM laufen zu lassen?
und wenn ja welchen?
Bzw. wie schaut es aus wenn ich den DNS dienst auf dem DC habe und DHCP via Firewall?
Gibt es sowas wie eine Faust Regel wie man es machen sollte?
Oder ist das alle Jacke wie Hose?
Umgebung ist bei mir eine ganz simple kleine Windows Umgebung mit ein paar Windows Server.
Freue mich auf eure Antworten.
VG
macht es einen Unterschied den DNS und DHCP Dienst auf einem Domain Controller oder auf einer UTM laufen zu lassen?
und wenn ja welchen?
Bzw. wie schaut es aus wenn ich den DNS dienst auf dem DC habe und DHCP via Firewall?
Gibt es sowas wie eine Faust Regel wie man es machen sollte?
Oder ist das alle Jacke wie Hose?
Umgebung ist bei mir eine ganz simple kleine Windows Umgebung mit ein paar Windows Server.
Freue mich auf eure Antworten.
VG
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4132319794
Url: https://administrator.de/contentid/4132319794
Ausgedruckt am: 05.11.2024 um 13:11 Uhr
11 Kommentare
Neuester Kommentar
Moin,
technisch gesehen müsste es vermutlich klappen. Organisatorisch gesehen würde ich die Finger von lassen. Jacke wie Hose ist es definitiv nicht (vorallem DNS)
Bei DHCP sehe ich eher weniger Schwierigkeiten, als bei DNS via Firewall.
Gibt es denn überhaupt einen Grund DNS und DHCP via der FW laufen zu lassen? Wenn nicht, nimm die MS ADDS Funktionen, vorallem bei DNS sind hier die wichtigsten Records bereits gesetzt.
technisch gesehen müsste es vermutlich klappen. Organisatorisch gesehen würde ich die Finger von lassen. Jacke wie Hose ist es definitiv nicht (vorallem DNS)
Bei DHCP sehe ich eher weniger Schwierigkeiten, als bei DNS via Firewall.
Gibt es denn überhaupt einen Grund DNS und DHCP via der FW laufen zu lassen? Wenn nicht, nimm die MS ADDS Funktionen, vorallem bei DNS sind hier die wichtigsten Records bereits gesetzt.
1
Moin fragensteller,
Das ist eher eine Geschmacks-, respektive Designfrage.
Du kannst DNS sowohl auf der FW als auch den vom DC benutzen, das ist fast Jacke wie Hose,
solange diese korrekt konfiguriert sind.
Vorschlag:
(Einfache Lösung)
Die Clients lösen gegen den DC auf, dieser gegen die FW und die wiederum gegen den externen DNS-Server des Providers.
Gruss Alex
macht es einen Unterschied den DNS und DHCP Dienst auf einem Domain Controller oder auf einer UTM laufen zu lassen?
und wenn ja welchen?
und wenn ja welchen?
Bzw. wie schaut es aus wenn ich den DNS dienst auf dem DC habe und DHCP via Firewall?
Gibt es sowas wie eine Faust Regel wie man es machen sollte?
Oder ist das alle Jacke wie Hose?
Oder ist das alle Jacke wie Hose?
Das ist eher eine Geschmacks-, respektive Designfrage.
Du kannst DNS sowohl auf der FW als auch den vom DC benutzen, das ist fast Jacke wie Hose,
solange diese korrekt konfiguriert sind.
Umgebung ist bei mir eine ganz simple kleine Windows Umgebung mit ein paar Windows Server.
Vorschlag:
(Einfache Lösung)
Die Clients lösen gegen den DC auf, dieser gegen die FW und die wiederum gegen den externen DNS-Server des Providers.
Gruss Alex
Moin Cloudrakete,
bei DNS auf der FW's/NGFW's/SG's hatten wir bisher auch keine Probleme.
Vor allem in segmentierten Umgebungen, benutzen wir meistens für Clients & CO die SG als DNS-Server.
Mann muss natürlich an diesen die Anfragen betreffend der internen Domänen auf die DC "umrouten/forwarden",
das ist bei den meisten jedoch kein Problem.
Gruss Alex
technisch gesehen müsste es vermutlich klappen. Organisatorisch gesehen würde ich die Finger von lassen. Jacke wie Hose ist es definitiv nicht (vorallem DNS)
Bei DHCP sehe ich eher weniger Schwierigkeiten, als bei DNS via Firewall.
Bei DHCP sehe ich eher weniger Schwierigkeiten, als bei DNS via Firewall.
bei DNS auf der FW's/NGFW's/SG's hatten wir bisher auch keine Probleme.
Vor allem in segmentierten Umgebungen, benutzen wir meistens für Clients & CO die SG als DNS-Server.
Mann muss natürlich an diesen die Anfragen betreffend der internen Domänen auf die DC "umrouten/forwarden",
das ist bei den meisten jedoch kein Problem.
Gruss Alex
Moin,
Das hängt immer davon ab, was du alles brauchst:
Und kannst du das alles mit den Diensten in der FW/UTM abfrühstücken?
Wir fahren btw. 'nen Mix:
LAN nutzt den DHCP/DNS des DCs
Gäste und DMZ laufen über die UTM…
Gruß
em-pie
Das hängt immer davon ab, was du alles brauchst:
- Musst du (neue) DHCP-Optionen mitgeben können?
- Musst du mehrere DNS-Zonen verwalten können (Stichwort: SplitDNS)?
- Musst du spezielle DNS-Einträge publizieren können (z.B. SRV-Records)?
Und kannst du das alles mit den Diensten in der FW/UTM abfrühstücken?
Wir fahren btw. 'nen Mix:
LAN nutzt den DHCP/DNS des DCs
Gäste und DMZ laufen über die UTM…
Gruß
em-pie
1
Ich würde die Firewall nicht unnötig mit Diensten aufpusten, auch nicht nach innen. Einen DNS-Forward auf die Firewall würde ich auch nicht machen, die Firewall kann alle ihre Sachen mit dem Domainencontroller klären. Spätestens wenn es um Authentifizierung geht, muss sie eh beim DC bzw Radius vorstellig werden.
1
Moin em-pie,
DHCP-Optionen ja, für den Rest benutzen ich genau so wie du, auch den internen DC-DNS.
Ich habe ja nicht gesagt, dass man auf diesen verzichten kann, nur weil man primär über ein SGW auflöst.
Sieht bei uns, vor allem bei den Kunden die noch nicht segmentiert haben, auch so aus.
Gruss Alex
Das hängt immer davon ab, was du alles brauchst:
- Musst du (neue) DHCP-Optionen mitgeben können?
- Musst du mehrere DNS-Zonen verwalten können (Stichwort: SplitDNS)?
- Musst du spezielle DNS-Einträge publizieren können (z.B. SRV-Records)?
Und kannst du das alles mit den Diensten in der FW/UTM abfrühstücken?
DHCP-Optionen ja, für den Rest benutzen ich genau so wie du, auch den internen DC-DNS.
Ich habe ja nicht gesagt, dass man auf diesen verzichten kann, nur weil man primär über ein SGW auflöst.
Wir fahren btw. 'nen Mix:
LAN nutzt den DHCP/DNS des DCs
Gäste und DMZ laufen über die UTM…
LAN nutzt den DHCP/DNS des DCs
Gäste und DMZ laufen über die UTM…
Sieht bei uns, vor allem bei den Kunden die noch nicht segmentiert haben, auch so aus.
Gruss Alex
Moin unbelanglos,
das hat nichts mit unnötig aufpusten, sondern eher mit der sinnvollen Nutzung der Securityfeatures eines modernen Security-Gateways zu tun.
Mir ist nicht bekannt, dass ein normaler MS-DC-DNS-Server, per Default eine Auflösung zu einem C&C Server blockieren würde, eine anständiges Security-Gateway macht das hingegen schon.
Gruss Alex
Ich würde die Firewall nicht unnötig mit Diensten aufpusten, auch nicht nach innen. Einen DNS-Forward auf die Firewall würde ich auch nicht machen, die Firewall kann alle ihre Sachen mit dem Domainencontroller klären. Spätestens wenn es um Authentifizierung geht, muss sie eh beim DC bzw Radius vorstellig werden.
das hat nichts mit unnötig aufpusten, sondern eher mit der sinnvollen Nutzung der Securityfeatures eines modernen Security-Gateways zu tun.
Mir ist nicht bekannt, dass ein normaler MS-DC-DNS-Server, per Default eine Auflösung zu einem C&C Server blockieren würde, eine anständiges Security-Gateway macht das hingegen schon.
Gruss Alex
Will Gruss Alex nicht etwas über Speicherzugriffe philosophieren?
Außerdem sagte ich: "Einen DNS-Forward auf die Firewall würde ich auch nicht machen, die Firewall kann alle ihre Sachen mit dem Domainencontroller klären."
Wir man dann auf sinnvolle Security Features und Block auf C&C Server kommt, weiß ich nicht.
(Wir sind Deutschlands zweitgrößter User von Sonicwall und daher haben wir schon Mal mit Security schon Mal was zu tun gehabt)
Außerdem sagte ich: "Einen DNS-Forward auf die Firewall würde ich auch nicht machen, die Firewall kann alle ihre Sachen mit dem Domainencontroller klären."
Wir man dann auf sinnvolle Security Features und Block auf C&C Server kommt, weiß ich nicht.
(Wir sind Deutschlands zweitgrößter User von Sonicwall und daher haben wir schon Mal mit Security schon Mal was zu tun gehabt)
1Will Gruss Alex nicht etwas über Speicherzugriffe philosophieren?
Und du bist wohl wieder am rumgiffteln.
Außerdem sagte ich: "Einen DNS-Forward auf die Firewall würde ich auch nicht machen, die Firewall kann alle ihre Sachen mit dem Domainencontroller klären."
Du nicht, ich schon, den unsere SGW's können schon anhand einer DNS Anfrage eine möglichen Infekt erkennen
und sperren im besten Fall daraufhin automatisch den Client und lösen auf diesem dann auch noch einen vollständigen AV-Scann aus.
Nennt sich "Synchronized Security". 😉
Das ganze Funktioniert übrigens nur dann ganz gut, wenn die Clients über das SGW und nicht über den DC-DNS auflösen.
Wir man dann auf sinnvolle Security Features und Block auf C&C Server kommt, weiß ich nicht.
Ist eigentlich ganz easy.
Das SGW überwacht schlichtweg sämtliche DNS Anfragen und gleicht diese gegen eine DB mit bekannten schadhaften FQDN's oder Domänen ab. Gibt es einen Treffer, so wird zum Einen die Auflösung verweigert und zum anderen ein Alarm ausgelöst, der Client wird automatisch gesperrt und auf diesem erfolgt ebenfalls vollautomatisch ein AV-Voll Scan.
(Wir sind Deutschlands zweitgrößter User von Sonicwall und daher haben wir schon Mal mit Security schon Mal was zu tun gehabt)
Der Länge oder der Breite nach?
Moin em-pie,
ja, sorry, dieser freie Montag ohne die ganzen Anrufe der von WE zum teil verwirrten Anwendern die sich über irgendetwas beklagen wollen, macht mich noch ganz kirre. 🤪
Gruss Alex
Meine Punkte galten eher dem TO 
ja, sorry, dieser freie Montag ohne die ganzen Anrufe der von WE zum teil verwirrten Anwendern die sich über irgendetwas beklagen wollen, macht mich noch ganz kirre. 🤪
Gruss Alex
