fragensteller
Goto Top

DNS DHCP auf DC oder Firewall

Guten Abend,

macht es einen Unterschied den DNS und DHCP Dienst auf einem Domain Controller oder auf einer UTM laufen zu lassen?
und wenn ja welchen?
Bzw. wie schaut es aus wenn ich den DNS dienst auf dem DC habe und DHCP via Firewall?

Gibt es sowas wie eine Faust Regel wie man es machen sollte?
Oder ist das alle Jacke wie Hose?

Umgebung ist bei mir eine ganz simple kleine Windows Umgebung mit ein paar Windows Server.

Freue mich auf eure Antworten.

VG

Content-ID: 4132319794

Url: https://administrator.de/contentid/4132319794

Ausgedruckt am: 05.11.2024 um 13:11 Uhr

Cloudrakete
Cloudrakete 03.10.2022 um 00:55:55 Uhr
Goto Top
Moin,

technisch gesehen müsste es vermutlich klappen. Organisatorisch gesehen würde ich die Finger von lassen. Jacke wie Hose ist es definitiv nicht (vorallem DNS)
Bei DHCP sehe ich eher weniger Schwierigkeiten, als bei DNS via Firewall.

Gibt es denn überhaupt einen Grund DNS und DHCP via der FW laufen zu lassen? Wenn nicht, nimm die MS ADDS Funktionen, vorallem bei DNS sind hier die wichtigsten Records bereits gesetzt.
MysticFoxDE
MysticFoxDE 03.10.2022 aktualisiert um 07:42:52 Uhr
Goto Top
Moin fragensteller,


macht es einen Unterschied den DNS und DHCP Dienst auf einem Domain Controller oder auf einer UTM laufen zu lassen?
und wenn ja welchen?

Bzw. wie schaut es aus wenn ich den DNS dienst auf dem DC habe und DHCP via Firewall?

Gibt es sowas wie eine Faust Regel wie man es machen sollte?
Oder ist das alle Jacke wie Hose?

Das ist eher eine Geschmacks-, respektive Designfrage.
Du kannst DNS sowohl auf der FW als auch den vom DC benutzen, das ist fast Jacke wie Hose,
solange diese korrekt konfiguriert sind.

Umgebung ist bei mir eine ganz simple kleine Windows Umgebung mit ein paar Windows Server.

Vorschlag:
(Einfache Lösung)
Die Clients lösen gegen den DC auf, dieser gegen die FW und die wiederum gegen den externen DNS-Server des Providers.


Gruss Alex
MysticFoxDE
MysticFoxDE 03.10.2022 aktualisiert um 07:41:08 Uhr
Goto Top
Moin Cloudrakete,

technisch gesehen müsste es vermutlich klappen. Organisatorisch gesehen würde ich die Finger von lassen. Jacke wie Hose ist es definitiv nicht (vorallem DNS)
Bei DHCP sehe ich eher weniger Schwierigkeiten, als bei DNS via Firewall.

bei DNS auf der FW's/NGFW's/SG's hatten wir bisher auch keine Probleme.
Vor allem in segmentierten Umgebungen, benutzen wir meistens für Clients & CO die SG als DNS-Server.
Mann muss natürlich an diesen die Anfragen betreffend der internen Domänen auf die DC "umrouten/forwarden",
das ist bei den meisten jedoch kein Problem.

Gruss Alex
em-pie
em-pie 03.10.2022 aktualisiert um 09:12:16 Uhr
Goto Top
Moin,

Das hängt immer davon ab, was du alles brauchst:
  • Musst du (neue) DHCP-Optionen mitgeben können?
  • Musst du mehrere DNS-Zonen verwalten können (Stichwort: SplitDNS)?
  • Musst du spezielle DNS-Einträge publizieren können (z.B. SRV-Records)?

Und kannst du das alles mit den Diensten in der FW/UTM abfrühstücken?


Wir fahren btw. 'nen Mix:
LAN nutzt den DHCP/DNS des DCs
Gäste und DMZ laufen über die UTM…

Gruß
em-pie
2423392070
2423392070 03.10.2022 um 09:56:50 Uhr
Goto Top
Ich würde die Firewall nicht unnötig mit Diensten aufpusten, auch nicht nach innen. Einen DNS-Forward auf die Firewall würde ich auch nicht machen, die Firewall kann alle ihre Sachen mit dem Domainencontroller klären. Spätestens wenn es um Authentifizierung geht, muss sie eh beim DC bzw Radius vorstellig werden.
MysticFoxDE
MysticFoxDE 03.10.2022 um 10:48:14 Uhr
Goto Top
Moin em-pie,

Das hängt immer davon ab, was du alles brauchst:
  • Musst du (neue) DHCP-Optionen mitgeben können?
  • Musst du mehrere DNS-Zonen verwalten können (Stichwort: SplitDNS)?
  • Musst du spezielle DNS-Einträge publizieren können (z.B. SRV-Records)?

Und kannst du das alles mit den Diensten in der FW/UTM abfrühstücken?

DHCP-Optionen ja, für den Rest benutzen ich genau so wie du, auch den internen DC-DNS.
Ich habe ja nicht gesagt, dass man auf diesen verzichten kann, nur weil man primär über ein SGW auflöst.

Wir fahren btw. 'nen Mix:
LAN nutzt den DHCP/DNS des DCs
Gäste und DMZ laufen über die UTM…

Sieht bei uns, vor allem bei den Kunden die noch nicht segmentiert haben, auch so aus.

Gruss Alex
MysticFoxDE
MysticFoxDE 03.10.2022 um 10:53:30 Uhr
Goto Top
Moin unbelanglos,

Ich würde die Firewall nicht unnötig mit Diensten aufpusten, auch nicht nach innen. Einen DNS-Forward auf die Firewall würde ich auch nicht machen, die Firewall kann alle ihre Sachen mit dem Domainencontroller klären. Spätestens wenn es um Authentifizierung geht, muss sie eh beim DC bzw Radius vorstellig werden.

das hat nichts mit unnötig aufpusten, sondern eher mit der sinnvollen Nutzung der Securityfeatures eines modernen Security-Gateways zu tun.

Mir ist nicht bekannt, dass ein normaler MS-DC-DNS-Server, per Default eine Auflösung zu einem C&C Server blockieren würde, eine anständiges Security-Gateway macht das hingegen schon.

Gruss Alex
2423392070
2423392070 03.10.2022 um 11:03:44 Uhr
Goto Top
Will Gruss Alex nicht etwas über Speicherzugriffe philosophieren?

Außerdem sagte ich: "Einen DNS-Forward auf die Firewall würde ich auch nicht machen, die Firewall kann alle ihre Sachen mit dem Domainencontroller klären."

Wir man dann auf sinnvolle Security Features und Block auf C&C Server kommt, weiß ich nicht.

(Wir sind Deutschlands zweitgrößter User von Sonicwall und daher haben wir schon Mal mit Security schon Mal was zu tun gehabt)
em-pie
em-pie 03.10.2022 um 11:26:28 Uhr
Goto Top
@MysticFoxDE
Meine Punkte galten eher dem TO face-smile
MysticFoxDE
MysticFoxDE 03.10.2022 aktualisiert um 12:03:34 Uhr
Goto Top
Will Gruss Alex nicht etwas über Speicherzugriffe philosophieren?

Und du bist wohl wieder am rumgiffteln.

Außerdem sagte ich: "Einen DNS-Forward auf die Firewall würde ich auch nicht machen, die Firewall kann alle ihre Sachen mit dem Domainencontroller klären."

Du nicht, ich schon, den unsere SGW's können schon anhand einer DNS Anfrage eine möglichen Infekt erkennen
und sperren im besten Fall daraufhin automatisch den Client und lösen auf diesem dann auch noch einen vollständigen AV-Scann aus.
Nennt sich "Synchronized Security". 😉
Das ganze Funktioniert übrigens nur dann ganz gut, wenn die Clients über das SGW und nicht über den DC-DNS auflösen.

Wir man dann auf sinnvolle Security Features und Block auf C&C Server kommt, weiß ich nicht.

Ist eigentlich ganz easy.
Das SGW überwacht schlichtweg sämtliche DNS Anfragen und gleicht diese gegen eine DB mit bekannten schadhaften FQDN's oder Domänen ab. Gibt es einen Treffer, so wird zum Einen die Auflösung verweigert und zum anderen ein Alarm ausgelöst, der Client wird automatisch gesperrt und auf diesem erfolgt ebenfalls vollautomatisch ein AV-Voll Scan.

(Wir sind Deutschlands zweitgrößter User von Sonicwall und daher haben wir schon Mal mit Security schon Mal was zu tun gehabt)

Der Länge oder der Breite nach?
MysticFoxDE
MysticFoxDE 03.10.2022 aktualisiert um 12:27:13 Uhr
Goto Top
Moin em-pie,

Meine Punkte galten eher dem TO face-smile

ja, sorry, dieser freie Montag ohne die ganzen Anrufe der von WE zum teil verwirrten Anwendern die sich über irgendetwas beklagen wollen, macht mich noch ganz kirre. 🤪

Gruss Alex