2
DNS sinnvoll mit Proxy Server kombinieren
Hallo Zusammen,
ich stehe vor der Frage, wie man einen DNS Server sinnvoll mit einem Proxy Server kombiniert.
Unser Administrator hat den DNS Server so eingerichtet (bewusst oder unbewusst), dass eine externe Namensauflösung am Client nicht möglich ist (Punkt Zone nicht gelöscht oder keine Weiterleitung eingerichtet). Ein „Nslookup google.de“ liefert die Antwort „non-existent domain“.
Alle externen Adressen werden über den Proxy Server geroutet. Diese Konstellation ist in 99% der Anwendungsfälle auch funktionstüchtig.
Es besteht jetzt aber die Notwendigkeit, ein VPN Tunnel aus dem Intranet, vorbei an dem Proxy Server, in ein entferntes Intranet herzustellen. Logischerweise funktioniert bei dieser Konstellation die Namensauflösung nicht.
Meine Frage 1: Gibt es aus eurer Sicht einen Grund warum man den DNS Server die externe Namensauflösung verbietet?
Vielen Dank für eure Antwort
Michael
PS: Aus meiner Sicht ist die angedachte Konstellation der VPN Verbindung auch ein Sicherheitsrisiko. Ich würde für den VPN Zugang eine DMZ einrichten.
ich stehe vor der Frage, wie man einen DNS Server sinnvoll mit einem Proxy Server kombiniert.
Unser Administrator hat den DNS Server so eingerichtet (bewusst oder unbewusst), dass eine externe Namensauflösung am Client nicht möglich ist (Punkt Zone nicht gelöscht oder keine Weiterleitung eingerichtet). Ein „Nslookup google.de“ liefert die Antwort „non-existent domain“.
Alle externen Adressen werden über den Proxy Server geroutet. Diese Konstellation ist in 99% der Anwendungsfälle auch funktionstüchtig.
Es besteht jetzt aber die Notwendigkeit, ein VPN Tunnel aus dem Intranet, vorbei an dem Proxy Server, in ein entferntes Intranet herzustellen. Logischerweise funktioniert bei dieser Konstellation die Namensauflösung nicht.
Meine Frage 1: Gibt es aus eurer Sicht einen Grund warum man den DNS Server die externe Namensauflösung verbietet?
Vielen Dank für eure Antwort
Michael
PS: Aus meiner Sicht ist die angedachte Konstellation der VPN Verbindung auch ein Sicherheitsrisiko. Ich würde für den VPN Zugang eine DMZ einrichten.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 102703
Url: https://administrator.de/contentid/102703
Ausgedruckt am: 25.11.2024 um 09:11 Uhr
2 Kommentare
Neuester Kommentar
Es gibt einen bekannten Hack mit dem man designbedingt einen Proxy-Server mit Hilfe des DNS umgehen kann:
http://thomer.com/howtos/nstx.html
http://thomer.com/howtos/nstx.html
Hallo,
Das kann durchaus beabsichtigt und Teil des Sicherheitskonzeptes sein.
Applikations-Proxys bieten ja die Möglichkeit, auch innerhalb des Datenstroms zu filtern, z.B. jeden Download erstmal durch einen Virenscanner zu jagen.
Es kann daher durchaus gewünscht sein, dass jeglicher Verkehr (HTTP, SMTP, etc) durch Proxys läuft und nicht einfach geroutet wird (Ein Proxy ist kein Router!).
In so einem Szenario benötigen die Client daher keine externe Namensauflösung. Wenn der DNS-Server also diese Funktion gar nicht liefern soll, macht es Sinn, sie auch zu deaktivieren. Auf diese Weise ist schwerer die Proxys zu umgehen, sollte doch irgendwo versehentlich ein Routingpfad auftauchen.
Gruß,
Schorsch
Meine Frage 1: Gibt es aus eurer Sicht einen Grund warum man den DNS Server die externe Namensauflösung verbietet?
Das kann durchaus beabsichtigt und Teil des Sicherheitskonzeptes sein.
Applikations-Proxys bieten ja die Möglichkeit, auch innerhalb des Datenstroms zu filtern, z.B. jeden Download erstmal durch einen Virenscanner zu jagen.
Es kann daher durchaus gewünscht sein, dass jeglicher Verkehr (HTTP, SMTP, etc) durch Proxys läuft und nicht einfach geroutet wird (Ein Proxy ist kein Router!).
In so einem Szenario benötigen die Client daher keine externe Namensauflösung. Wenn der DNS-Server also diese Funktion gar nicht liefern soll, macht es Sinn, sie auch zu deaktivieren. Auf diese Weise ist schwerer die Proxys zu umgehen, sollte doch irgendwo versehentlich ein Routingpfad auftauchen.
Gruß,
Schorsch
