123788
123788
24.06.2017
view3089
view17
0
Beitrags-Menü
  • Ausdrucken
  • Internen Beitrags-Link kopieren
  • Externen Beitrags-Link kopieren

MS: Update-Server-Adressen OHNE Wildcards

gelöstFrageMicrosoft Windows Update
Hallo zusammen,

es gibt unzählige Threads dazu im Internet, doch keiner scheint eine Lösung zu liefern:
Problemlos bekommt man über die offizielle MS-Seite eine Liste der Update-Server. Diese enthält für einzelne Domains jedoch Wildcards.
Problem: Habe einen Win-Server in einer DMZ. Dieser soll nach draußen wirklich nur zu den Update-Servern Kontakt aufnehmen.
Doch: Natürlich unterstützt meine Hardware-Firewall keine Wildcards in Domainnamen.

Habt ihr eine Lösung?

Firewall ist eine pfSense.
Share articleTeilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 341588

Url: https://administrator.de/forum/ms-update-server-adressen-ohne-wildcards-341588.html

Ausgedruckt am: 29.05.2025 um 06:05 Uhr

17 Kommentare
Neuester Kommentar
Goto Top
133417
133417 24.06.2017 aktualisiert um 19:33:28 Uhr
Goto Top
Hi,
das wird nicht mehr funktionieren, erstens liefert MS die Updates inzwischen über CDNs mit wechselnden IPs je nach Region aus zweitens geschieht die Kommunikation über https d.h. das du die angefragte URL nur mit MiTM Methoden und gefakten Zertifikaten oder mit dem Auswerten der vorrausgehenden DNS Anfragen an einem zwischengeschalteten Device abfragen könntest was das OS dazu bringen würde die Kommunikation mit den MS Servern einzustellen.

Gruß
123788
123788 24.06.2017 um 19:32:13 Uhr
Goto Top
Naja, die DNS-Namen würde meine Firewall regelmäßig neu auflösen, wechselnde IPs sind kein Problem.
Und warum soll HTTPs nicht funktionieren? Mache ich für unsere Virenscanner-Lösung (die auf diesem Server läuft) genauso und das funktioniert wunderbar.
133417
133417 24.06.2017 aktualisiert um 19:37:46 Uhr
Goto Top
Zitat von @123788:

Naja, die DNS-Namen würde meine Firewall regelmäßig neu auflösen, wechselnde IPs sind kein Problem.
Und warum soll HTTPs nicht funktionieren? Mache ich für unsere Virenscanner-Lösung (die auf diesem Server läuft) genauso und das funktioniert wunderbar.
Wenn das OS sich hier veräppeln lässt und MS nicht Hashes der Certs etc. hinterlegt hat dann schon, ansonsten nicht.
123788
123788 24.06.2017 um 19:39:54 Uhr
Goto Top
Aber warum sollte es nicht funktionieren?
Ein bestimmter Hostname wird in eine IP aufgelöst und auf diese mittels Https zugegriffen... das hat doch nichts mit meiner Einschränkung über die Firewall zu tun?
Dani
Dani 24.06.2017 um 20:21:01 Uhr
Goto Top
Moin,
die Erfahrung zeigt, dass der DNS-Serer meistens schneller eine andere IP-Adresse zurückgibt, als die Firewall im Cache von der letzten Abfrage hat. Höchstens der Client muss seine DNS-Anfragen an die Firewall stellen, dann könnte es klappen.


Gruß,
Dani
133417
133417 24.06.2017 aktualisiert um 20:32:01 Uhr
Goto Top
Zitat von @123788:

Aber warum sollte es nicht funktionieren?
Wie ich sagte, wenn MS die verwendeten HTTPS Certs nicht irgendwo mit PKPinning etc. absichert dann ja ansonsten ist die Abfrage der tatsächlichen URL ja nicht möglich weil die SSL im BG schon die URL verschleiert, dann nur über "related" DNS Queries wie du meinst, aber die finden ja auch nur statt wenn sie nicht schon im Cache liegen oder Timeout abgelaufen ist.
Ein bestimmter Hostname wird in eine IP aufgelöst und auf diese mittels Https zugegriffen... das hat doch nichts mit meiner Einschränkung über die Firewall zu tun?
Und erlauben tust du dann unter Umständen mit der jeweiligen IP ein ganzes CDN für diesen Server, er könnte dann also praktisch auch auf andere Inhalte zugreifen face-wink

Wenn dann machst du sowas mit einem angepassten transparenten Proxy.
123788
123788 25.06.2017 um 10:47:12 Uhr
Goto Top
@Dani:
Ich bin gerne bereit, das auszuprobieren face-wink
Wenn ich merke, dass DNS oder Client-Cache zu langsam sind, kann ich notfalls für kurze Updates immernoch die Firewall öffnen und hinterher schließen.
Aber ich würd' eben gern bei automatischen Updates bleiben...
LordGurke
LordGurke 25.06.2017 um 11:19:47 Uhr
Goto Top
Wäre ein Proxyserver für dich eine akzeptable Alternative? Dann könntest du dort die Wildcard-Domainliste hinterlegen und müsstest dir keine Gedanken über die IP-Adressen machen face-wink
123788
123788 25.06.2017 um 15:16:50 Uhr
Goto Top
Leider jein face-wink
Denn: Auf der pfSense läuft schon ein Proxy. Und den jetzt für einzelne Subnetze zu konfigurieren wäre vmtl. einiges an Aufwand.
Wohingegen ich für Domänen problemlos einen Alias anlegen kann, was wie gesagt beim Virenscanner auch 1a funktioniert.
LordGurke
LordGurke 25.06.2017 um 15:21:10 Uhr
Goto Top
Insbesondere einen Proxy sollte man mit wenig Aufwand für Wildcard-Domains konfigurieren können - darauf wollte ich hinaus face-wink
123788
123788 25.06.2017 um 15:58:22 Uhr
Goto Top
Ok, das mag sein. Bloß nutzen andere Systeme den schon vorhandenen Proxy eben auch. Und diese Systeme haben (bis auf ne Blacklist) uneingeschränkten Zugang zum Internet und sollen diesen auch behalten.
Das meinte ich damit face-smile
Lochkartenstanzer
Lochkartenstanzer 25.06.2017 aktualisiert um 16:27:16 Uhr
Goto Top
Zitat von @123788:

Ok, das mag sein. Bloß nutzen andere Systeme den schon vorhandenen Proxy eben auch. Und diese Systeme haben (bis auf ne Blacklist) uneingeschränkten Zugang zum Internet und sollen diesen auch behalten.


Üblicherweise kann man den proxy auch so konfigurieren, daß die Regeln für jeden client oder auch gruppen von clients verschieden sein können.

lks
123788
123788 25.06.2017 um 17:18:53 Uhr
Goto Top
Klar, ist ohne Frage alles möglich face-wink
Müsste dafür aber z.B. erstmal Benutzer-Authentifizierung konfigurieren etc.
Ginge über ne einfache Firewall-Regel einfach schneller und unkomplizierter.
133417
133417 25.06.2017 aktualisiert um 18:01:12 Uhr
Goto Top
Zitat von @123788:
Müsste dafür aber z.B. erstmal Benutzer-Authentifizierung konfigurieren etc.
Nö muss man nicht, schon mal was von einem "transparenten Proxy" der sich ohne irgendeine Config am Client in die Verbindung schaltet gehört face-wink. Der NATet allen Traffic auf den Proxy auf der pfSense. Der lässt sich bspw. auch nur für bestimmte IPs aktivieren, etc. pp.
Stichwörter: Squid transparent proxy.
https://turbofuture.com/internet/Intercepting-HTTPS-Traffic-Using-the-Sq ...
123788
123788 25.06.2017 um 18:35:40 Uhr
Goto Top
Ist mir ein Begriff, genau das ist auf dem Ding schon im Einsatz.
Lochkartenstanzer
Lösung Lochkartenstanzer 25.06.2017 um 18:43:16 Uhr
Goto Top
Zitat von @123788:

Klar, ist ohne Frage alles möglich face-wink
Müsste dafür aber z.B. erstmal Benutzer-Authentifizierung konfigurieren etc.

Du mußt das nicht über User machen, sondern kannst die proxy,regel auch per source-ip anwenden.

lks
123788
123788 26.06.2017 um 11:16:59 Uhr
Goto Top
Ja, hab's vorhin ausprobiert. Ist mit pfSense aber leider "umständlich", ich werd das Ganze anders lösen face-wink
Danke für eure Hilfe!
gelöstFrageMicrosoft Windows Update
Heiß diskutiert
wusa88Ubuntu verschiedene Internetzugänge mit Wireguard, WLAN funktioniert, LAN nichtwusa88 - 34 KommentarekreuzbergerEin Geist im PC, Selbsteinschaltungkreuzberger - 28 KommentarejensgebkenÜberwachung von Bootenjensgebken - 27 KommentaremariociscoProblem Cisco 926 4P VoiP SnomD713 SIP eingehen ausgehend keine Telefonie und Uhrzeit Problemmariocisco - 26 KommentareDjDomXAlternativen zu Windows-Terminal-Server (RDS Session-Hosts)?DjDomX - 25 KommentarebloodstixSkript für Prozessorzugehörigkeitbloodstix - 21 KommentareriegelerI226-V kein DHCP möglich: Es kann keine Verbindung mit dem DHCP-Server hergestellt werdenriegeler - 21 KommentaregravelkingMicrosoft Authenticatorgravelking - 21 KommentareDerWoWussteInteressanter Trick für Windows-NutzersupporterDerWoWusste - 19 KommentaremarkaurelWorkstation Neuinstallation Windows unter Beibehaltung Einstellungen und Datenmarkaurel - 19 KommentareMIST10Schrank für LaptopsMIST10 - 19 KommentarempanziWindows-Oberfläche bleibt schwarz - aber es funktioniert allesmpanzi - 19 KommentareSpirit-of-EliGelöschte KommentareSpirit-of-Eli - 18 Kommentare