123788
Jun 24, 2017
2894
17
0
MS: Update-Server-Adressen OHNE Wildcards
Hallo zusammen,
es gibt unzählige Threads dazu im Internet, doch keiner scheint eine Lösung zu liefern:
Problemlos bekommt man über die offizielle MS-Seite eine Liste der Update-Server. Diese enthält für einzelne Domains jedoch Wildcards.
Problem: Habe einen Win-Server in einer DMZ. Dieser soll nach draußen wirklich nur zu den Update-Servern Kontakt aufnehmen.
Doch: Natürlich unterstützt meine Hardware-Firewall keine Wildcards in Domainnamen.
Habt ihr eine Lösung?
Firewall ist eine pfSense.
es gibt unzählige Threads dazu im Internet, doch keiner scheint eine Lösung zu liefern:
Problemlos bekommt man über die offizielle MS-Seite eine Liste der Update-Server. Diese enthält für einzelne Domains jedoch Wildcards.
Problem: Habe einen Win-Server in einer DMZ. Dieser soll nach draußen wirklich nur zu den Update-Servern Kontakt aufnehmen.
Doch: Natürlich unterstützt meine Hardware-Firewall keine Wildcards in Domainnamen.
Habt ihr eine Lösung?
Firewall ist eine pfSense.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 341588
Url: https://administrator.de/contentid/341588
Printed on: April 25, 2024 at 13:04 o'clock
17 Comments
Latest comment
Hi,
das wird nicht mehr funktionieren, erstens liefert MS die Updates inzwischen über CDNs mit wechselnden IPs je nach Region aus zweitens geschieht die Kommunikation über https d.h. das du die angefragte URL nur mit MiTM Methoden und gefakten Zertifikaten oder mit dem Auswerten der vorrausgehenden DNS Anfragen an einem zwischengeschalteten Device abfragen könntest was das OS dazu bringen würde die Kommunikation mit den MS Servern einzustellen.
Gruß
das wird nicht mehr funktionieren, erstens liefert MS die Updates inzwischen über CDNs mit wechselnden IPs je nach Region aus zweitens geschieht die Kommunikation über https d.h. das du die angefragte URL nur mit MiTM Methoden und gefakten Zertifikaten oder mit dem Auswerten der vorrausgehenden DNS Anfragen an einem zwischengeschalteten Device abfragen könntest was das OS dazu bringen würde die Kommunikation mit den MS Servern einzustellen.
Gruß
Naja, die DNS-Namen würde meine Firewall regelmäßig neu auflösen, wechselnde IPs sind kein Problem.
Und warum soll HTTPs nicht funktionieren? Mache ich für unsere Virenscanner-Lösung (die auf diesem Server läuft) genauso und das funktioniert wunderbar.
Und warum soll HTTPs nicht funktionieren? Mache ich für unsere Virenscanner-Lösung (die auf diesem Server läuft) genauso und das funktioniert wunderbar.
Zitat von @123788:
Naja, die DNS-Namen würde meine Firewall regelmäßig neu auflösen, wechselnde IPs sind kein Problem.
Und warum soll HTTPs nicht funktionieren? Mache ich für unsere Virenscanner-Lösung (die auf diesem Server läuft) genauso und das funktioniert wunderbar.
Wenn das OS sich hier veräppeln lässt und MS nicht Hashes der Certs etc. hinterlegt hat dann schon, ansonsten nicht.Naja, die DNS-Namen würde meine Firewall regelmäßig neu auflösen, wechselnde IPs sind kein Problem.
Und warum soll HTTPs nicht funktionieren? Mache ich für unsere Virenscanner-Lösung (die auf diesem Server läuft) genauso und das funktioniert wunderbar.
Aber warum sollte es nicht funktionieren?
Ein bestimmter Hostname wird in eine IP aufgelöst und auf diese mittels Https zugegriffen... das hat doch nichts mit meiner Einschränkung über die Firewall zu tun?
Ein bestimmter Hostname wird in eine IP aufgelöst und auf diese mittels Https zugegriffen... das hat doch nichts mit meiner Einschränkung über die Firewall zu tun?
Moin,
die Erfahrung zeigt, dass der DNS-Serer meistens schneller eine andere IP-Adresse zurückgibt, als die Firewall im Cache von der letzten Abfrage hat. Höchstens der Client muss seine DNS-Anfragen an die Firewall stellen, dann könnte es klappen.
Gruß,
Dani
die Erfahrung zeigt, dass der DNS-Serer meistens schneller eine andere IP-Adresse zurückgibt, als die Firewall im Cache von der letzten Abfrage hat. Höchstens der Client muss seine DNS-Anfragen an die Firewall stellen, dann könnte es klappen.
Gruß,
Dani
Zitat von @123788:
Aber warum sollte es nicht funktionieren?
Wie ich sagte, wenn MS die verwendeten HTTPS Certs nicht irgendwo mit PKPinning etc. absichert dann ja ansonsten ist die Abfrage der tatsächlichen URL ja nicht möglich weil die SSL im BG schon die URL verschleiert, dann nur über "related" DNS Queries wie du meinst, aber die finden ja auch nur statt wenn sie nicht schon im Cache liegen oder Timeout abgelaufen ist.Aber warum sollte es nicht funktionieren?
Ein bestimmter Hostname wird in eine IP aufgelöst und auf diese mittels Https zugegriffen... das hat doch nichts mit meiner Einschränkung über die Firewall zu tun?
Und erlauben tust du dann unter Umständen mit der jeweiligen IP ein ganzes CDN für diesen Server, er könnte dann also praktisch auch auf andere Inhalte zugreifen 
Wenn dann machst du sowas mit einem angepassten transparenten Proxy.
@Dani:
Ich bin gerne bereit, das auszuprobieren
Wenn ich merke, dass DNS oder Client-Cache zu langsam sind, kann ich notfalls für kurze Updates immernoch die Firewall öffnen und hinterher schließen.
Aber ich würd' eben gern bei automatischen Updates bleiben...
Ich bin gerne bereit, das auszuprobieren
Wenn ich merke, dass DNS oder Client-Cache zu langsam sind, kann ich notfalls für kurze Updates immernoch die Firewall öffnen und hinterher schließen.
Aber ich würd' eben gern bei automatischen Updates bleiben...
Wäre ein Proxyserver für dich eine akzeptable Alternative? Dann könntest du dort die Wildcard-Domainliste hinterlegen und müsstest dir keine Gedanken über die IP-Adressen machen
Leider jein
Denn: Auf der pfSense läuft schon ein Proxy. Und den jetzt für einzelne Subnetze zu konfigurieren wäre vmtl. einiges an Aufwand.
Wohingegen ich für Domänen problemlos einen Alias anlegen kann, was wie gesagt beim Virenscanner auch 1a funktioniert.
Denn: Auf der pfSense läuft schon ein Proxy. Und den jetzt für einzelne Subnetze zu konfigurieren wäre vmtl. einiges an Aufwand.
Wohingegen ich für Domänen problemlos einen Alias anlegen kann, was wie gesagt beim Virenscanner auch 1a funktioniert.
Insbesondere einen Proxy sollte man mit wenig Aufwand für Wildcard-Domains konfigurieren können - darauf wollte ich hinaus
Ok, das mag sein. Bloß nutzen andere Systeme den schon vorhandenen Proxy eben auch. Und diese Systeme haben (bis auf ne Blacklist) uneingeschränkten Zugang zum Internet und sollen diesen auch behalten.
Das meinte ich damit
Das meinte ich damit
Zitat von @123788:
Ok, das mag sein. Bloß nutzen andere Systeme den schon vorhandenen Proxy eben auch. Und diese Systeme haben (bis auf ne Blacklist) uneingeschränkten Zugang zum Internet und sollen diesen auch behalten.
Ok, das mag sein. Bloß nutzen andere Systeme den schon vorhandenen Proxy eben auch. Und diese Systeme haben (bis auf ne Blacklist) uneingeschränkten Zugang zum Internet und sollen diesen auch behalten.
Üblicherweise kann man den proxy auch so konfigurieren, daß die Regeln für jeden client oder auch gruppen von clients verschieden sein können.
lks
Klar, ist ohne Frage alles möglich
Müsste dafür aber z.B. erstmal Benutzer-Authentifizierung konfigurieren etc.
Ginge über ne einfache Firewall-Regel einfach schneller und unkomplizierter.
Müsste dafür aber z.B. erstmal Benutzer-Authentifizierung konfigurieren etc.
Ginge über ne einfache Firewall-Regel einfach schneller und unkomplizierter.
Zitat von @123788:
Müsste dafür aber z.B. erstmal Benutzer-Authentifizierung konfigurieren etc.
Nö muss man nicht, schon mal was von einem "transparenten Proxy" der sich ohne irgendeine Config am Client in die Verbindung schaltet gehört Müsste dafür aber z.B. erstmal Benutzer-Authentifizierung konfigurieren etc.
. Der NATet allen Traffic auf den Proxy auf der pfSense. Der lässt sich bspw. auch nur für bestimmte IPs aktivieren, etc. pp.Stichwörter: Squid transparent proxy.
https://turbofuture.com/internet/Intercepting-HTTPS-Traffic-Using-the-Sq ...
Ist mir ein Begriff, genau das ist auf dem Ding schon im Einsatz.
Zitat von @123788:
Klar, ist ohne Frage alles möglich
Müsste dafür aber z.B. erstmal Benutzer-Authentifizierung konfigurieren etc.
Klar, ist ohne Frage alles möglich
Müsste dafür aber z.B. erstmal Benutzer-Authentifizierung konfigurieren etc.
Du mußt das nicht über User machen, sondern kannst die proxy,regel auch per source-ip anwenden.
lks
Ja, hab's vorhin ausprobiert. Ist mit pfSense aber leider "umständlich", ich werd das Ganze anders lösen
Danke für eure Hilfe!
Danke für eure Hilfe!
