slaxxx
Goto Top

VLAN Guest W-LAN DNS Server

Hallo liebe Schwarmintelligenz,
ich habe kürzlich ein Post verfasst das wir Daheim/Geschäft neue IT-Hardware übernommen haben, Beitrag: VMWare VLANs Kommunkationsproblem

Ich habe mich nun weiter mit der Sache beschäftigt und W-LAN in das System integriert, Intern W-LAN und "Gäste" W-LAN habe ich über VLANs konfiguriert.

DHCP wird über ein DHCP-Relay gelöst. Funktioniert alles wunderbar.

Jetzt zu meiner Frage:

Da sich der DNS Server im VLAN30 befindet, kann das Gäste W-LAN nicht ohne entsprechende Regel in der Firewall, die DNS Anfragen an den Server senden. Wie sieht das sicherheitstechnisch für das Gäste W-LAN aus, macht es Sinn über den DHCP einen öffentlichen DNS Server zu pushen statt eine Regel in der Firewall zu erstellen, dass die Gäste auf den internen DNS Server zugreifen dürfen? So würde ich das Guest W-LAN doch vollständig vom VLAN30 isolieren oder ist das in der Praxis nicht schlimm?

Über Eure Meinung würde ich mich freuen.

Vielen Dank

Content-Key: 23665693291

Url: https://administrator.de/contentid/23665693291

Printed on: June 25, 2024 at 10:06 o'clock

Member: aqui
aqui Aug 30, 2023 updated at 09:02:07 (UTC)
Goto Top
Wenn du im Regelwerk lediglich UDP/TCP 53 auf die DNS Server Hostadresse (32er Präfix) freigibst ist das sicher nicht gravierend.
Die Frage ob das schlimm oder nicht ist, ist mehr oder minder sinnfrei in einem Forum, denn die Beantwortung hängt a.) von deiner eigenen Sicherheits Policy und b.) von deinem Workflow ab. Wie sollte also jemand ohne diese Kenntnisse da belastbar drauf antworten?
Einige öffentliche DNS Server nutzen diese Daten bekanntlich um sie an Dritte zu vermarkten in sofern ist die Nutzung eines internen DNS etwas sicherer. Oftmals werden hier auch DNS Filter verwendet wie Adguard oder PiHole, die die lokalen Netze dann auch Werbe- und Malware frei halten so das ein lokaler DNS dann die deutlch bessere Wahl ist.
Member: Slaxxx
Slaxxx Aug 30, 2023 at 08:49:10 (UTC)
Goto Top
Danke für deine Antwort.

Mir ging es darum, mal die Meinung Anderer zuhören, wie damit umgegangen wird, unabhängig von meinen "Sicherheitsstandards" oder Setup.

Deswegen habe ich den Beitrag auch als "Lasst uns darüber sprechen" und nicht als "Hilfe" markiert.

Vielen Dank für deinen Input.
Member: wiesi200
wiesi200 Aug 30, 2023 at 14:19:11 (UTC)
Goto Top
Blöde Frage kann die Firewall für dein Gästenetzt nicht einen DNS bereitstellen?
Oder du hinterlegst für dein Gästenetz einen öffentlichen DNS von deinen Internet Provider.
Dort solltest du ja nur eine Namensauflösung von externen Ressourcen brauchen
Member: jsysde
jsysde Aug 30, 2023 at 17:37:30 (UTC)
Goto Top
N'Abend.

Sehe das ähnlich - "gravierend" ist der Zugriff auf Port 53 "nach innen" nicht, aber eigentlich überflüssig.
Aus meiner Sicht sollten Gäste erst gar nicht in die Lage versetzt werden, intern DNS-Namen/IP-Adressen abfragen zu können - dafür ist es ja ein "Gast-Netz", aus dem heraus nur Zugriff Richtung Internet bestehen soll. Und dafür genügt ein Public-DNS-Forwarder, z.B. der des Providers oder halt die Firewall. Wobei letzteres, je nach Firewall-Konfig, dann doch wieder Abfragen auf interne DNS-Namen/IP-Adressen ermöglich könnte.

Cheers,
jsysde
Member: em-pie
em-pie Aug 30, 2023 updated at 19:53:09 (UTC)
Goto Top
Moin,

Also wir haben den DNS-Aufbau wie folgt:

  • Interne Netz fragen Windows DNS
  • Windows DNS fragt UTM
  • Gast-Netze (terminieren an der UTM) fragen UTM
  • UTM fragt public DNS

UTM fragt internen DNS nur für das WebProxy-Thema…
Member: Slaxxx
Slaxxx Aug 31, 2023 at 05:55:33 (UTC)
Goto Top
Zitat von @wiesi200:

Blöde Frage kann die Firewall für dein Gästenetzt nicht einen DNS bereitstellen?
Oder du hinterlegst für dein Gästenetz einen öffentlichen DNS von deinen Internet Provider.
Dort solltest du ja nur eine Namensauflösung von externen Ressourcen brauchen

Danke für deine Antwort.
Das ist richtig, die Firewall könnte das.


Zitat von @jsysde:

N'Abend.

Sehe das ähnlich - "gravierend" ist der Zugriff auf Port 53 "nach innen" nicht, aber eigentlich überflüssig.
Aus meiner Sicht sollten Gäste erst gar nicht in die Lage versetzt werden, intern DNS-Namen/IP-Adressen abfragen zu können - dafür ist es ja ein "Gast-Netz", aus dem heraus nur Zugriff Richtung Internet bestehen soll. Und dafür genügt ein Public-DNS-Forwarder, z.B. der des Providers oder halt die Firewall. Wobei letzteres, je nach Firewall-Konfig, dann doch wieder Abfragen auf interne DNS-Namen/IP-Adressen ermöglich könnte.

Cheers,
jsysde

Auch dir danke für deine Antwort.
Genau so werde ich es lösen, ich werde einfach die public DNS des Providers verwenden, so gibt es gar keine Berührungspunkte.

Vielen Dank an die zahlreichen Antworten, so konnte ich mir ein Bild machen.
Member: aqui
aqui Aug 31, 2023 at 08:18:41 (UTC)
Goto Top
Bitte nicht vergessen deinen Thread hier dann auch als erledigt zu schliessen:
How can I mark a post as solved?