VLAN Guest W-LAN DNS Server
Hallo liebe Schwarmintelligenz,
ich habe kürzlich ein Post verfasst das wir Daheim/Geschäft neue IT-Hardware übernommen haben, Beitrag: VMWare VLANs Kommunkationsproblem
Ich habe mich nun weiter mit der Sache beschäftigt und W-LAN in das System integriert, Intern W-LAN und "Gäste" W-LAN habe ich über VLANs konfiguriert.
DHCP wird über ein DHCP-Relay gelöst. Funktioniert alles wunderbar.
Jetzt zu meiner Frage:
Da sich der DNS Server im VLAN30 befindet, kann das Gäste W-LAN nicht ohne entsprechende Regel in der Firewall, die DNS Anfragen an den Server senden. Wie sieht das sicherheitstechnisch für das Gäste W-LAN aus, macht es Sinn über den DHCP einen öffentlichen DNS Server zu pushen statt eine Regel in der Firewall zu erstellen, dass die Gäste auf den internen DNS Server zugreifen dürfen? So würde ich das Guest W-LAN doch vollständig vom VLAN30 isolieren oder ist das in der Praxis nicht schlimm?
Über Eure Meinung würde ich mich freuen.
Vielen Dank
ich habe kürzlich ein Post verfasst das wir Daheim/Geschäft neue IT-Hardware übernommen haben, Beitrag: VMWare VLANs Kommunkationsproblem
Ich habe mich nun weiter mit der Sache beschäftigt und W-LAN in das System integriert, Intern W-LAN und "Gäste" W-LAN habe ich über VLANs konfiguriert.
DHCP wird über ein DHCP-Relay gelöst. Funktioniert alles wunderbar.
Jetzt zu meiner Frage:
Da sich der DNS Server im VLAN30 befindet, kann das Gäste W-LAN nicht ohne entsprechende Regel in der Firewall, die DNS Anfragen an den Server senden. Wie sieht das sicherheitstechnisch für das Gäste W-LAN aus, macht es Sinn über den DHCP einen öffentlichen DNS Server zu pushen statt eine Regel in der Firewall zu erstellen, dass die Gäste auf den internen DNS Server zugreifen dürfen? So würde ich das Guest W-LAN doch vollständig vom VLAN30 isolieren oder ist das in der Praxis nicht schlimm?
Über Eure Meinung würde ich mich freuen.
Vielen Dank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 23665693291
Url: https://administrator.de/forum/vlan-guest-w-lan-dns-server-23665693291.html
Ausgedruckt am: 22.12.2024 um 12:12 Uhr
7 Kommentare
Neuester Kommentar
Wenn du im Regelwerk lediglich UDP/TCP 53 auf die DNS Server Hostadresse (32er Präfix) freigibst ist das sicher nicht gravierend.
Die Frage ob das schlimm oder nicht ist, ist mehr oder minder sinnfrei in einem Forum, denn die Beantwortung hängt a.) von deiner eigenen Sicherheits Policy und b.) von deinem Workflow ab. Wie sollte also jemand ohne diese Kenntnisse da belastbar drauf antworten?
Einige öffentliche DNS Server nutzen diese Daten bekanntlich um sie an Dritte zu vermarkten in sofern ist die Nutzung eines internen DNS etwas sicherer. Oftmals werden hier auch DNS Filter verwendet wie Adguard oder PiHole, die die lokalen Netze dann auch Werbe- und Malware frei halten so das ein lokaler DNS dann die deutlch bessere Wahl ist.
Die Frage ob das schlimm oder nicht ist, ist mehr oder minder sinnfrei in einem Forum, denn die Beantwortung hängt a.) von deiner eigenen Sicherheits Policy und b.) von deinem Workflow ab. Wie sollte also jemand ohne diese Kenntnisse da belastbar drauf antworten?
Einige öffentliche DNS Server nutzen diese Daten bekanntlich um sie an Dritte zu vermarkten in sofern ist die Nutzung eines internen DNS etwas sicherer. Oftmals werden hier auch DNS Filter verwendet wie Adguard oder PiHole, die die lokalen Netze dann auch Werbe- und Malware frei halten so das ein lokaler DNS dann die deutlch bessere Wahl ist.
N'Abend.
Sehe das ähnlich - "gravierend" ist der Zugriff auf Port 53 "nach innen" nicht, aber eigentlich überflüssig.
Aus meiner Sicht sollten Gäste erst gar nicht in die Lage versetzt werden, intern DNS-Namen/IP-Adressen abfragen zu können - dafür ist es ja ein "Gast-Netz", aus dem heraus nur Zugriff Richtung Internet bestehen soll. Und dafür genügt ein Public-DNS-Forwarder, z.B. der des Providers oder halt die Firewall. Wobei letzteres, je nach Firewall-Konfig, dann doch wieder Abfragen auf interne DNS-Namen/IP-Adressen ermöglich könnte.
Cheers,
jsysde
Sehe das ähnlich - "gravierend" ist der Zugriff auf Port 53 "nach innen" nicht, aber eigentlich überflüssig.
Aus meiner Sicht sollten Gäste erst gar nicht in die Lage versetzt werden, intern DNS-Namen/IP-Adressen abfragen zu können - dafür ist es ja ein "Gast-Netz", aus dem heraus nur Zugriff Richtung Internet bestehen soll. Und dafür genügt ein Public-DNS-Forwarder, z.B. der des Providers oder halt die Firewall. Wobei letzteres, je nach Firewall-Konfig, dann doch wieder Abfragen auf interne DNS-Namen/IP-Adressen ermöglich könnte.
Cheers,
jsysde
Bitte nicht vergessen deinen Thread hier dann auch als erledigt zu schliessen:
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?