9
Windows DNS-Server DNS-Blacklists und Suricata
Hallo zusammen,
derzeit experimentiere ich etwas mit meinen DNS-Servern rum. Das ganze soll schnell und sicher funktionieren. Derzeit benutze ich nur "normales" DNS, kein DNSSEC etc.
Meine bisheriges Setup funktioniert wie folgt:
Jetzt hatte ich die Idee, den Windows Server als Resolver arbeiten zu lassen also
Hierbei fehlt dann die Sicherheitsfilterung, die bei Weiterleitung an 9.9.9.9 ja durch quad9 erfolgt. Allerdings gehen alle Queries durch eine OPNSense mit aktiven Suricata und werden gegen die Suricata-Regeln geprüft. Suricata schmeißt beispielsweise verdächtige Top-Level-Domains raus, andere böse Sachen hoffe ich auch.
Gefühlt ist es so schneller. Warum auch immer. Das ist aber irgendwie seltsam und jetzt frage ich mich ob ich hier einen Denkfehler habe.
Macht es wirklich einen Unterschied? Wenn der Server recursiv auflöst, speichert er das Ergebnis im doch Cache. Wenn er per forwarder auflöst, aber doch auch, oder? Demzufolge müsste jede Cache-Antwort gleich schnell sein, und das recursive nachfragen länger als das weiterleiten an den Forwarder dauern.
Ich finde leider keine Cache-Statistik oder so etwas im Windows-DNS-Server (nur Optionen zum Cache löschen). Wie bestimmt sich eigentlich die Cache-Dauer? Ich hätte angenommen, dass die der ttl des DNS-Records entsprechen sollte?
Zweite Frage: Hat die Variante Resolver, gefiltert durch suricata noch weitere Haken (außer der Frage nach der Qualität der Suricata-Rulesets)?
Dritte Frage: Wenn ich dann mal DNSSEC aktivieren will, dürfte es doch genauso funktionieren. DNSSEC verschlüsselt doch nicht, sondern Signiert, so dass die Inhalte der DNS-Queries weiter von suricata mitgelesen werden können - oder?
Vermutlich sind das mal wieder dumme Fragen, auf deren Lösung ich selbst kommen könnte, aber manchmal sieht man den Wald vor Bäumen nicht.
Grüße
lcer
derzeit experimentiere ich etwas mit meinen DNS-Servern rum. Das ganze soll schnell und sicher funktionieren. Derzeit benutze ich nur "normales" DNS, kein DNSSEC etc.
Meine bisheriges Setup funktioniert wie folgt:
- Windows Server 2012R2 ist DC und DNS-Server für die Clients
- Eine Globale Weiterleitung ist auf 9.9.9.9 eingetragen
- Bedingte Weiterleitungen sind für Spamhouse und Co. aktiviert (die werden sonst nicht aufgelöst)
Jetzt hatte ich die Idee, den Windows Server als Resolver arbeiten zu lassen also
- Windows Server 2012R2 ist DC und DNS-Server für die Clients
- keine Globalen oder Bedingten Weiterleitungen
Hierbei fehlt dann die Sicherheitsfilterung, die bei Weiterleitung an 9.9.9.9 ja durch quad9 erfolgt. Allerdings gehen alle Queries durch eine OPNSense mit aktiven Suricata und werden gegen die Suricata-Regeln geprüft. Suricata schmeißt beispielsweise verdächtige Top-Level-Domains raus, andere böse Sachen hoffe ich auch.
Gefühlt ist es so schneller. Warum auch immer. Das ist aber irgendwie seltsam und jetzt frage ich mich ob ich hier einen Denkfehler habe.
Macht es wirklich einen Unterschied? Wenn der Server recursiv auflöst, speichert er das Ergebnis im doch Cache. Wenn er per forwarder auflöst, aber doch auch, oder? Demzufolge müsste jede Cache-Antwort gleich schnell sein, und das recursive nachfragen länger als das weiterleiten an den Forwarder dauern.
Ich finde leider keine Cache-Statistik oder so etwas im Windows-DNS-Server (nur Optionen zum Cache löschen). Wie bestimmt sich eigentlich die Cache-Dauer? Ich hätte angenommen, dass die der ttl des DNS-Records entsprechen sollte?
Zweite Frage: Hat die Variante Resolver, gefiltert durch suricata noch weitere Haken (außer der Frage nach der Qualität der Suricata-Rulesets)?
Dritte Frage: Wenn ich dann mal DNSSEC aktivieren will, dürfte es doch genauso funktionieren. DNSSEC verschlüsselt doch nicht, sondern Signiert, so dass die Inhalte der DNS-Queries weiter von suricata mitgelesen werden können - oder?
Vermutlich sind das mal wieder dumme Fragen, auf deren Lösung ich selbst kommen könnte, aber manchmal sieht man den Wald vor Bäumen nicht.
Grüße
lcer
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 647046
Url: https://administrator.de/forum/windows-dns-server-dns-blacklists-und-suricata-647046.html
Ausgedruckt am: 06.04.2025 um 19:04 Uhr
9 Kommentare
Neuester Kommentar
Der Wald der das Licht verdunkelt ist Windows
Hallo,
Grüße
lcer
Zitat von @147448:
Der Wald der das Licht verdunkelt ist Windows
nun, das mag sein, meine bind9 DNS Server benehmen sich ja ganz gut. Aber ein Windows Active Directory braucht nunmal einen Windows DNS Server und um den geht es.Der Wald der das Licht verdunkelt ist Windows
Grüße
lcer
Erkläre ohne IP Adressen wie wo was hinlaufen soll, und wo der WIn DNS seien Daten bekommt ! Aber sage mir nicht, das es zum WAN kein Router und keine wirkliche Firewall gibt
Hallo,
Grüße
lcer
Zitat von @147448:
Erkläre ohne IP Adressen wie wo was hinlaufen soll, und wo der WIn DNS seien Daten bekommt ! Aber sage mir nicht, das es zum WAN kein Router und keine wirkliche Firewall gibt
steht doch alles oben. Mit Resolver meinte ich recursive Abfragen für Domänen, für die er nicht authorisierend ist.Erkläre ohne IP Adressen wie wo was hinlaufen soll, und wo der WIn DNS seien Daten bekommt ! Aber sage mir nicht, das es zum WAN kein Router und keine wirkliche Firewall gibt
Grüße
lcer
Steht nicht alles da ! Aber super ! Windows Server !
Echtes DNS Caching beherrscht der WIN Server nicht ! Selbst wenn man über NO-ARP Adressen die Daten überspielt !
Wenn der Mirror eines Shadows Caches nicht mitbekommt wie der Weg ( Route ) ist dann kann der ARP Proxy der möglicher Weise angesprochen werden soll nicht machen, weil WIN kann das nicht !
Echtes DNS Caching beherrscht der WIN Server nicht ! Selbst wenn man über NO-ARP Adressen die Daten überspielt !
Wenn der Mirror eines Shadows Caches nicht mitbekommt wie der Weg ( Route ) ist dann kann der ARP Proxy der möglicher Weise angesprochen werden soll nicht machen, weil WIN kann das nicht !
Hallo,
Beispiel: www.Administrator.de wird angefragt. In der Forwarding Variante fragt der Windows Server bei quad9 nach, ob der dazu eine IP kennt. In der Resolver-Variante hangelt sich mein DNS-Server bis zum authorativen DNS-Server für Administrator.de durch und fragt dort nach www.
Grüße
lcer
Zitat von @147448:
Steht nicht alles da !
Was fehlt denn? Da steht doch Client -> Windows DNS -> Quad9 bzw. Client -> Windows DNS(löst recursive auf)Steht nicht alles da !
Aber super ! Windows Server !
Genau.Echtes DNS Caching beherrscht der WIN Server nicht !
Was macht er dann? Wenn ich den Cache leeren kann, muss er sich doch auch füllen?Selbst wenn man über NO-ARP Adressen die Daten überspielt !
Wenn der Mirror eines Shadows Caches nicht mitbekommt wie der Weg ( Route ) ist dann kann der ARP Proxy der möglicher Weise angesprochen werden soll nicht machen, weil WIN kann das nicht !
ARP? Ich rede von DNS-Queries für externe Domänen, für die mein Windows DNS Server keine Zonen enthält.Wenn der Mirror eines Shadows Caches nicht mitbekommt wie der Weg ( Route ) ist dann kann der ARP Proxy der möglicher Weise angesprochen werden soll nicht machen, weil WIN kann das nicht !
Beispiel: www.Administrator.de wird angefragt. In der Forwarding Variante fragt der Windows Server bei quad9 nach, ob der dazu eine IP kennt. In der Resolver-Variante hangelt sich mein DNS-Server bis zum authorativen DNS-Server für Administrator.de durch und fragt dort nach www.
Grüße
lcer
Entschuldige !
Mit Windows Server wird nichts gewonnen !
Ausser das alle Typen, wie SIE auf IN Server setzten !
Ich habe mit ohne .. Nein Das ist Falsch ! Ich habe ihren Server Standort ausgemacht und ich Frage wohl etwas mehr ab,
Mit Windows Server wird nichts gewonnen !
Ausser das alle Typen, wie SIE auf IN Server setzten !
Ich habe mit ohne .. Nein Das ist Falsch ! Ich habe ihren Server Standort ausgemacht und ich Frage wohl etwas mehr ab,
Hallo,
Grüße
lcer
PS: schreib bitte mit etwas verständlicherer Grammatik.
Zitat von @147448:
Entschuldige !
Mit Windows Server wird nichts gewonnen !
Ausser das alle Typen, wie SIE auf IN Server setzten !
Etwas substanzlos - nicht wahr? Und off-topic, da das hier kein Windows-bashing-Topic ist.Entschuldige !
Mit Windows Server wird nichts gewonnen !
Ausser das alle Typen, wie SIE auf IN Server setzten !
Ich habe mit ohne .. Nein Das ist Falsch ! Ich habe ihren Server Standort ausgemacht und ich Frage wohl etwas mehr ab,
Sehr gut. Hast Du Diskussionsrichtlinien - die Regeln zu unseren Inhalten gelesen?Grüße
lcer
PS: schreib bitte mit etwas verständlicherer Grammatik.
Was hast Du denn genommen? Ich glaube Du brauchst mal Urlaub.
Grüße
lcer
Grüße
lcer
