Hallo zusammen

Wir sind dabei unsere Server in der DMZ abzulösen. Unsere DMZ beinhaltet derzeit 5 Server:
2x ADS Controller mit DNS (fürs ADS)
1x Public DNS Server für die Hostings usw. (der 2. Public DNS Server ist beim Provider gehostet)
1x Housing Server
1x Datenbank / Webserver

Nun soll der Server auf dem der Public DNS Server läuft ersatzlos gestrichen werden. Das Problem ist die Neuplatzierung des DNS.

- Der Housing Server kommt nicht in Frage -> ist nicht uns und auch schon alt
- Der Datenbank / Webserver wird vermutlich in einem halben Jahr auch ausge-schaltet fällt somit auch weg.

Bleibt noch einer der Beiden ADS Controllern. Nur ist dort ja schon der DMZ eigene DNS eingerichtet. Gibt es dennoch eine Möglichkeit beides auf einem Server laufen zu lassen ohne die Sicherheit allzu sehr zu gefährden? Wie soll ich vorgehen?

Auf den ADS Controllern läuft W2k3, Public IP-Adressen haben wir genug falls dies nötig ist.

hi mbuess

hmmm... welche informationen beinhalten denn die dns server auf den domänencontrollern also für die domänen selbst?

Also anders gefragt, für euer intranet, habt ih dort nochmals eigene server bzw domänencontroller ?

möchtest du fürs hosting die primären DNS Forward-lookup zonen hosten oder nur sekundär? (primär auf dns server provider)


Sofern keine computerkonten gespeichert werden und du die zonenübertragung auf die beiden server beschränkst bzw. TCP 53 auf die ip adresse des externen DNS Providers beschränkst... (für die forward lookup zone falls primär und auf der firewall) damit nur dieser zonen übertragungen durchführen kann und die dynamischn updates komplet abgeschltet werden...
hast du einigermasse eine halbswegs sichere sache.

normalerweise sollte man keine domänencontroller in die dmz stellen, schon gar nicht fürs interne netz, (falls dem so ist, kann ich dir nur dringendst empfehlen schnellstmöglich das gesamtkonzept zu ändern )doch wenn diese nur für die hosting umgebung benötigt werden und du wirklich keine andere möglichkeit hast....(sicherheit bleibt auf der strecke) dann würde ich es so machen wie oben beschrieben.

Grüsse

Darkmind

hi Darkmind, vielen Dank für die Antwort

Die DNS Server der DMZ enthalten die informationen der Server in der DMZ, sonst nichts.
Für den Internen Bereich haben wir natürlich eigene DNS Server / Domänencontroller im Einsatz.

Der Public DNS Server ist der Primäre Server, der beim ISP ist der Sekundäre.

Vermutlich werde ich den DNS so einrichten obwohl ich meine Bedenken dabei habe.

Gruss
mbuess

Hi mbuess

Alles klar..

würde einfach die div. Logs genau beobachten.

thx für feedback

Grüsse

Darkmind

TCP zu schliessen ist nicht standardkonform - DNS verwendet TCP nicht nur für Zone Transfers, sondern auch für Queries mit Antworten > 512 Bytes.


http://en.wikipedia.org/wiki/Domain_name_system

Das ist mir durchaus bewusst..

doch was willst du lieber.. einen standardkonformen dns server oder eine noch unsichere umgebung ?

Zur errinerung, es ist ebenfalls nicht standardkonform einen Public DNS Server auf einem Domänencontroller auszuführen. Also benötigen meiner meinung nach besondere situationen besondere massnahmen.

Für mich erscheint diese " Sicherheits" massnahme durchaus sinnvoll, auch wenn sie nicht dem Standard entspricht.


Grüsse

Darkmind

Hey.

Ich hätte eine Andere Idee...

Wieso richtest du nicht auf einem der Server einen Virtuellen Server ein, mit Linux, für die DNS...

wir haben z.b. eine ganz einfach DNS Oberfläche, für unsere Kunden.

www.IncSys-dns.net


Läuft auf einer Linuxmaschiene -> braucht also nicht all zu viel rechenleistung.

Dein Werk?
Sieht interessant aus; werde ich mir mal genauer anschauen!

bis bald
Kermit

Nein, leider nicht mein werk

Aber wäre eine Idee, sowas selbst zu machen

Deine vorgeschlagene Massnahme bietet keine zusätzliche Sicherheit - du kannst Zone Transfers auf dem DNS-Server einschränken, ohne TCP fälschlicherweise auf der Firewal zu schliessen.

Wenn sich alle so um Internet-Standards foutieren würden, würde das Internet schlicht nicht funktionieren. Mit deiner Massnahme sperrst Du z.B. alle Benutzer von HP-Unix davon aus, Die Emails zu verschicken oder auf Deine Webseite zu gelangen.

sehr wohl bietet das eine zusätzliche sicherheit, denn wo kein offener port, dort keine angriffsmölichkeit.
da stimm ich mit dir nicht überein.
Und das man die zone transfers beschränken kann, habe ich bereits erwähnt.

[dämlichaussageein]
Microsoft stellt sich bei so einigen sachen gegen die RFC's und das internet funktioniert trotzdem.
[/dämlichaussageaus]

Doch das hp-ux unbedingt tcp benötigt habe ich nicht gewusst. wäre schön wenn du das genauer erläutern könntest. würde mich nämlich intressieren.
Gut zu wissen und danke für den hinweis.

Somit nehme diese aussage zurück und behaupte das gegenteil




Grüsse

Darkmind

Die Idee ist gar nicht so schlecht, ist mir auch schon durch den Kopf gegangen. Allerdings kommt für uns als MS Gold Partner Linux nicht in Frage und nur für einen DNS Server ist die Ressourcenverschwendung mit den MS Tools (Virtual Server, W2k3) einfach zu hoch.

Vielen Dank euch allen für die Antworten.

hi less

Möchte diesen Thread doch nochmals ausgraben, das ganze hat mich noch beschäftigt. Und da unsere diskussion bisher sehr sachlich verlief möchte ich dir dies doch noch gerne vorhalten:
Scheint wohl nicht nur eine von mir angewandte "falsche"massnahme zu sein.

hier einige namehafte beispiele... wo TCP 53 geblockt wird:

ag.ch

http://www.dnsreport.com/tools/dnsre...h?domain=ag.ch


zh.ch

http://www.dnsreport.com/tools/dnsre...h?domain=zh.ch


und wahrscheinlich alle weiteren 2 Letter domains die für die Kantone in der Schweiz reserviert sind.

auch andere staatliche betriebe.. wie z.b.

http://www.dnsreport.com/tools/dnsre...verkehrsamt.ch

lassen kein TCP 53 durch

und nicht nur in der Schweiz:

nameresolve.com (offizieller NS für .com .net usw Domains der
NIC.com , falls keine eigenen Nameserver für dort registrierte domains verwendet werden)
Also hier sicherlich einige tausende Domains darauf registriert.

http://www.dnsreport.com/tools/dnsre...ameresolve.com

Sofern dort dnsreport.com und mein nmap kurztest nicht explizit geblockt wird, gehe ich davon aus das TCP 53 wirklich zu ist.

Klar, laut RFC ist deine Aussage absolut korrekt, doch wie erklärst du dir solche "fehlerhafte" konfigurationen und diese auch noch bei solch renomierten betrieben ?




Grüsse

Darkmind