3
DNS für Nicht-Domänenmitglieder blockieren
Ich habe ein Testnetz mit einer Domäne und einem Server 2008 Enterprise als Domaincontroller, an dem ich seit vier Wochen mehr oder weniger erfolgreich rumspiele. Ich herrsche über ein Netzwerk in einem Test- und Schulungsunternehmen, bei dem schlaue Mitmenschen einfach mal nen Laptop von zuhause mitbringen, sich eine IP im Netz geben, den Domänencontroller als DNS und Gateway eintragen und dann fröhlich surfen. Dies soll aus diversen mehr oder weniger nachvollziehbaren Gründen unterbunden werden. Mein Ansatzpunkt für die Lösung dieses Problems war, das DNS für alle Nicht-Domänenmitglieder zu verbieten. Klappt aber nicht so wie vorgesehen, und ich weiss langsam nicht mehr weiter.
Ausgangslage:
In einem 192.168.X.X Unternehmensnetz befinden sich eine Domäne mit wechselnden Mitgliedern und betriebsbedingt mehrere Nicht-Domänenmitglieder, die zu Test- und Schulungszwecken gebraucht werden und auf denen unterschiedliche Dienste laufen. Das Unternehmensnetz ist durch eine externe Firewall geschützt, die Kommunikation des internen mit dem externen Netzes wird ebenfalls gesteuert. Ausserdem fungiert die Firewall als DNS-Proxy für das interne Netz für die Auflösung von externen Namen.
Alle Rechner im Netz benutzen den DC als DNS-Server. Der DC besitzt zwei Netzwerkschnittstellen in zwei Netzen (230 und 231) fungiert ebenfalls durch NAT-Routing (Rolle Routing und RAS) als Router auf die Firewall. Der DNS-Server auf dem DC lauscht nur auf dem 231er Netz, Anfragen aus allen anderen Netzen werden verworfen. Jegliche andere Kommunikation mit der Firewall ausser vom DC zur Firewall wird von der Firewall unterbunden, DNS-Anfragen an die Firewall werden nur beantwortet, wenn MAC-Adresse und IP-Adresse des anfragenden Rechners mit der des DC übereinstimmen, alle Anfragen von anderen Rechnern als dem DC werden verworfen. Somit ist das Verwenden der Firewall als DNS-Server für das interne Netz verboten.
Ziel:
Es soll verhindert werden, daß unabhängig von IP- oder MAC-Adressen sowohl die Testrechner als auch mitgebrachte private Laptops von Mitarbeitern oder externen Kunden über das Firmennetz Zugriff auf das externe Netz haben. Durch die hohe Rechnerfluktiation innerhalb der Domäne und im Testnetz ist eine einfache MAC-Filterliste unpraktikabel und pflegeintensiv. Gleichzeitig soll das Einbinden von neuen Rechnern in die Domäne durch den Administrator ohne weitergehende als der üblichen Konfiguration der Hosts möglich sein. Um den Zugriff auf externe Netze von Rechnern ausserhalb der Domäne zu verhindern, soll die Domäne isoliert werden und DNS-Auflösung nur gegenüber authentifizierten Domänenmitgliedern durchgeführt werden. Rechner, die nicht der Domäne angehören, können keine direkten DNS-Anfragen an den DNS-Proxy auf der Firewall stellen, sondern nur indirekt über den DC.
Zur Zielerreichung sollen keine weiteren Server ausser den beiden bestehenden in das Unternehmensnetz eingebunden werden. Die Einbindung von weiteren Serverrollen/prozessen ist so gering wie möglich zu halten. Für die Testphase ist einfaches HTTP 80 ausreichend, soll aber über einfache Portöffnung ausgehend an der Firewall beliebig erweitert werden können.
Logische Netzstruktur:
192.168.231.X - Domänennetz
192.168.230.X - Externe Schnittstelle des DC. ausgehender Traffic wird mittels NAT geroutet.
192.168.203.X -simuliertes Externes Netz ausserhalb des zu schützenden Unternehmensnetzes
Konfiguration der externen Firewall (Begriffsdefinition ausgehend = vom Netz 230 ins Netz 203):
192.168.230.222 - IP-Adresse
Firewallregeln ausgehend absteigend priorisiert:
- ausgehend http Port 80 für 192.168.230.143 (NAT-Routing aus Netz 231) frei an beliebiges Ziel
- ausgehend DNS Port 53 TCP + UDP für 192.168.230.143 (DC extern) frei an Ziel 192.168.230.222 Port 53 TCP + UDP
- ausgehend DNS Port 53 TCP + UDP verboten
- ausgehend alle Ports verboten
Firewallregeln eingehend absteigend priorisiert
- alle nicht eingehenden Verbindungen blocken (ausser selbst initiiert)
- eingehend Port 53 TCP+UDP verwerfen
Domäne: Domain Controller Windows Server 2008 Enterprise - 192.168.231.143 + diverse Hosts, häufig wechselnd
ausserhalb der Domäne: diverse Testrechner, mitgebrachte Laptops und ähnlicher Krempel.
Konfiguration des Domain Controllers:
192.168.230.143 - externe IP-Adresse zur Kommunikation mit externer Firewall
192.168.231.143 - interne IP-Adresse, DNS lauscht auf dieser Schnittstelle.
IPv6 deaktiviert
erweiterte Firewall aktiviert, Domänenprofil ein, Privat + öffentlich nicht konfiguriert, eingehend Blocken(Standard), ausgehend nicht konfiguriert, IPSEC-Einstellungen Authentifizierung Kerberos V5, ICMP ausschliessen JA
Regeln:
eingehend: DNS (TCP+UDP) Domäne zulassen
eingehend: AD-Dienste zulassen
eingehend: Anmeldedienst zulassen
eingehend: Schlüsselverwaltungsdienst zulassen
Verbindungssicherheit: eingehend Authentifizierung erforderlich, ausgehend anfordern, Methode Computer Kerberos V5
Aufgetretene Probleme: Trotz Freigabe der DNS-Ports scheinen an den DC eingehende DNS-Anforderungen von der DC-Firewall grundsätzlich geblockt werden. Dadurch ist sowohl Anmelden an der Domäne als auch das Registrieren eines neuen Rechners in der Domäne nicht mehr möglich. Selbst wenn eingehend blocken ausgeschaltet wird werden DNS-Anfragen nicht beantwortet. Das Problem kann nur gelöst werden, indem die Windows-Firewall komplett ausgeschaltet wird, jedoch werden dann auch wieder DNS-Anfragen von Nicht-Domänenmitgliedern beantwortet, was eigentlich verhindert werden soll.
Ich habe das ganze auch schon über PKI und Zertifikate versucht, funktioniert zwar, ist aber unpraktikabel, da ich jedesmal, wenn ich ein neues Domänenmitglied registriere, was ziemlich häufig vorkommt, die Firewall am DC abschalten muss bzw GPO deaktivieren...und bei meiner angeborenen Vergesslichkeit verpenne ich garantiert irgendwann mal die wieder anzuschalten.
Die externe Firewall arbeitet perfekt und tut genau das, was so tun soll. An der brauch nichts geändert werden. Mein Problemkind ist der Domaincontroller, der rumbockt.
Wäre über Lösungshilfen dankbar...aber wie gesagt, MACfilterlisten sind nicht akzeptabel.
PS: das von Microsoft zu diesem Thema vorgegebene Whitepaper hab ich abgearbeitet, aber aus unklarem Grund treten dabei die oben aufgeführten Probleme mit dem DNS auf.
In einem 192.168.X.X Unternehmensnetz befinden sich eine Domäne mit wechselnden Mitgliedern und betriebsbedingt mehrere Nicht-Domänenmitglieder, die zu Test- und Schulungszwecken gebraucht werden und auf denen unterschiedliche Dienste laufen. Das Unternehmensnetz ist durch eine externe Firewall geschützt, die Kommunikation des internen mit dem externen Netzes wird ebenfalls gesteuert. Ausserdem fungiert die Firewall als DNS-Proxy für das interne Netz für die Auflösung von externen Namen.
Alle Rechner im Netz benutzen den DC als DNS-Server. Der DC besitzt zwei Netzwerkschnittstellen in zwei Netzen (230 und 231) fungiert ebenfalls durch NAT-Routing (Rolle Routing und RAS) als Router auf die Firewall. Der DNS-Server auf dem DC lauscht nur auf dem 231er Netz, Anfragen aus allen anderen Netzen werden verworfen. Jegliche andere Kommunikation mit der Firewall ausser vom DC zur Firewall wird von der Firewall unterbunden, DNS-Anfragen an die Firewall werden nur beantwortet, wenn MAC-Adresse und IP-Adresse des anfragenden Rechners mit der des DC übereinstimmen, alle Anfragen von anderen Rechnern als dem DC werden verworfen. Somit ist das Verwenden der Firewall als DNS-Server für das interne Netz verboten.
Ziel:
Es soll verhindert werden, daß unabhängig von IP- oder MAC-Adressen sowohl die Testrechner als auch mitgebrachte private Laptops von Mitarbeitern oder externen Kunden über das Firmennetz Zugriff auf das externe Netz haben. Durch die hohe Rechnerfluktiation innerhalb der Domäne und im Testnetz ist eine einfache MAC-Filterliste unpraktikabel und pflegeintensiv. Gleichzeitig soll das Einbinden von neuen Rechnern in die Domäne durch den Administrator ohne weitergehende als der üblichen Konfiguration der Hosts möglich sein. Um den Zugriff auf externe Netze von Rechnern ausserhalb der Domäne zu verhindern, soll die Domäne isoliert werden und DNS-Auflösung nur gegenüber authentifizierten Domänenmitgliedern durchgeführt werden. Rechner, die nicht der Domäne angehören, können keine direkten DNS-Anfragen an den DNS-Proxy auf der Firewall stellen, sondern nur indirekt über den DC.
Zur Zielerreichung sollen keine weiteren Server ausser den beiden bestehenden in das Unternehmensnetz eingebunden werden. Die Einbindung von weiteren Serverrollen/prozessen ist so gering wie möglich zu halten. Für die Testphase ist einfaches HTTP 80 ausreichend, soll aber über einfache Portöffnung ausgehend an der Firewall beliebig erweitert werden können.
Logische Netzstruktur:
192.168.231.X - Domänennetz
192.168.230.X - Externe Schnittstelle des DC. ausgehender Traffic wird mittels NAT geroutet.
192.168.203.X -simuliertes Externes Netz ausserhalb des zu schützenden Unternehmensnetzes
Konfiguration der externen Firewall (Begriffsdefinition ausgehend = vom Netz 230 ins Netz 203):
192.168.230.222 - IP-Adresse
Firewallregeln ausgehend absteigend priorisiert:
- ausgehend http Port 80 für 192.168.230.143 (NAT-Routing aus Netz 231) frei an beliebiges Ziel
- ausgehend DNS Port 53 TCP + UDP für 192.168.230.143 (DC extern) frei an Ziel 192.168.230.222 Port 53 TCP + UDP
- ausgehend DNS Port 53 TCP + UDP verboten
- ausgehend alle Ports verboten
Firewallregeln eingehend absteigend priorisiert
- alle nicht eingehenden Verbindungen blocken (ausser selbst initiiert)
- eingehend Port 53 TCP+UDP verwerfen
Domäne: Domain Controller Windows Server 2008 Enterprise - 192.168.231.143 + diverse Hosts, häufig wechselnd
ausserhalb der Domäne: diverse Testrechner, mitgebrachte Laptops und ähnlicher Krempel.
Konfiguration des Domain Controllers:
192.168.230.143 - externe IP-Adresse zur Kommunikation mit externer Firewall
192.168.231.143 - interne IP-Adresse, DNS lauscht auf dieser Schnittstelle.
IPv6 deaktiviert
erweiterte Firewall aktiviert, Domänenprofil ein, Privat + öffentlich nicht konfiguriert, eingehend Blocken(Standard), ausgehend nicht konfiguriert, IPSEC-Einstellungen Authentifizierung Kerberos V5, ICMP ausschliessen JA
Regeln:
eingehend: DNS (TCP+UDP) Domäne zulassen
eingehend: AD-Dienste zulassen
eingehend: Anmeldedienst zulassen
eingehend: Schlüsselverwaltungsdienst zulassen
Verbindungssicherheit: eingehend Authentifizierung erforderlich, ausgehend anfordern, Methode Computer Kerberos V5
Aufgetretene Probleme: Trotz Freigabe der DNS-Ports scheinen an den DC eingehende DNS-Anforderungen von der DC-Firewall grundsätzlich geblockt werden. Dadurch ist sowohl Anmelden an der Domäne als auch das Registrieren eines neuen Rechners in der Domäne nicht mehr möglich. Selbst wenn eingehend blocken ausgeschaltet wird werden DNS-Anfragen nicht beantwortet. Das Problem kann nur gelöst werden, indem die Windows-Firewall komplett ausgeschaltet wird, jedoch werden dann auch wieder DNS-Anfragen von Nicht-Domänenmitgliedern beantwortet, was eigentlich verhindert werden soll.
Ich habe das ganze auch schon über PKI und Zertifikate versucht, funktioniert zwar, ist aber unpraktikabel, da ich jedesmal, wenn ich ein neues Domänenmitglied registriere, was ziemlich häufig vorkommt, die Firewall am DC abschalten muss bzw GPO deaktivieren...und bei meiner angeborenen Vergesslichkeit verpenne ich garantiert irgendwann mal die wieder anzuschalten.
Die externe Firewall arbeitet perfekt und tut genau das, was so tun soll. An der brauch nichts geändert werden. Mein Problemkind ist der Domaincontroller, der rumbockt.
Wäre über Lösungshilfen dankbar...aber wie gesagt, MACfilterlisten sind nicht akzeptabel.
PS: das von Microsoft zu diesem Thema vorgegebene Whitepaper hab ich abgearbeitet, aber aus unklarem Grund treten dabei die oben aufgeführten Probleme mit dem DNS auf.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 121666
Url: https://administrator.de/contentid/121666
Printed on: April 19, 2024 at 23:04 o'clock
3 Comments
Latest comment
Also um den Zugriff aufs Internet zu verbieten bzw zu erlauben wäre ein proxyserver am besten. Der ist eigentlich für solche Aufgaben gedacht.
Nachteil ist das du Benutzername und Passwort vergeben musst, und die User dann meckern, das Sie wieder ein Passwort mehr haben. Den Router müsste man dann einimpfen, das er nur Anfragen vom Proxy beantwortet, nicht von Clients.
Allerdings willst du ja keinen neuen Server, ich kenne nur Squid für Linux dafür. Vielleicht gibts auch Windows Software dafür.
Nachteil ist das du Benutzername und Passwort vergeben musst, und die User dann meckern, das Sie wieder ein Passwort mehr haben. Den Router müsste man dann einimpfen, das er nur Anfragen vom Proxy beantwortet, nicht von Clients.
Allerdings willst du ja keinen neuen Server, ich kenne nur Squid für Linux dafür. Vielleicht gibts auch Windows Software dafür.
Die externe Firewall ist ein IPCOP mit transparentem Proxy, davor würde dann im Produktivnetz erst der Router ins Internet liegen. Das Problem ist jedoch, das viele oberschlaue sich mit ihrem Laptop einfach die IP von dem Rechner geben, an dem sie sitzen, der dann solange ausbleibt. Schulungsunternehmen eben. Der Proxy kriegt das aber nicht mit, da die IP ja erlaubt ist....ansonsten wären wir wieder bei Mac-Filtern, die ich vermeiden will, da ich von Haus aus faul bin ;)
Benutzernamen und Passwort zu vergeben bringt ja auch nix, da diese Daten ja dann auch von den privaten Kisten aus verwendet werden können...und genau die sollen ja eben nicht in die grosse weite Welt kommen.
Benutzernamen und Passwort zu vergeben bringt ja auch nix, da diese Daten ja dann auch von den privaten Kisten aus verwendet werden können...und genau die sollen ja eben nicht in die grosse weite Welt kommen.
Hallo RedRabbit,
1.neue Rechner aufnehmen:
die Firewall musst Du nicht abschalten, du musst deine neuen PC's nur die GUID anlegen - als neuen Computer. Schon bekommen dann neuen PC'S IP-Adresse und du kannste deinen neuen PC in die DOMAIN aufnehmen. Vereinfachung geht nur ueber Strichcodelesegerät.
2. DNS:
am DNS-Server kann man einstellen, das nur AD authorizierte Computer DNS abfragen machen können. Das heist, selbst wenn man die IP und MAC hat, braucht der PC trotzdem SUID von der Domain ( wenn ich mich nicht irre).
3. NPS = NetzwerkPolicyServer,
ist dies eine neue Funktion, um genau dein Problem generell zu lösen.
Die Erklärung siehst du hier:
http://openbook.galileocomputing.de/windows_server_2008/
Die Einstellungen muss ich erst raussuchen, bzw erst win2k8 installieren, aber vielleicht, ist jemand schneller als ich.
MFG
holli
1.neue Rechner aufnehmen:
die Firewall musst Du nicht abschalten, du musst deine neuen PC's nur die GUID anlegen - als neuen Computer. Schon bekommen dann neuen PC'S IP-Adresse und du kannste deinen neuen PC in die DOMAIN aufnehmen. Vereinfachung geht nur ueber Strichcodelesegerät.
2. DNS:
am DNS-Server kann man einstellen, das nur AD authorizierte Computer DNS abfragen machen können. Das heist, selbst wenn man die IP und MAC hat, braucht der PC trotzdem SUID von der Domain ( wenn ich mich nicht irre).
3. NPS = NetzwerkPolicyServer,
ist dies eine neue Funktion, um genau dein Problem generell zu lösen.
Die Erklärung siehst du hier:
http://openbook.galileocomputing.de/windows_server_2008/
Die Einstellungen muss ich erst raussuchen, bzw erst win2k8 installieren, aber vielleicht, ist jemand schneller als ich.
MFG
holli
