Wer kann weiterhelfen. Möchte einen DNS für das Internet erstellen, diesen aber mit einem Firewall in unser LAN absichern. Im LAN ist aber auch ein DNS. Wie funkt´s ?????
Suche den Experten !!!
Heimnetzwerke - WIFI, LAN, Router und Co 16.538 Themen, 81.400 Beiträge
xafford 
derderswissenwill „DNS vor und hinter dem Firewall“
hängt davon ab, ob die beiden dns kommunizieren sollen. am sichersten wäre eine lösung mit dmz, also firewall vor und hinter dem öffentlichen dns. wenn die dns einen zonentransfer durchführen sollen ist es am einfachsten die pakete nach quell und zielip zu filtern zwischen dns und intranet. hängt aber alles noch von der genauen konfig ab (art des dnsservers, art der firewall, genaue nutzung)
was meinst du eigentlich genau mit dns für das internet? einen "echten" public dns, oder meinst du etwa einen dns, der für euer intranet die internetanfragen bearbeitet?
(Anonym) xafford „hängt davon ab, ob die beiden dns kommunizieren sollen. am sichersten wäre...“
Am Sichersten ist es keine Zonentransfers vom innerem zum äußerm Serverzuzulassen, weil sonst das Intranet ausgespät werden kann. Besser ist die Weiterleitung vom innerem zum äußerem. Am innerem DNS-Server ist die Root-Domäne (die mit dem Punkt) zu löschen, sonst funktioniert die Weiterleitung nicht und der äußere Server als Weiterleitungsserver beim innerem einzutragen, danach lösche alle Root-Server auf dem innerem DNS-Server.
derderswissenwill Nachtrag zu: „DNS vor und hinter dem Firewall“
Danke erstmal für deine qualitative gute Antwort :-))
Also wir bauen eine DMZ auf, in der sich irgendwann mal ein Webserver DNS fürs Internet(direkt), Proxy, SMTP-Forwarder befindet. Im Intranet sollte sich daher ein eigener DNS befinden. Die Firewall ist eine Checkpoint. Ansonsten nur Microsoftprodukte - kein Linux etc.
Habe mit W2k - Server einen DNS installiert. Der nächste Schritt wäre nun einen DNS für die DMZ zu erstellen (erstmal theoretisch). Dieser muß doch mit Sicherheit mit dem DNS im Intranet komunizieren, aber wie wird dieser abgesichert ??
xafford derderswissenwill „DNS vor und hinter dem Firewall“
checkpoint ist eine gute wahl (trotz kleinerer sicherheitslücken ;-)).
bei dem webserver muß ich dringend meinen standardspruch loswerden:
"falls ihr kein corporate partner von microsoft seid, dann macht einen riesen bogen um den IIS, egal ob ihr firewall und/oder proxy davor und dahinter habt, das ding ist und bleibt ein schweizer käse, nehmt liber apache, zeus oder netscape auf einer stabilen plattform (unix/sun/linux)."
win2k server bringt einen dns mit, da dieser für die volle ausnutzung von AD auch nötig ist.
bei der konfig des smtprelayservers wäre ich an eurer stelle sehr vorsichtig, das kann unter umständen ein riesiges scheunentor sein bei nachlässiger konfiguration, auf jeden fall sollte er von der internetseite her gegen spoofing geschützt sein und immer schnellstmöglich gepatcht werden.
setzt ihr bei dem proxy auch auf microsoft? wenn ja, da habt ihr wohl finanziell keine probleme ;-) da der isa-server ja mal mindestens 12.000,- kostet.
der dns im inranet und der in der dmz müssen eigentlich nicht direkt kommunizieren, da gäbe es mehrere modelle.
-das einfachst wäre, für seine ip nur port 53 vom intranet freischalten und auf den clients den internen als primären und den externen als sekundären einzutragen, was allerdings auflösungen für externe adressen verlangsamt.
-nächste möglichkeit wäre, auf dem internen den externen als weiterleitung zu konfigurieren, also bei nichtauflösbaren adressen wird die anfrage an den externen weitergeleitet. ist eigentlich die gängigste und geschickteste wahl.
- als letztes kann man auch beide für einen zonentransfer konfigurieren, ist aber aus mehreren gründen nicht immer eine gute wahl. zum einen wird der interne ziemlich unter last gestellt, da er komplett die datenbank des externen mittragen muß, zum anderen müssen meines wissens wesentlich lockerere firewallregeln eingesetzt werden um den transfer nicht zu behindern.
übrigens sind dns-server nicht übermäßig gefährdet. dns-spoofing gibt es defacto eigentlich nicht mehr, um ihn zu überlisten braucht es schon eine man-in-the-middle attacke.
