Wer kann weiterhelfen. Möchte einen DNS für das Internet erstellen, diesen aber mit einem Firewall in unser LAN absichern. Im LAN ist aber auch ein DNS. Wie funkt´s ?????
Suche den Experten !!!
Heimnetzwerke - WIFI, LAN, Router und Co 16.505 Themen, 80.973 Beiträge
xafford 
derderswissenwill „DNS vor und hinter dem Firewall“
checkpoint ist eine gute wahl (trotz kleinerer sicherheitslücken ;-)).
bei dem webserver muß ich dringend meinen standardspruch loswerden:
"falls ihr kein corporate partner von microsoft seid, dann macht einen riesen bogen um den IIS, egal ob ihr firewall und/oder proxy davor und dahinter habt, das ding ist und bleibt ein schweizer käse, nehmt liber apache, zeus oder netscape auf einer stabilen plattform (unix/sun/linux)."
win2k server bringt einen dns mit, da dieser für die volle ausnutzung von AD auch nötig ist.
bei der konfig des smtprelayservers wäre ich an eurer stelle sehr vorsichtig, das kann unter umständen ein riesiges scheunentor sein bei nachlässiger konfiguration, auf jeden fall sollte er von der internetseite her gegen spoofing geschützt sein und immer schnellstmöglich gepatcht werden.
setzt ihr bei dem proxy auch auf microsoft? wenn ja, da habt ihr wohl finanziell keine probleme ;-) da der isa-server ja mal mindestens 12.000,- kostet.
der dns im inranet und der in der dmz müssen eigentlich nicht direkt kommunizieren, da gäbe es mehrere modelle.
-das einfachst wäre, für seine ip nur port 53 vom intranet freischalten und auf den clients den internen als primären und den externen als sekundären einzutragen, was allerdings auflösungen für externe adressen verlangsamt.
-nächste möglichkeit wäre, auf dem internen den externen als weiterleitung zu konfigurieren, also bei nichtauflösbaren adressen wird die anfrage an den externen weitergeleitet. ist eigentlich die gängigste und geschickteste wahl.
- als letztes kann man auch beide für einen zonentransfer konfigurieren, ist aber aus mehreren gründen nicht immer eine gute wahl. zum einen wird der interne ziemlich unter last gestellt, da er komplett die datenbank des externen mittragen muß, zum anderen müssen meines wissens wesentlich lockerere firewallregeln eingesetzt werden um den transfer nicht zu behindern.
übrigens sind dns-server nicht übermäßig gefährdet. dns-spoofing gibt es defacto eigentlich nicht mehr, um ihn zu überlisten braucht es schon eine man-in-the-middle attacke.
