7
VLAN Guest W-LAN DNS Server
Hallo liebe Schwarmintelligenz,
ich habe kürzlich ein Post verfasst das wir Daheim/Geschäft neue IT-Hardware übernommen haben, Beitrag: VMWare VLANs Kommunkationsproblem
Ich habe mich nun weiter mit der Sache beschäftigt und W-LAN in das System integriert, Intern W-LAN und "Gäste" W-LAN habe ich über VLANs konfiguriert.
DHCP wird über ein DHCP-Relay gelöst. Funktioniert alles wunderbar.
Jetzt zu meiner Frage:
Da sich der DNS Server im VLAN30 befindet, kann das Gäste W-LAN nicht ohne entsprechende Regel in der Firewall, die DNS Anfragen an den Server senden. Wie sieht das sicherheitstechnisch für das Gäste W-LAN aus, macht es Sinn über den DHCP einen öffentlichen DNS Server zu pushen statt eine Regel in der Firewall zu erstellen, dass die Gäste auf den internen DNS Server zugreifen dürfen? So würde ich das Guest W-LAN doch vollständig vom VLAN30 isolieren oder ist das in der Praxis nicht schlimm?
Über Eure Meinung würde ich mich freuen.
Vielen Dank
ich habe kürzlich ein Post verfasst das wir Daheim/Geschäft neue IT-Hardware übernommen haben, Beitrag: VMWare VLANs Kommunkationsproblem
Ich habe mich nun weiter mit der Sache beschäftigt und W-LAN in das System integriert, Intern W-LAN und "Gäste" W-LAN habe ich über VLANs konfiguriert.
DHCP wird über ein DHCP-Relay gelöst. Funktioniert alles wunderbar.
Jetzt zu meiner Frage:
Da sich der DNS Server im VLAN30 befindet, kann das Gäste W-LAN nicht ohne entsprechende Regel in der Firewall, die DNS Anfragen an den Server senden. Wie sieht das sicherheitstechnisch für das Gäste W-LAN aus, macht es Sinn über den DHCP einen öffentlichen DNS Server zu pushen statt eine Regel in der Firewall zu erstellen, dass die Gäste auf den internen DNS Server zugreifen dürfen? So würde ich das Guest W-LAN doch vollständig vom VLAN30 isolieren oder ist das in der Praxis nicht schlimm?
Über Eure Meinung würde ich mich freuen.
Vielen Dank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 23665693291
Url: https://administrator.de/contentid/23665693291
Printed on: April 28, 2024 at 07:04 o'clock
7 Comments
Latest comment
Wenn du im Regelwerk lediglich UDP/TCP 53 auf die DNS Server Hostadresse (32er Präfix) freigibst ist das sicher nicht gravierend.
Die Frage ob das schlimm oder nicht ist, ist mehr oder minder sinnfrei in einem Forum, denn die Beantwortung hängt a.) von deiner eigenen Sicherheits Policy und b.) von deinem Workflow ab. Wie sollte also jemand ohne diese Kenntnisse da belastbar drauf antworten?
Einige öffentliche DNS Server nutzen diese Daten bekanntlich um sie an Dritte zu vermarkten in sofern ist die Nutzung eines internen DNS etwas sicherer. Oftmals werden hier auch DNS Filter verwendet wie Adguard oder PiHole, die die lokalen Netze dann auch Werbe- und Malware frei halten so das ein lokaler DNS dann die deutlch bessere Wahl ist.
Die Frage ob das schlimm oder nicht ist, ist mehr oder minder sinnfrei in einem Forum, denn die Beantwortung hängt a.) von deiner eigenen Sicherheits Policy und b.) von deinem Workflow ab. Wie sollte also jemand ohne diese Kenntnisse da belastbar drauf antworten?
Einige öffentliche DNS Server nutzen diese Daten bekanntlich um sie an Dritte zu vermarkten in sofern ist die Nutzung eines internen DNS etwas sicherer. Oftmals werden hier auch DNS Filter verwendet wie Adguard oder PiHole, die die lokalen Netze dann auch Werbe- und Malware frei halten so das ein lokaler DNS dann die deutlch bessere Wahl ist.
Danke für deine Antwort.
Mir ging es darum, mal die Meinung Anderer zuhören, wie damit umgegangen wird, unabhängig von meinen "Sicherheitsstandards" oder Setup.
Deswegen habe ich den Beitrag auch als "Lasst uns darüber sprechen" und nicht als "Hilfe" markiert.
Vielen Dank für deinen Input.
Mir ging es darum, mal die Meinung Anderer zuhören, wie damit umgegangen wird, unabhängig von meinen "Sicherheitsstandards" oder Setup.
Deswegen habe ich den Beitrag auch als "Lasst uns darüber sprechen" und nicht als "Hilfe" markiert.
Vielen Dank für deinen Input.
Blöde Frage kann die Firewall für dein Gästenetzt nicht einen DNS bereitstellen?
Oder du hinterlegst für dein Gästenetz einen öffentlichen DNS von deinen Internet Provider.
Dort solltest du ja nur eine Namensauflösung von externen Ressourcen brauchen
Oder du hinterlegst für dein Gästenetz einen öffentlichen DNS von deinen Internet Provider.
Dort solltest du ja nur eine Namensauflösung von externen Ressourcen brauchen
2
N'Abend.
Sehe das ähnlich - "gravierend" ist der Zugriff auf Port 53 "nach innen" nicht, aber eigentlich überflüssig.
Aus meiner Sicht sollten Gäste erst gar nicht in die Lage versetzt werden, intern DNS-Namen/IP-Adressen abfragen zu können - dafür ist es ja ein "Gast-Netz", aus dem heraus nur Zugriff Richtung Internet bestehen soll. Und dafür genügt ein Public-DNS-Forwarder, z.B. der des Providers oder halt die Firewall. Wobei letzteres, je nach Firewall-Konfig, dann doch wieder Abfragen auf interne DNS-Namen/IP-Adressen ermöglich könnte.
Cheers,
jsysde
Sehe das ähnlich - "gravierend" ist der Zugriff auf Port 53 "nach innen" nicht, aber eigentlich überflüssig.
Aus meiner Sicht sollten Gäste erst gar nicht in die Lage versetzt werden, intern DNS-Namen/IP-Adressen abfragen zu können - dafür ist es ja ein "Gast-Netz", aus dem heraus nur Zugriff Richtung Internet bestehen soll. Und dafür genügt ein Public-DNS-Forwarder, z.B. der des Providers oder halt die Firewall. Wobei letzteres, je nach Firewall-Konfig, dann doch wieder Abfragen auf interne DNS-Namen/IP-Adressen ermöglich könnte.
Cheers,
jsysde
Moin,
Also wir haben den DNS-Aufbau wie folgt:
UTM fragt internen DNS nur für das WebProxy-Thema…
Also wir haben den DNS-Aufbau wie folgt:
- Interne Netz fragen Windows DNS
- Windows DNS fragt UTM
- Gast-Netze (terminieren an der UTM) fragen UTM
- UTM fragt public DNS
UTM fragt internen DNS nur für das WebProxy-Thema…
Zitat von @wiesi200:
Blöde Frage kann die Firewall für dein Gästenetzt nicht einen DNS bereitstellen?
Oder du hinterlegst für dein Gästenetz einen öffentlichen DNS von deinen Internet Provider.
Dort solltest du ja nur eine Namensauflösung von externen Ressourcen brauchen
Blöde Frage kann die Firewall für dein Gästenetzt nicht einen DNS bereitstellen?
Oder du hinterlegst für dein Gästenetz einen öffentlichen DNS von deinen Internet Provider.
Dort solltest du ja nur eine Namensauflösung von externen Ressourcen brauchen
Danke für deine Antwort.
Das ist richtig, die Firewall könnte das.
Zitat von @jsysde:
N'Abend.
Sehe das ähnlich - "gravierend" ist der Zugriff auf Port 53 "nach innen" nicht, aber eigentlich überflüssig.
Aus meiner Sicht sollten Gäste erst gar nicht in die Lage versetzt werden, intern DNS-Namen/IP-Adressen abfragen zu können - dafür ist es ja ein "Gast-Netz", aus dem heraus nur Zugriff Richtung Internet bestehen soll. Und dafür genügt ein Public-DNS-Forwarder, z.B. der des Providers oder halt die Firewall. Wobei letzteres, je nach Firewall-Konfig, dann doch wieder Abfragen auf interne DNS-Namen/IP-Adressen ermöglich könnte.
Cheers,
jsysde
N'Abend.
Sehe das ähnlich - "gravierend" ist der Zugriff auf Port 53 "nach innen" nicht, aber eigentlich überflüssig.
Aus meiner Sicht sollten Gäste erst gar nicht in die Lage versetzt werden, intern DNS-Namen/IP-Adressen abfragen zu können - dafür ist es ja ein "Gast-Netz", aus dem heraus nur Zugriff Richtung Internet bestehen soll. Und dafür genügt ein Public-DNS-Forwarder, z.B. der des Providers oder halt die Firewall. Wobei letzteres, je nach Firewall-Konfig, dann doch wieder Abfragen auf interne DNS-Namen/IP-Adressen ermöglich könnte.
Cheers,
jsysde
Auch dir danke für deine Antwort.
Genau so werde ich es lösen, ich werde einfach die public DNS des Providers verwenden, so gibt es gar keine Berührungspunkte.
Vielen Dank an die zahlreichen Antworten, so konnte ich mir ein Bild machen.
Bitte nicht vergessen deinen Thread hier dann auch als erledigt zu schliessen:
How can I mark a post as solved?
How can I mark a post as solved?
