lcer00
Goto Top

Windows DNS-Server DNS-Blacklists und Suricata

Hallo zusammen,

derzeit experimentiere ich etwas mit meinen DNS-Servern rum. Das ganze soll schnell und sicher funktionieren. Derzeit benutze ich nur "normales" DNS, kein DNSSEC etc.

Meine bisheriges Setup funktioniert wie folgt:
  • Windows Server 2012R2 ist DC und DNS-Server für die Clients
  • Eine Globale Weiterleitung ist auf 9.9.9.9 eingetragen
  • Bedingte Weiterleitungen sind für Spamhouse und Co. aktiviert (die werden sonst nicht aufgelöst)

Jetzt hatte ich die Idee, den Windows Server als Resolver arbeiten zu lassen also
  • Windows Server 2012R2 ist DC und DNS-Server für die Clients
  • keine Globalen oder Bedingten Weiterleitungen

Hierbei fehlt dann die Sicherheitsfilterung, die bei Weiterleitung an 9.9.9.9 ja durch quad9 erfolgt. Allerdings gehen alle Queries durch eine OPNSense mit aktiven Suricata und werden gegen die Suricata-Regeln geprüft. Suricata schmeißt beispielsweise verdächtige Top-Level-Domains raus, andere böse Sachen hoffe ich auch. face-smile

Gefühlt ist es so schneller. Warum auch immer. Das ist aber irgendwie seltsam und jetzt frage ich mich ob ich hier einen Denkfehler habe.

Macht es wirklich einen Unterschied? Wenn der Server recursiv auflöst, speichert er das Ergebnis im doch Cache. Wenn er per forwarder auflöst, aber doch auch, oder? Demzufolge müsste jede Cache-Antwort gleich schnell sein, und das recursive nachfragen länger als das weiterleiten an den Forwarder dauern.

Ich finde leider keine Cache-Statistik oder so etwas im Windows-DNS-Server (nur Optionen zum Cache löschen). Wie bestimmt sich eigentlich die Cache-Dauer? Ich hätte angenommen, dass die der ttl des DNS-Records entsprechen sollte?

Zweite Frage: Hat die Variante Resolver, gefiltert durch suricata noch weitere Haken (außer der Frage nach der Qualität der Suricata-Rulesets)?

Dritte Frage: Wenn ich dann mal DNSSEC aktivieren will, dürfte es doch genauso funktionieren. DNSSEC verschlüsselt doch nicht, sondern Signiert, so dass die Inhalte der DNS-Queries weiter von suricata mitgelesen werden können - oder?

Vermutlich sind das mal wieder dumme Fragen, auf deren Lösung ich selbst kommen könnte, aber manchmal sieht man den Wald vor Bäumen nicht.

Grüße

lcer

Content-Key: 647046

Url: https://administrator.de/contentid/647046

Ausgedruckt am: 29.03.2024 um 12:03 Uhr

Mitglied: 147448
147448 01.02.2021 um 21:16:08 Uhr
Goto Top
Der Wald der das Licht verdunkelt ist Windows
Mitglied: lcer00
lcer00 01.02.2021 um 21:24:16 Uhr
Goto Top
Hallo,
Zitat von @147448:

Der Wald der das Licht verdunkelt ist Windows
nun, das mag sein, meine bind9 DNS Server benehmen sich ja ganz gut. Aber ein Windows Active Directory braucht nunmal einen Windows DNS Server und um den geht es.

Grüße

lcer
Mitglied: 147448
147448 01.02.2021 um 21:36:22 Uhr
Goto Top
Erkläre ohne IP Adressen wie wo was hinlaufen soll, und wo der WIn DNS seien Daten bekommt ! Aber sage mir nicht, das es zum WAN kein Router und keine wirkliche Firewall gibt
Mitglied: lcer00
lcer00 01.02.2021 um 21:43:45 Uhr
Goto Top
Hallo,
Zitat von @147448:

Erkläre ohne IP Adressen wie wo was hinlaufen soll, und wo der WIn DNS seien Daten bekommt ! Aber sage mir nicht, das es zum WAN kein Router und keine wirkliche Firewall gibt
steht doch alles oben. Mit Resolver meinte ich recursive Abfragen für Domänen, für die er nicht authorisierend ist.

Grüße

lcer
Mitglied: 147448
147448 01.02.2021 um 21:51:02 Uhr
Goto Top
Steht nicht alles da ! Aber super ! Windows Server !
Echtes DNS Caching beherrscht der WIN Server nicht ! Selbst wenn man über NO-ARP Adressen die Daten überspielt !
Wenn der Mirror eines Shadows Caches nicht mitbekommt wie der Weg ( Route ) ist dann kann der ARP Proxy der möglicher Weise angesprochen werden soll nicht machen, weil WIN kann das nicht !
Mitglied: lcer00
lcer00 01.02.2021 um 22:35:08 Uhr
Goto Top
Hallo,
Zitat von @147448:

Steht nicht alles da !
Was fehlt denn? Da steht doch Client -> Windows DNS -> Quad9 bzw. Client -> Windows DNS(löst recursive auf)
Aber super ! Windows Server !
Genau.
Echtes DNS Caching beherrscht der WIN Server nicht !
Was macht er dann? Wenn ich den Cache leeren kann, muss er sich doch auch füllen?
Selbst wenn man über NO-ARP Adressen die Daten überspielt !
Wenn der Mirror eines Shadows Caches nicht mitbekommt wie der Weg ( Route ) ist dann kann der ARP Proxy der möglicher Weise angesprochen werden soll nicht machen, weil WIN kann das nicht !
ARP? Ich rede von DNS-Queries für externe Domänen, für die mein Windows DNS Server keine Zonen enthält.

Beispiel: www.Administrator.de wird angefragt. In der Forwarding Variante fragt der Windows Server bei quad9 nach, ob der dazu eine IP kennt. In der Resolver-Variante hangelt sich mein DNS-Server bis zum authorativen DNS-Server für Administrator.de durch und fragt dort nach www.

Grüße

lcer
Mitglied: 147448
147448 01.02.2021 um 22:51:40 Uhr
Goto Top
Entschuldige !
Mit Windows Server wird nichts gewonnen !
Ausser das alle Typen, wie SIE auf IN Server setzten !
Ich habe mit ohne .. Nein Das ist Falsch ! Ich habe ihren Server Standort ausgemacht und ich Frage wohl etwas mehr ab,
Mitglied: lcer00
lcer00 02.02.2021 aktualisiert um 07:21:36 Uhr
Goto Top
Hallo,
Zitat von @147448:

Entschuldige !
Mit Windows Server wird nichts gewonnen !
Ausser das alle Typen, wie SIE auf IN Server setzten !
Etwas substanzlos - nicht wahr? Und off-topic, da das hier kein Windows-bashing-Topic ist.

Ich habe mit ohne .. Nein Das ist Falsch ! Ich habe ihren Server Standort ausgemacht und ich Frage wohl etwas mehr ab,
Sehr gut. Hast Du Diskussionsrichtlinien - die Regeln zu unseren Inhalten gelesen?

Grüße

lcer

PS: schreib bitte mit etwas verständlicherer Grammatik.
Mitglied: lcer00
lcer00 06.02.2021 um 07:29:09 Uhr
Goto Top
Was hast Du denn genommen? Ich glaube Du brauchst mal Urlaub.

Grüße

lcer