Windows AD Server nur Update erlauben

[c-mu]

Hallo,
ich möchte soviele Dienste wie möglich auch von innen nach außen abschotten und bin jetzt z.B. dabei mir zu überlegen, wie ich den Active Directory Servers nur den Kontakt zu den Update Servers von Microsoft gestatten kann. Ich habe zwar eine DNS Liste von den gägigen Update Servers, aber die Aliases erlauben ja leider keine Nutzung von Wildcard DNS einträgen.

Ich möchte soweit es geht den Einsatz von WSUS vermeiden.

Mein Regelwerk soll dann in Etwa so aussehen:

src: ADS
dest: UpdateServer allow
dest: any deny

Danke!

[lfirewall1243]

Entweder du besorgst die die ganzen IP Bereiche die Microsoft so verwendet und oft Mal ändert :)

Oder schaust dir den Proxy an, dort kannst du Wildcard Einträge hinterlegen

[Meditux]

Hi,

ich mache das z.Z. über einen Alias (URL Table IPs) und ASN 8075 (http://asn.blawk.net/8075).
Ist zwar etwas weiter gefasst als nur die Update-Server von MS aber das sehe ich eher als Vorteil.

Gruß Meditux

Die MS ASNs hier mal als statische Vorlage, da die oben erwähnten einen Grauschleier haben ;-)
Ich denke viel Bewegung ist da nicht drin.

Code Select Expand

      },
      "577aae9c-1226-4572-9949-81c2c69797ad": {
        "enabled": "1",
        "name": "ASN_8069_MS",
        "type": "network",
        "proto": "",
        "counters": "0",
        "updatefreq": "",
        "content": "13.107.3.0/24\n13.107.4.0/22\n13.107.9.0/24\n13.107.12.0/23\n13.107.15.0/24\n13.107.16.0/24\n13.107.18.0/23\n13.107.21.0/24\n13.107.22.0/24\n13.107.24.0/24\n13.107.39.0/24\n13.107.40.0/24\n13.107.42.0/23\n13.107.44.0/24\n13.107.46.0/23\n13.107.48.0/22\n13.107.52.0/23\n13.107.54.0/24\n13.107.56.0/24\n13.107.58.0/24\n13.107.128.0/23\n13.107.136.0/22\n13.107.140.0/24\n13.107.160.0/24\n13.107.198.0/24\n13.107.202.0/24\n13.107.204.0/24\n13.107.208.0/24\n13.107.213.0/24\n13.107.219.0/24\n13.107.220.0/23\n13.107.224.0/24\n13.107.226.0/24\n13.107.246.0/24\n13.107.253.0/24\n13.107.254.0/24\n40.66.93.0/24\n40.90.4.0/24\n52.113.194.0/23\n52.113.196.0/23\n64.4.48.0/24\n65.54.193.0/24\n65.54.198.0/23\n65.54.200.0/24\n65.54.202.0/24\n65.54.205.0/24\n65.54.207.0/24\n65.54.214.0/23\n65.54.219.0/24\n104.44.65.0/24\n104.44.73.0/24\n131.253.3.0/24\n131.253.21.0/24\n131.253.33.0/24\n150.171.32.0/24\n150.171.40.0/22\n150.171.44.0/24\n198.180.74.0/23\n204.14.180.0/24\n204.79.197.0/24",
        "description": "ASN_8069_MS"
      },
      "eab52d90-8054-4639-be7a-174fa0bc8e74": {
        "enabled": "1",
        "name": "ASN_8075_MS",
        "type": "network",
        "proto": "",
        "counters": "0",
        "updatefreq": "",
        "content": "13.64.0.0/11\n13.104.0.0/15\n13.106.0.0/16\n13.107.0.0/23\n13.107.2.0/24\n13.107.8.0/24\n13.107.10.0/23\n13.107.14.0/24\n13.107.17.0/24\n13.107.20.0/24\n13.107.23.0/24\n13.107.25.0/24\n13.107.26.0/23\n13.107.28.0/22\n13.107.32.0/22\n13.107.36.0/23\n13.107.38.0/24\n13.107.41.0/24\n13.107.45.0/24\n13.107.55.0/24\n13.107.57.0/24\n13.107.59.0/24\n13.107.60.0/22\n13.107.64.0/18\n13.107.130.0/23\n13.107.132.0/22\n13.107.141.0/24\n13.107.142.0/23\n13.107.144.0/20\n13.107.161.0/24\n13.107.162.0/23\n13.107.164.0/22\n13.107.168.0/21\n13.107.176.0/20\n13.107.192.0/22\n13.107.196.0/23\n13.107.199.0/24\n13.107.200.0/23\n13.107.203.0/24\n13.107.205.0/24\n13.107.206.0/23\n13.107.209.0/24\n13.107.210.0/23\n13.107.212.0/24\n13.107.214.0/23\n13.107.216.0/23\n13.107.218.0/24\n13.107.222.0/23\n13.107.225.0/24\n13.107.227.0/24\n13.107.228.0/22\n13.107.232.0/21\n13.107.240.0/22\n13.107.244.0/23\n13.107.247.0/24\n13.107.248.0/22\n13.107.252.0/24\n13.107.255.0/24\n20.0.0.0/11\n20.33.0.0/16\n20.36.0.0/15\n20.38.0.0/16\n20.39.0.0/19\n20.39.32.0/20\n20.39.48.0/21\n20.39.56.0/23\n20.39.60.0/22\n20.39.64.0/18\n20.39.128.0/17\n20.40.0.0/14\n20.44.0.0/15\n20.46.0.0/16\n20.47.0.0/24\n20.47.32.0/22\n20.47.36.0/24\n20.47.40.0/23\n20.47.46.0/23\n20.47.49.0/24\n20.47.87.0/24\n20.47.88.0/24\n20.47.90.0/23\n20.47.128.0/17\n20.48.0.0/12\n20.64.0.0/10\n20.135.0.0/16\n20.136.0.0/16\n20.143.0.0/16\n20.150.0.0/15\n20.152.0.0/15\n20.157.0.0/23\n20.157.3.0/24\n20.157.4.0/22\n20.157.8.0/21\n20.157.16.0/20\n20.157.33.0/24\n20.157.38.0/23\n20.157.40.0/23\n20.157.44.0/22\n20.157.48.0/20\n20.157.64.0/19\n20.157.97.0/24\n20.157.98.0/23\n20.157.100.0/22\n20.157.104.0/21\n20.157.112.0/20\n20.157.128.0/17\n20.158.0.0/15\n20.160.0.0/12\n20.184.0.0/13\n20.192.0.0/10\n23.96.0.0/14\n23.100.0.0/15\n23.102.0.0/16\n23.103.64.0/18\n23.103.128.0/17\n40.64.0.0/15\n40.66.0.0/18\n40.66.64.0/20\n40.66.80.0/21\n40.66.88.0/22\n40.66.92.0/24\n40.66.94.0/23\n40.66.96.0/19\n40.66.166.0/24\n40.67.0.0/16\n40.68.0.0/14\n40.74.0.0/15\n40.76.0.0/14\n40.80.0.0/13\n40.88.0.0/15\n40.90.0.0/22\n40.90.5.0/24\n40.90.6.0/23\n40.90.8.0/21\n40.90.16.0/20\n40.90.32.0/19\n40.90.64.0/18\n40.90.128.0/17\n40.91.0.0/16\n40.92.0.0/14\n40.96.0.0/13\n40.104.0.0/14\n40.108.128.0/17\n40.110.0.0/15\n40.112.0.0/13\n40.120.0.0/14\n40.124.0.0/16\n40.125.0.0/17\n40.126.0.0/18\n40.126.128.0/17\n40.127.0.0/16\n51.10.0.0/15\n51.12.0.0/15\n51.51.0.0/16\n51.53.0.0/16\n51.103.0.0/16\n51.104.0.0/15\n51.107.0.0/16\n51.116.0.0/16\n51.120.0.0/16\n51.124.0.0/16\n51.132.0.0/16\n51.136.0.0/15\n51.138.0.0/16\n51.140.0.0/14\n51.144.0.0/15\n52.96.0.0/12\n52.112.0.0/16\n52.113.0.0/17\n52.113.128.0/18\n52.113.192.0/23\n52.113.198.0/23\n52.113.200.0/21\n52.113.208.0/20\n52.113.224.0/19\n52.114.0.0/15\n52.120.0.0/14\n52.125.0.0/16\n52.136.0.0/17\n52.136.128.0/19\n52.136.160.0/20\n52.136.178.0/23\n52.136.180.0/22\n52.136.184.0/21\n52.136.192.0/18\n52.137.0.0/16\n52.138.0.0/15\n52.140.0.0/17\n52.140.128.0/18\n52.140.192.0/19\n52.140.224.0/20\n52.140.240.0/21\n52.140.250.0/23\n52.140.252.0/22\n52.141.0.0/16\n52.142.0.0/15\n52.146.0.0/15\n52.148.0.0/14\n52.152.0.0/15\n52.154.0.0/16\n52.155.0.0/17\n52.155.128.0/19\n52.155.160.0/21\n52.155.168.0/22\n52.155.172.0/23\n52.155.176.0/20\n52.155.192.0/18\n52.156.0.0/14\n52.160.0.0/11\n52.224.0.0/12\n52.240.0.0/17\n52.240.128.0/18\n52.240.192.0/19\n52.240.224.0/21\n52.240.234.0/23\n52.240.236.0/22\n52.240.240.0/20\n52.241.0.0/16\n52.242.0.0/15\n52.244.0.0/15\n52.246.0.0/18\n52.246.64.0/20\n52.246.80.0/22\n52.246.84.0/23\n52.246.88.0/21\n52.246.96.0/19\n52.246.128.0/17\n52.247.0.0/16\n52.248.0.0/13\n64.4.0.0/19\n64.4.32.0/20\n64.4.49.0/24\n64.4.50.0/23\n64.4.52.0/22\n64.4.56.0/21\n65.52.0.0/16\n65.54.0.0/17\n65.54.128.0/18\n65.54.192.0/24\n65.54.194.0/23\n65.54.196.0/23\n65.54.201.0/24\n65.54.203.0/24\n65.54.204.0/24\n65.54.206.0/24\n65.54.208.0/22\n65.54.212.0/23\n65.54.216.0/23\n65.54.218.0/24\n65.54.220.0/22\n65.54.224.0/19\n65.55.0.0/16\n66.119.144.0/20\n68.18.0.0/15\n68.154.0.0/15\n68.210.0.0/15\n68.218.0.0/15\n68.220.0.0/15\n70.37.0.0/17\n70.37.128.0/18\n70.152.0.0/15\n70.156.0.0/15\n72.144.0.0/14\n72.152.0.0/14\n74.160.0.0/14\n74.176.0.0/14\n74.224.0.0/14\n74.234.0.0/15\n74.240.0.0/14\n74.248.0.0/15\n91.225.248.0/24\n94.245.64.0/18\n98.64.0.0/14\n98.70.0.0/15\n102.37.0.0/16\n102.133.0.0/16\n104.40.0.0/14\n104.44.0.0/18\n104.44.64.0/24\n104.44.66.0/23\n104.44.68.0/22\n104.44.72.0/24\n104.44.74.0/23\n104.44.76.0/22\n104.44.80.0/20\n104.44.96.0/19\n104.44.128.0/17\n104.45.0.0/16\n104.46.0.0/15\n104.146.128.0/17\n104.208.0.0/13\n108.140.0.0/14\n111.221.16.0/21\n111.221.24.0/22\n111.221.29.0/24\n111.221.30.0/23\n111.221.64.0/18\n128.94.0.0/16\n131.253.1.0/24\n131.253.5.0/24\n131.253.6.0/24\n131.253.8.0/24\n131.253.12.0/22\n131.253.24.0/21\n131.253.32.0/24\n131.253.34.0/23\n131.253.36.0/22\n131.253.40.0/21\n131.253.61.0/24\n131.253.62.0/23\n131.253.128.0/17\n132.245.0.0/16\n134.170.0.0/16\n135.149.0.0/16\n137.116.0.0/15\n137.135.0.0/16\n138.91.0.0/16\n138.239.0.0/16\n143.64.0.0/16\n147.145.0.0/16\n147.243.0.0/16\n148.7.0.0/16\n150.171.0.0/19\n150.171.33.0/24\n150.171.34.0/23\n150.171.36.0/22\n150.171.45.0/24\n150.171.46.0/23\n150.171.48.0/20\n150.171.64.0/18\n150.171.128.0/17\n155.62.0.0/16\n157.55.0.0/16\n157.56.0.0/16\n158.158.0.0/16\n167.105.0.0/16\n168.61.0.0/16\n168.62.0.0/15\n169.138.0.0/16\n170.165.0.0/16\n191.232.0.0/13\n192.48.225.0/24\n192.84.160.0/23\n192.100.104.0/21\n192.100.112.0/20\n192.100.128.0/22\n192.100.132.0/23\n192.197.157.0/24\n193.149.64.0/19\n193.221.113.0/24\n194.41.16.0/20\n198.49.8.0/24\n198.180.95.0/24\n198.180.97.0/24\n198.200.130.0/24\n198.206.164.0/24\n199.30.16.0/20\n199.60.28.0/24\n199.103.90.0/23\n199.103.122.0/24\n199.242.32.0/20\n199.242.48.0/21\n202.89.224.0/21\n204.79.135.0/24\n204.79.179.0/24\n204.79.195.0/24\n204.79.252.0/24\n204.95.96.0/20\n204.152.140.0/23\n206.138.168.0/21\n206.191.224.0/19\n207.46.0.0/19\n207.46.36.0/22\n207.46.40.0/21\n207.46.48.0/20\n207.46.64.0/18\n207.46.128.0/17\n207.68.128.0/18\n208.68.136.0/21\n208.76.45.0/24\n208.76.46.0/24\n208.84.0.0/22\n208.84.4.0/24\n209.240.192.0/19\n213.199.128.0/18\n216.32.180.0/22\n216.220.208.0/20",
        "description": "ASN_8075_MS"
      },

[vpnuser]

Hallo,
eine Möglichkeit wäre die IPv6 Adressen als Alias zu verwenden. Diese sind eindeutig und dürften sich wahrscheinlich nicht so schnell ändern wie der weit gefasste IPv4 Bereich. Hier findest Du eine Liste mit beiden Bereichen für die Windows Update Server: https://www.winhelponline.com/blog/microsoft-public-ip-address-range/
Eine andere Möglichkeit ist die Verwendung der FQDN der Update Server. Leider verwendet Microsoft auch Wildcards z.B. "*.update.microsoft.com" (Liste unter https://docs.microsoft.com/de-de/windows-server/administration/windows-server-update-services/deploy/2-configure-wsus) - OPNSense kann diese nicht auflösen. Auf der Webseite https://insinuator.net/2014/05/microsoft-windows-update-over-ipv6-or-not/ sind diese FQDN Wildcards in den Subdomain aufgelöst. Ob die Liste vollständig ist, kann ich nicht beurteilen. Es wäre aber ein Versuch wert ein Alias für eine Firewall Regel mit den dort aufgeführten FQDN anzulegen und zu testen.

[RES217AIII]

Hi,

ich mache das z.Z. über einen Alias (URL Table IPs) und ASN 8075 (http://asn.blawk.net/8075).
Ist zwar etwas weiter gefasst als nur die Update-Server von MS aber das sehe ich eher als Vorteil.

Hallo Meditux,
leider beziehe ich kein Update für den Windows Server mit dem URL Table oder der BGP Funktion in Alias.
Ich sperre den Internetzugriff über Block aller nicht Heim Netzwerkadressen über eine inverse Firewallregel. Vor diese Regel stelle ich die Regel die den Zugriff der Windows ASN 8075 auf den Windows Server erlaubt:
source: Windows ASN
destination: Windows Server
sonst alles any
Kannst Du mir eine Beispielregel zusenden?

Vielen Dank

[RES217AIII]

Hallo liebes Forum,
ca. 1800 views. Das Interesse scheint doch sehr groß zu sein.
Auch ich möchte einen separaten WSUS Server umgehen. Ich hatte mich sehr auf die Implementierung der BGP ASN Funktion im Alias gefreut in der Hoffnung nur Microsoft IP Adressen meinen 2 Windows Servern zu erlauben. Auch der Weg über einen URL Table gelang mir nicht.
Wie so oft denke ich, dass das Problem vor dem Bildschirm ist ;).
Ich freue mich sehr über eine Anleitung, wie ich das Problem lösen kann, im Sinne eines HowTo.

Bei der Gelegenheit möchte ich mich ganz herzlich bei dem Forum bedanken für die Hilfe, sei es durch Beiträge oder Antworten.

[RES217AIII]

Falls noch jemand Interesse hat: Ich habe für mich eine Lösung gefunden ohne WSUS Server meinen beiden Windows Servern nur Updates zu erlauben, aber weiteren Internetzugang zu unterbinden und möchte dies hier vorstellen, gerne auch Verbesserungsvorschläge.

Microsoft Windows Update über ASN freigeben

Microsoft verwendet mehrere ASNs für Windows Update und Azure-Dienste. Die wichtigsten sind:
AS8075  → Microsoft Corporation (Windows Update, Office, Azure)
AS12076 → Microsoft Azure (Global)
Diese ASNs enthalten immer die aktuellen Windows Update IPs

Da ich IPv4 und IPv6 nutze, identifiziere ich die Windows Rechner über die MAC Adresse der LAN Schnittstelle, die sich nicht ändert (ausser man erzwingt dies). Dies sollte für alle genutzten Netzwerkschnittstellen erfolgen, will man die Rechner identifizieren. Bei Verbindungen über WLAN besteht die Besonderheit, dass es dort zum Schutz der Privatsphäre zu Änderungen der MAC Adresse kommen kann. Dies sollte im Heimnetz deaktiviert werden. Für mich spielt das keine Rolle, da meine Windows Server über LAN mit dem internen Netz verbunden sind. 



OPNsense Alias für BGP-ASN erstellen

Gehe zu Firewall → Aliases → Hinzufügen (+)
Name: Windows_Update_ASN
Typ: BGP ASN
AS-Nummern: 8075 12076
Kategorie: Windows Clients
Beschreibung: Windows Update ASN
Speichern & Übernehmen


OPNsense Alias für Windows MAC Adressen erstellen

Gehe zu Firewall → Aliases → Hinzufügen (+)
Name: Windows_Client_MAC
Typ: MAC Adressen
MAC Adresse: 11:22:33:44:55:66
Kategorie: Windows Clients
Beschreibung: Windows Client MAC Adressen
Speichern & Übernehmen


Firewall-Regeln für den Client

Jetzt Client nur Verbindungen zu diesen ASNs erlauben:
Regel 1: Windows Update zulassen
Gehe zu: Firewall → Regeln → LAN (bzw. Schnittstelle in der sich die Windows Rechner befinden)
Aktion: Erlauben
Protokoll: TCP/UDP
Quelle: Alias (Alias MAC Adresse Windows Client)
Ziel: Alias Windows_Update_ASN
Speichern & Übernehmen

Regel 2: Alle anderen Verbindungen der Windows Clients blockieren
Aktion: Blockieren
Quelle: Alias (Alias MAC Adresse Windows Client)
Ziel: any
Speichern & Übernehmen`