Active Directory - kam dát DHCP a DNS

Jose D

  • *****
  • 850
    • Zobrazit profil
Re:Active Directory - kam dát DHCP a DNS
« Odpověď #30 kdy: 17. 07. 2016, 14:02:01 »
+ odpadá problém s CAL pro mobily co jdou jen na internet

nooo, stejně jestli chceš mít trochu čistější design, tak wifi síť pro BYOD uděláš úplně separátní od doménový, a pro případ, že lidi potřebujou z wifi do domény, tak ať si vytočí VPNku.. Tím že WPA PSK je stejný pro všechny, tak je přístup do sítě de-facto kompromitovaný už dopředu..
Jestli tedy nenasazuješ WPA "enterprise", který ti na základě usera rozhodi mobily mimo a doménový zařízení do doménový sítě...


ByCzech

  • *****
  • 1 849
    • Zobrazit profil
    • E-mail
Re:Active Directory - kam dát DHCP a DNS
« Odpověď #31 kdy: 17. 07. 2016, 16:17:37 »
2) pro služby typu DHCP a DNS žádné CAL nepotřebuješ

To bych radši moc nerozebíral, MS už totiž zjevně mrdá na majáku...

Citace
Q2 – If I have guests that come into my office an temporarily use a Windows DHCP server to grab an IP address to access the Internet, do they need CALs? I guess the takeaway is to never use a Windows DHCP server?

A2 – Yes, they are using a Windows Server service and would need a CAL.

Hi hi, to je hezké. Takže když přijdu do nějaké firmy s mobilem nebo s notebookem s Linuxem, tak porušuju licenci, když půjdu do Internetu, když jsem IP adresu získal z DHCP Windows serveru a používám pro resolving jeho DNS? :-D

No vlastně já nic neodsouhlasil, takže licenci porušuje firma, jen proto, že zprovozní úplně normální věc, jako je DHCP nebo DNS ve své síti :-D

D.J.Bobo

Re:Active Directory - kam dát DHCP a DNS
« Odpověď #32 kdy: 18. 07. 2016, 09:21:06 »
Ještě mám otázku, jak doménu pojmenovat?
ad.domena.cz
domena.local

"To záleží na v vkusu každého soudruha" :-)
Pokud uděláš doménu .local, bude z internetu neadresovatelná.

Osobně raději dávám neadresovatelnou subdoménu  něco.firma.cz a na ní mám lokální DNS a protože i v hlavní doméně firma .cz mám neinteretové adresy, udržuju si pro LAN vlastní DNS záznamy - je to sice pracné, ale bezpečné.

Jo a na routeru mám nastaveno, že TCP/UDP 53 smí používat jen hlavní DNS server (forward pro ten Windows) a Mikrotik. Ostatní Forward TCP/UDP i Input/Output na 53 je Drop (současně ochrana před DDoS na DNS - co má co někdo cizí používat tvůj resolver).
Takže tady taky bych chybu neviděl.

skrzjdouci

Re:Active Directory - kam dát DHCP a DNS
« Odpověď #33 kdy: 18. 07. 2016, 18:12:04 »
Osobně raději dávám neadresovatelnou subdoménu  něco.firma.cz a na ní mám lokální DNS a protože i v hlavní doméně firma .cz mám neinteretové adresy, udržuju si pro LAN vlastní DNS záznamy - je to sice pracné, ale bezpečné.

lokální DNS - tím se myslí DNS na winserveru?

Jo a na routeru mám nastaveno, že TCP/UDP 53 smí používat jen hlavní DNS server (forward pro ten Windows) a Mikrotik. Ostatní Forward TCP/UDP i Input/Output na 53 je Drop (současně ochrana před DDoS na DNS - co má co někdo cizí používat tvůj resolver).
Takže tady taky bych chybu neviděl.

Na tohle jsem se chtěl právě zeptat, na HKfree wiki jsem našel návod:
http://wiki.hkfree.org/Zabezpe%C4%8Den%C3%AD_DNS

Je mi jasné, že ten address-list, co tam mají uvedený funguje jen pro síť HKfree,
co do toho listu mám dát? IP adresy DNS poskytovatele, IP rozsah co mám na LAN, a co tam dělá ten loopback? Ten tam mám dávat také?

Forward tam neřeší (nepočítají s vlastním DNS pro LAN) jak bude pravidlo forward vypadat?
accept forward src. Address: ip-serveru tcp/udp port: 53  (cesta ze serveru přes router na DNS poskytovatele)
accept forward dst. Address: ip-serveru tcp/udp port: 53 (cesta z DNS poskytovatele na server)
Nebo stačí pořešit jen chain input?

M.

Re:Active Directory - kam dát DHCP a DNS
« Odpověď #34 kdy: 18. 07. 2016, 20:20:38 »
Je mi jasné, že ten address-list, co tam mají uvedený funguje jen pro síť HKfree,
co do toho listu mám dát? IP adresy DNS poskytovatele, IP rozsah co mám na LAN, a co tam dělá ten loopback? Ten tam mám dávat také?

Nejjednodušší je použít stavový firewall v tom Mikrotiku, který nedovolí navázat žáná spojení na ten router z venku, vyjma vysloveně povolených (např pro VPN připojení) a podobně nedovolí navázat žádný nový forward, vyjma povolených. Paranoici filtrují patřičně i směr ven, případně filtrovat mezi soebou oddělené sítě pro návštěvy, pokud je budeš dělat.

nooo, stejně jestli chceš mít trochu čistější design, tak wifi síť pro BYOD uděláš úplně separátní od doménový, a pro případ, že lidi potřebujou z wifi do domény, tak ať si vytočí VPNku.. Tím že WPA PSK je stejný pro všechny, tak je přístup do sítě de-facto kompromitovaný už dopředu..
Jestli tedy nenasazuješ WPA "enterprise", který ti na základě usera rozhodi mobily mimo a doménový zařízení do doménový sítě...

Když tam má Mikrotika, tak tohle na něm jde elegantně řešit tak, že podporuje víc WPA/WPA2 hesel na jednom SSID, takže každému svému uživateli pro jeho vlastní hračky vygeneruji jeho soukromý WPA2 klíč, takže když se proflákne, ví se od koho. A když je odejit, smáznu jen jeho profil a netřeba měnit klíč u všech. Tyhle jejich mobily/noťasy s ehodí na ssid wifi-byod, kde mají s cstupem do firmy smůlu a mohou jen na itnernet nebo přes VPN dovnitř.
Pro firemní notebooky samozřejmě WPA2 ověřované přes Radius proti AD na nějakém ssid wifi-firma, které může volně dovnitř. A pro občasné návštěvy klidně otevřená wifi a captive portálem, pokud si na tom někdo potrpí...

Díky, už to funguje!
Ještě mám otázku, jak doménu pojmenovat?
ad.domena.cz
domena.local
které je lepší? nebo je to jedno?

Radjěi forma ad.domena.cz. MS už před časem deklaroval, že použití .local pro AD zaízne, aby zůstala jen pro mDNS situaci a někdy se hodí něco z doménx propaovat v omezneé míže ven, což se z ad.firma.cz dělá snadněji, než z local a podobných...


JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Active Directory - kam dát DHCP a DNS
« Odpověď #35 kdy: 18. 07. 2016, 20:58:37 »
Jo a na routeru mám nastaveno, že TCP/UDP 53 smí používat jen hlavní DNS server (forward pro ten Windows) a Mikrotik. Ostatní Forward TCP/UDP i Input/Output na 53 je Drop (současně ochrana před DDoS na DNS - co má co někdo cizí používat tvůj resolver).
Takže tady taky bych chybu neviděl.

Nebylo by inteligentnejsi to transparentne presmerovat na vas DNS server? To kdyz k vam prijde nekdo, kdo ma na telefonu nastaveny jiny DNS server, nez defaultni z DNS, tak bude muset prekonfigurovat telefon, protoze vy ho nepustite ven na DNS dle jeho vkusu? Ja treba DNS z DHCP nikdy nepouzivam.

skrzjdouci

Re:Active Directory - kam dát DHCP a DNS
« Odpověď #36 kdy: 18. 07. 2016, 23:03:09 »
M. - děkuji, udělám to ve formě ad.domena.cz
Síť pro návštěvy mám v plánu, nejdřív se musím zbavit toho tplinku, díky za info, o těchto možnostech mikrotiku jsem nevěděl.

Na mikrotiku jsem zprovoznil OpenVPN - v režimu L2, podle tohoto threadu: https://forum.root.cz/index.php?topic=10245.0 (ještě jednou děkuji M.)

Stavový firewall se snažím používat:
Pravidla na iput mám nastavena takto:

accept input  icmp
accept input      established
accept input      related
drop input      invalid

accept input tcp 1194       -(pro openVPN - měl bych tady přidat: Connection State new?)
accept input src address: (ip rozsah LAN) tcp 22 In. Interface bridge-LAN new   -(přístup SSH na RB z LAN)
accept input src address: (ip rozsah LAN) tcp 80 In. Interface bridge-LAN new    -(přístup WEBFIG na RB z LAN)
accept input src address: (ip rozsah LAN) tcp 8291In. Interface bridge-LAN new    -(přístup WINBOX na RB z LAN)

accept input src address: (ip rozsah LAN) udp 53            -(DNS z LAN měl bych tady přidat: Connection State new?)
accept input src address: (ip rozsah LAN) tcp 53            -(DNS z LAN měl bych tady přidat: Connection State new?) - tady neprošly žádné pakety
drop input

V pravidlech pro port 53 mám nastavený ip rozsah LAN, takže bych čekal, že DNS bude fungovat jen z LAN a zbytek skončí v drop, ale podle toho testu z HKFree DNS funguje i z venku( na veřejnou IP mikrotiku), jak je to možné?
Jak to změnit, aby to bylo zabezpečené?
Co se týká forwardu, tak všechna komunikace z LAN do internetu je povolena
Provoz z internetu do LAN je povolen jen pro mailserver. (Vím že by mailserver měl být v DMZ, ale zatím je to nerealizovatelné)

D.J.Bobo

Re:Active Directory - kam dát DHCP a DNS
« Odpověď #37 kdy: 19. 07. 2016, 15:12:21 »

Nebylo by inteligentnejsi to transparentne presmerovat na vas DNS server? To kdyz k vam prijde nekdo, kdo ma na telefonu nastaveny jiny DNS server, nez defaultni z DNS, tak bude muset prekonfigurovat telefon, protoze vy ho nepustite ven na DNS dle jeho vkusu? Ja treba DNS z DHCP nikdy nepouzivam.
Jj, to by taky šlo. Nicméně pokud někdo přijde k nám a chce použít Wifi, pak získá adresu z DHCP a to včetně naší DNSky. Pokud se někdo snaží o nějaké 8.8.8.8, tak holt má smolíčka.
PS: Zase tak moc lidí sem nechodí a ti co ano jsou fakt jen uživatelé, co mají občas problm opsat i jednoduchý WPA2 klíč :-)

D.J.Bobo

Re:Active Directory - kam dát DHCP a DNS
« Odpověď #38 kdy: 19. 07. 2016, 15:19:54 »

V pravidlech pro port 53 mám nastavený ip rozsah LAN, takže bych čekal, že DNS bude fungovat jen z LAN a zbytek skončí v drop, ale podle toho testu z HKFree DNS funguje i z venku( na veřejnou IP mikrotiku), jak je to možné?
Jak to změnit, aby to bylo zabezpečené?
nastav input drop pro udp/53 na rozhraní Internet.
Bohužel tohle MK nemá ošetřeno, DNS resolver (pokud je nastaveno Allow remote request) ochotně odpovídá na všech rozhraních. Proto je třeba to explicitně zakázat. Nebo používat jen Win DNS a na MK/Gateway Remote nepovolovat.
Jinak v AD je asi lepší mít DHCP+DNS na Win, neboť i stanice Win se pak registrují do DNS a lépe funguje procházení sítě. Naopak pokud je to na MK, o tuto "fičurinu" přijdeš. Nehledě k tomu, že DNS se mohou mezi Win replikovat - to používám a jede to obstojně.

Co se týká forwardu, tak všechna komunikace z LAN do internetu je povolena
Jj, taky ... dovnitř jen povolené a ostatní drop a ven vše kromě zakázaného (na žádost šéfa omezuji třeba facebook, aby nám tady neseděli celý den jen u něj ... ale moc to nepomáhá, protože zase furt čumí do mobilu :-))