Firewall-Regel, um den Zugriff auf Windows-Updates oder andere Ressourcen auf einem CDN zu ermöglichen?

Was ist der beste Weg, um ein Firewall-Loch in eine Border-Firewall zu stecken, um Windows-Updates zu ermöglichen?

Soweit ich das beurteilen kann, werden die Windows Update-Websites in einem Inhaltsverteilungsnetzwerk gehostet, das möglicherweise alle 30 Sekunden die IP-Adressen ändern kann.

Wenn ich unser Campus-DNS mit einer statischen Zuweisung für die Websites "vergifte", werde ich schließlich auf Websites verweisen, auf denen der Inhalt nicht mehr gehostet wird.

Gibt es IP-Adressen, die den Update-Inhalt hosten und die sich garantiert nie ändern?

Wie konfigurieren Benutzer Firewalls im Allgemeinen, um den Zugriff auf Ressourcen zu ermöglichen, die auf CDNs gehostet werden, auf denen sich die IPs ständig ändern werden? Die Firewall erkennt nur die Pakete und weiß nicht unbedingt, an welche URL (wenn https) die Anforderung gesendet wird. Daher kann die Firewall nicht direkt feststellen, dass dieses Paket an die Aktualisierungssite für Symantec-Virendefinitionen gesendet wird während dieser einen Weltcup-Stream betrachtet.

In meiner Situation kann ich nicht nur eine bestimmte Konfiguration für die Systeme im Netzwerk festlegen. Ah, die Freude, an einer Universität zu arbeiten ...

Obwohl ich dies nicht ausprobiert habe (siehe meinen Kommentar oben), denke ich, dass die beste Lösung weiter oben im Stapel liegt: die Verwendung eines Proxyservers.

Sie können so etwas wie Squid vor Ihren Windows Update-Computern (oder eher vor WSUS-Servern) konfigurieren und * .windowsupdate.microsoft.com und * .windowsupdate.com ( usw. ) zulassen, während Sie alles andere ablehnen . Dies kann dann auf Ihrer Edge-Firewall erzwungen werden, indem TCP 80/443 für Ihren WSUS-Server blockiert und die Proxy-Konfiguration für den WinHTTP-Dienst auf den betreffenden Servern erzwungen wird.

Ich werde dies kurzfristig für einen bald gehärteten Server in einem Rechenzentrum implementieren müssen und werde dies wahrscheinlich verwenden, um dies zu erreichen.

Ich habe dieses Problem etwas gelöst, indem ich Reverse-Proxy-Server eingerichtet und DNS vergiftet habe.

1. Geben Sie für jeden Dienst eine IP-Adresse an, binden Sie HAproxy an diese IP und konfigurieren Sie HAproxy so, dass Anforderungen, die auf dieser IP angezeigt werden, entgegengenommen und an die DNS-Adresse dieses Dienstes weitergeleitet werden. (10.10.10.30 Proxy-Anfragen an www.apple.com, 10.10.10.31 Proxy-Anfragen an update.microsoft.com, 10.10.10.32 Proxys an windowsupdate.com usw.)

2. Konfigurieren Sie diesen HAproxy-Server so, dass er einen nicht vergifteten DNS-Server verwendet

3. Gift Campus DNS, um diese Dienste auf die internen HAproxy-IPs zu verweisen (windowsupdate.com -> 10.10.10.32, 10.10.10.30 -> www.apple.com, 10.10.10.31 -> update.microsoft.com usw.)

4. Stellen Sie sicher, dass der Proxyserver nicht den Einschränkungen für ausgehenden Datenverkehr an der Grenzfirewall unterliegt.

Ich habe dies auf einer begrenzten Basis getestet und es funktioniert. Wenn dies in die reale Produktion geht, wird es wahrscheinlich mit einem F5 anstelle von HAproxy durchgeführt.

Dies ist jedoch weitaus komplexer, als nur die Firewall den Zugriff zu ermöglichen. Leider scheint dies nicht möglich zu sein.

Ich hoffe, jemand hat eine elegantere Lösung als meine ...

Ich empfehle, WSUS auf einem Server in Ihrer DMZ zu installieren und ihm uneingeschränkten Zugriff zu gewähren microsoft.com

Dann würde ich durch Gruppenrichtlinien alle Ihre anderen Machiens auf die Verwendung Ihres WSUS-Servers hinweisen. Es gibt ein paar Vorteile:

1. Nur ein Server hat Zugriff über die "Firewall-Lücke"
2. Über ein zentrales Control Panel können Sie steuern, welche Updates an welchen Server gesendet werden.
3. Reduzierte Bandbreitennutzung, da nur ein Server aus dem Internet heruntergeladen wird, der Rest über Ihr LAN.