Regra de firewall para permitir acesso a atualizações do Windows ou outros recursos em um CDN?

6

Qual é a melhor maneira de picar um buraco de firewall em um firewall de borda para permitir atualizações do Windows?

Tanto quanto eu posso dizer, os sites de atualização do Windows são hospedados em uma rede de distribuição de conteúdo que potencialmente pode alterar os endereços IP a cada 30 segundos.

Se eu "envenenar" o DNS do nosso campus com uma atribuição estática para os sites, acabarei apontando sites que não hospedam mais o conteúdo.

Existe algum endereço IP que hospede o conteúdo da atualização com garantia de nunca mudar?

Em um sentido mais genérico, como as pessoas configuram firewalls para permitir acesso a recursos hospedados em CDNs, onde os IPs mudam constantemente? O firewall apenas vê de / para os pacotes e não sabe necessariamente qual URL (se https) a solicitação está indo, portanto, o firewall não tem uma maneira direta de ver que esse pacote está indo para o site de atualização de definições de vírus do symantec. enquanto aquele está olhando para um córrego da copa do mundo.

E, na minha situação, não tenho a capacidade de apenas exigir uma configuração específica nos sistemas da rede. Ah, as alegrias de trabalhar em uma universidade ...

    
por chris 30.07.2010 / 15:31

3 respostas

2

Embora eu não tenha tentado isso (veja meu comentário acima), estou pensando que a melhor solução é aumentar a pilha: usando um servidor proxy.

Você poderia configurar algo como o Squid na frente de suas máquinas Windows Update (ou servidor WSUS mais provavelmente) e permitir *. //wiki.squid-cache.org/SquidFaq/WindowsUpdate#How_do_I_stop_Squid_popping_up_the_Authentication_box_for_Windows_Update.3F">so on ) enquanto nega todo o resto; isso pode ser imposto em seu firewall de ponta bloqueando o TCP 80/443 em seu servidor WSUS e forçando a configuração de proxy para o WinHTTP serviço no (s) servidor (es) em questão.

Eu precisarei implementar isso em um servidor que já está prestes a ser fortalecido em um data center no curto prazo e provavelmente usará isso para realizá-lo.

    
por 30.07.2010 / 16:54
1

De alguma forma, resolvi esse problema configurando servidores proxy reversos e envenenando o DNS.

  1. para cada serviço, forneça um endereço IP e associe o HAproxy a esse IP e configure o HAproxy para atender aos pedidos vistos naquele IP e encaminhá-los para o endereço DNS desse serviço. (10.10.10.30 solicitações de proxies para www.apple.com, 10.10.10.31 solicitações de proxies para update.microsoft.com, 10.10.10.32 proxies para windowsupdate.com, etc)

  2. configure esse servidor HAproxy para usar um servidor DNS não envenenado

  3. envenene DNS do campus para apontar esses serviços para os IPs internos do HAproxy (windowsupdate.com - > 10.10.10.32, 10.10.10.30 - > www.apple.com, 10.10.10.31 - > update.microsoft .com, etc)

  4. verifique se o servidor proxy não está sujeito às restrições de tráfego de saída no firewall de borda.

Eu testei isso de forma limitada e funciona. Se / Quando isso for colocado em produção real, provavelmente será feito usando um F5 em vez de HAproxy.

No entanto, isso é muito mais complexo do que apenas permitir que o firewall permita acesso, mas, infelizmente, isso não parece ser possível.

Espero que alguém tenha uma solução mais elegante que a minha ...

    
por 30.07.2010 / 17:11
0

Minha recomendação é instalar o WSUS em um servidor na sua DMZ e conceder acesso irrestrito a microsoft.com

Então, através da política de grupo, eu apontaria todos os outros machiens para usar o seu servidor WSUS. Existem alguns aspectos positivos:

  1. Apenas um servidor tem acesso por meio do "buraco do firewall"
  2. Você pode controlar quais atualizações vão para qual servidor a partir de um painel de controle centralizado.
  3. Uso de largura de banda reduzida, já que apenas um servidor faz o download da Internet e o restante faz o download pela sua LAN.
por 30.07.2010 / 17:08

Tags