Hallo zusammen, aufgrund andauernder Home-Office User und da wir nicht ständig die Benutzer an die VPN-Einwahl erinnern möchten, läuft ein WSUS über HTTPS nun auch als extern erreichbarer Server. Der WSUS verfügt über ein Zertikat der internen Domain-CA und ist so konfiguriert, dass er selbst keine Updates herunterlädt und verteilt, sondern lediglich die Freigabe zur Installation gibt und jeder Client die Windows-Updates dann bei Microsoft herunterlädt.
Meine ersten Versuche, dies über WAF zu regeln, scheiterten allerdings, auf dem virtuellen Webserver und auf dem internen WSUS sind die gleichen Zertifikate installiert. Egal, was ich im Profil rausnehme und selbst wenn ich es mit Host-Header durchreichen ohne jeglichen Filter (nur protokollieren) laufen lasse, verbinden sich die Clients nicht. Das einzige, was hilft, ist WebSocket durchreichen, dann läuft es und alle Clients erscheinen mit der internen IP der UTM. Soweit, so gut, nur mit WebSocket durchreichen, ist keinerlei Schutz gegeben, wenn ich das richtig verstanden habe. Meine Fragen sind folgende, vielleicht hat hier jemand Erfahrung.
Über direktes NAT läuft es natürlich auch, aber ich empfand die WAF als bessere Alternative.
1. Hat jemand den WSUS über WAF laufen mit Filterwerk, wenn ja, welche Filter und welche Regelausnahmen braucht man.
2. Falls das niemand hat, ist dann die äussere Freigabe über WAF überhaupt sinnvoll und fährt man hier nicht sicherer, einfach eine NAT-Freigabe auf den HTTPS-Port zu erstellen, weil hier wenigstens das IPS der UTM greift?
3. Bestehen überhaupt Sicherheitsbedenken gegen die externe Freigabe von WSUS? Vorgabe von Microsoft ist ja nur, dass man dafür sorgen muss, dass nur Firmenrechner den nutzen können, was durch das eigene Zertifikat ja gegeben ist, denn ausser den Firmenrechnern kommt ja niemand an das CA-Zertifikat zur vertrauenswürdigen Stammzertifizierungstelle, ohne die die WSUS Clients sowieso keine Kommunikation mit dem WSUS aufbauen.
Besten Gruß und vorab danke für Eure Ideen zum Thema.
This thread was automatically locked due to age.
