Ruhiges IT-Forum

Hallo zusammen,

zunächst einmal beste Grüße an das gesamte Team. Wir nutzen

WAPT Server 2.2.3 Enterprise-Lizenz unter Windows Server 2019.

Um einem potenziellen Angriff vorzubeugen, bat uns der Kunde, in jedem Klassenzimmer VLANs mit mehreren Subnetzen einzurichten. Seit dieser Einrichtung greifen die PCs, die auf die Repositories zugreifen, jedoch nicht mehr auf die Repositories selbst, sondern auf den Hauptserver zu. Wir

haben die Regeln selbst aktualisiert, leider ohne Erfolg.


Beispiel: Repository auf 10.2.0.93,
PC-Netzwerk 10.2.110.0/24 und 10.2.111.0/24,

Server pingt Workstation an
, Workstation pingt Server an.

Daraufhin empfahl uns ein Mitarbeiter der Active Directory-Sicherheit, zwei Gruppenrichtlinienobjekte (GPOs) auf dem Active Directory-Server zu implementieren:
eines zur Deaktivierung von NetBIOS über TCP/IP und eines zur Deaktivierung der intelligenten Namensauflösung für mehrere Benutzer.

Haben Sie eine Lösung?

Vor dieser Implementierung funktionierte alles einwandfrei. Gibt es neben den im WAPT-Dokument spezifizierten Ports weitere Ports, die für Repositories geöffnet werden müssen?

Könnten Sie bitte einen Screenshot einer der Regeln für die VLANs des Remote-Standorts bereitstellen?

Wir benötigen eine Regel, die jedes VLAN berücksichtigt und es an den richtigen Server weiterleitet.

Das sekundäre Repository muss natürlich von der betreffenden Workstation aus erreichbar sein. Der Server selbst muss die Workstation nicht sehen können, aber die Workstation muss HTTP/HTTPS-GET/POST-Anfragen sowohl an den Server als auch an das sekundäre Repository senden können.

Mit freundlichen Grüßen,

Denis

Hallo,

die Regeln finden Sie im Anhang.

Hallo,

werden auf einem der betroffenen Rechner im Softwareinventar unter /wapt_status/repositories/ die Regeln korrekt angewendet?

Ist HTTPS für die sekundären Repositories korrekt konfiguriert?

Funktioniert die Namensauflösung für Kurznamen auf den betroffenen Rechnern korrekt?

Viele Grüße,

Denis

dcardon schrieb: ↑3. Januar 2023 - 10:12 Uhr Hallo,

werden auf einem der problematischen Rechner im Softwareinventar unter /wapt_status/repositories/ die Regeln korrekt angewendet? Ist

HTTPS auf den sekundären Repositories korrekt konfiguriert?

Funktioniert die Namensauflösung für Kurznamen auf den betreffenden Rechnern korrekt?

Viele Grüße,

Denis

Die ersten beiden Punkte sind in Ordnung.
Ich glaube, das liegt daran, dass wir im Rahmen des Sicherheitsaudits dazu aufgefordert wurden, die Blockierung von NETBIOS über TCP/IP hinzuzufügen.
Das Problem muss an der DNS-Zone liegen, die nicht die Kontrolle übernimmt, denn auf einem Rechner, der nicht zur Domäne gehört, funktioniert die Regel für diesen Rechner korrekt

Okay, wenn Sie für die Repositories einen vollqualifizierten Domänennamen (FQDN) mit der entsprechenden DNS-Auflösung verwenden können, sollte das Problem behoben sein.

Bezüglich Ihres Problems mit der Kurznamensauflösung empfehle ich dringend, NetBIOS zu deaktivieren.

Ich markiere dieses Thema als gelöst.

Viele Grüße,

Denis