![Unter Network as a Service (NaaS) versteht man heute einerseits die Bereitstellung von Netzwerk-Infrastruktur-Komponenten und zugehörigen Dienstleistungen in einem Abo- oder Mietmodell, und andererseits die Bereitstellung spezieller Netzwerk-Services zur dedizierten Vernetzung von Standorten, Cloud-Diensten oder Geräten. (Bild: © tong2530 - stock.adobe.com [KI])](https://cdn1.vogel.de/k6CU6gRdiHmmSHNv8UGc_JwG92E=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/4d/d0/4dd0399f9b8207477889a3c659d02379/0115475686.jpeg "Unter Network as a Service (NaaS) versteht man heute einerseits die Bereitstellung von Netzwerk-Infrastruktur-Komponenten und zugehörigen Dienstleistungen in einem Abo- oder Mietmodell, und andererseits die Bereitstellung spezieller Netzwerk-Services zur dedizierten Vernetzung von Standorten, Cloud-Diensten oder Geräten. (Bild: © tong2530 - stock.adobe.com [KI])")
![Der anhaltende Trend hin zur Edge- und Cloud-Computing, Hybrid-Work-Szenarios, Homeoffices und das Internet of Things treiben den Bedarf an umfassenden Netzwerk-Monitoring-Lösungen. (Bild: © igor.nazlo - stock.adobe.com [KI-generiert])](https://cdn1.vogel.de/6T_kNbCyNoMIy3KHASP8djUjYWs=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/8e/4f/8e4f126da182949ecf3a6806652a8749/0115429527.jpeg "Der anhaltende Trend hin zur Edge- und Cloud-Computing, Hybrid-Work-Szenarios, Homeoffices und das Internet of Things treiben den Bedarf an umfassenden Netzwerk-Monitoring-Lösungen. (Bild: © igor.nazlo - stock.adobe.com [KI-generiert])")
:quality(80)/p7i.vogel.de/wcms/00/31/0031258a77a126edd0f53f14a72de57c/0115276744.jpeg "Switches, Router, Gateways, Server, USVs, Racks & Co. – Das Feld der Netzwerk-Infrastruktur ist breit und viele Anbieter buhlen hier bei den IT-Awards um die Gunst der Leser von IP-Insider. (Bild: © didiksaputra - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/95/71951b75b2321e282559e37149c73f85/0114835821.jpeg "„Neofetch“ und andere Tools zeigen Informationen zur Hardware in Linux an. (Bild: Thomas Joos)")
:quality(80)/p7i.vogel.de/wcms/39/4b/394bd80867bedcee436b6c4f59499517/0115220829.jpeg "EtherApe zeigt den Datenverkehr im Netzwerk grafisch an. (Bild: Joos - EtherApe (Riccardo Ghetta, Juan Toledo))")
:quality(80)/p7i.vogel.de/wcms/b5/3d/b53dbab3e40fd2303e7dfca51f1f7939/0114877960.jpeg "Cyberangriffe treffen irgendwann jedes Unternehmen - Mit diesen Threat Hunting Tools lässt sich der Schutz verbessern. (Bild: ink drop - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9e/59/9e5931526af55d34cf212a6aa0593fd8/0115293144.jpeg "Opensignal hat die Erlebnisse von Nutzerinnen und Nutzern in den deutschen Mobilfunknetzen ausgewertet. (Bild: © – Bojan – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/d1/b7d1f5b4af32a8a34cc9722702bfa8d3/0115309559.jpeg "Bei Planung, Konzeption und Aufbau eines 5G-Campusnetzes gibt es einiges zu beachten. Eine Checkliste hilft, alles Wichtige im Auge zu behalten. (Bild: © Manoj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8d/24/8d24b8fc44bfb1954a36e41d768d0721/0115043465.jpeg "KI- und ML-Algorithmen für die Kommunikation mit 6G lassen sich in SystemVue von Keysight importieren. Damit können die per Funk übertragenen Informationen minimiert werden, um eine genaue Kanalzustandsinformation zur Basisstation zu erhalten. (Bild: Keysight)")
:quality(80)/p7i.vogel.de/wcms/79/6c/796cb17faeac882eac2c1b3037a41e3e/0109117150.jpeg "Private 5G wird zum "heiligen Gral" für Anwendungsfälle in der Industrie 4.0. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/56/73/5673c47f4cbb4ab27e3cc9de133c162f/0115266518.jpeg "Microsoft 365 Copilot ist ein KI-basierter Assistent für mehr Produktivität und Effizienz. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/56/2d/562dbcd5c2f1fa12bcae9f99df02c831/0115259643.jpeg "Mit der allgemeinen Verfügbarkeit umfasst Red Hat Device Edge nun auch die Ansible Automation Platform für ein konsistentes Management vieler Geräte an mehreren Standorten. (Bild: Red Hat)")
:quality(80)/p7i.vogel.de/wcms/f5/17/f517caf18526189b0822560936718af0/0115035048.jpeg "Trendnet hat den TI-PG262 für den extremen Industrieeinsatz konzipiert. (Bild: Trendnet)")
![Beim "Endpoint Management im Jahr 2023" geht es grob immer darum, die Funktionalität an allen Endpunkten des Netzwerks aufrechtzuerhalten und Geräte, Daten und andere Assets an diesen Edge-Points vor Cyber-Bedrohungen zu schützen. Die Feinheiten beleuchtet nunser eBook. (Bild: © EricPictures - stock.adobe.com - VIT [M])](https://cdn1.vogel.de/NDW7bMSL-DF6fVVvzkE2EtjLmZk=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/ca/74/ca74fe6b45462e00ab74722166888301/0115412116.jpeg "Beim "Endpoint Management im Jahr 2023" geht es grob immer darum, die Funktionalität an allen Endpunkten des Netzwerks aufrechtzuerhalten und Geräte, Daten und andere Assets an diesen Edge-Points vor Cyber-Bedrohungen zu schützen. Die Feinheiten beleuchtet nunser eBook. (Bild: © EricPictures - stock.adobe.com - VIT [M])")
:quality(80)/p7i.vogel.de/wcms/09/a8/09a82c0734a4b082af0fb3a99a3fc68e/0115036412.jpeg "Mit dem Argus F300 sei es möglich, gleichzeitig die optischen Pegel auf den unterschiedlichen Downstream- und Upstream-Wellenlängen für GPON, XGS-PON und ein Video-Overlay über fünf separate Filter exakt zu bestimmen. (Bild: Intec)")
:quality(80)/p7i.vogel.de/wcms/d7/b6/d7b6b471d066cdd319561d7d2dbf2ab0/0115260548.jpeg "Professionelle Endpoint-Management-Systeme wie Aagon ACMP erlauben die Verknüpfung mit einem Software-Katalog und vereinfachen damit das Lizenzmanagement. (Bild: Thomas Bär - Aagon)")
:quality(80)/p7i.vogel.de/wcms/bf/64/bf64e78ac26cbe0e1daed5dfa4522b3b/0115165562.jpeg "LoadMaster 360 biete Nutzern eine konsolidierte Ansicht sämtlicher Daten aller Anwendungen und Prozesse. (Bild: Progress)")
:quality(80)/p7i.vogel.de/wcms/72/a1/72a148974e7a56fcc18b38db037e81ff/0115187980.jpeg "Übersicht über Bedrohungen in einer Mobile Threat Defence. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd36ba51ec18c8326eb74195506c084/0115029324.jpeg "Zyxel zufolge ist der WBE660S ein Gamechanger für alle, die WLAN-Staus an den schwierigsten Orten lösen wollen. (Bild: Zyxel)")
:quality(80)/p7i.vogel.de/wcms/40/1f/401f3b163d16dd22079e81981e1210c2/0115028607.jpeg "Versa Secure SD-LAN implementiert die Versa-Software auf Ethernet-Switches und Access Points, um integrierte Switching-, Routing-, Sicherheits- und Netzwerkdienste bereitzustellen.
(Bild: Versa Networks)")
:quality(80)/p7i.vogel.de/wcms/6d/0e/6d0e6a223166639fcc9954914388a8f8/0115048132.jpeg "Mit Windows 365 lassen sich auch Cloud-PCs zur Verfügung stellen, auf die Anwender über den Browser oder die Remotedesktop-App in Windows 10/11 Zugriff haben. (Bild: © greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0d/d4/0dd416bd5ede8e030098411e28a47980/0115014065.jpeg "Das Forschungsprojekt QuaSiModO zeigt mehrere praktikable Ansätze und Verfahren, mit denen der IPsec/IKEv2-Datenaustausch quantensicher gemacht werden kann. (Bild: Dar1930 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/be/5cbe24f01d4a3e7f709886c90b78b562/0115266150.jpeg "Mit Universal ZTNA sei es möglich, eine Zero-Trust-Policy auf Identitätsebene für alle Benutzer zu managen und umzusetzen. (Bild: © – RareStock – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/5d/805d47f5c82e77149c48c968717a7bec/0115028174.jpeg "Mit GoTo Rescue ist es möglich, in wenigen Sekunden eine Remotesupportsitzung auf einem beliebigen Mobilgerät, Tablet oder Computer zu initialisieren – und das auch im unattended Modus. (Bild: GoTo)")
:quality(80)/p7i.vogel.de/wcms/a0/67/a0676c15c39f3d545491e641f5471cd0/0115165459.jpeg "Die Yamaha CS-800 ist eine Video Sound Bar für kleine Besprechungsräume. (Bild: Yamaha)")
:quality(80)/p7i.vogel.de/wcms/ef/82/ef82510c2a772ae53fc6556827f3e05c/0115140985.jpeg "Das Dashboard der Wildix-Lösung visualisiert transparent das Anrufaufkommen. (Bild: Wildix)")
:quality(80)/p7i.vogel.de/wcms/9a/a9/9aa9f619b9cccaa303c7d625c2a79207/0115039586.jpeg "Die Lösungen und Services, rund um SASE variieren sehr stark, was Funktionalität und Qualität angeht. Eine sorgfältige Prüfung vor der Anschaffung einer SASE-Lösung ist daher wichtig. (Bild: momius - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/0f/ae0f0d56ca4a1a8696bca9e2dc940292/0115051055.jpeg "Peter Arbitter ist Senior Vice President Portfolio- & Productmanagement bei der Deutschen Telekom und kennt sich aus mit Unternehmensnetzen und Cloud Computing. (Bild: Deutsche Telekom AG/Norbert Ittermann)")
:quality(80)/p7i.vogel.de/wcms/b2/77/b277e4f71c0fd0234e605443300c7c6d/0114803890.jpeg "Die NC4000-Optical-Node-Plattformen sind eine Entwicklung der CommScope-Tochter Arris.
(Bild: CommScope)")
:quality(80)/p7i.vogel.de/wcms/5d/15/5d15351840a95644c2174e6c2cea50b8/0114801126.jpeg "Iwis ist Hersteller moderner Kettentriebsysteme und hat sein teures und langsames MPLS-Netz durch eine SD-WAN-Lösung von Fortinet ersetzt. (Bild: © Photocreo Bednarek - stock.adobe.com)")
DHCP und DNS in Windows Server 2016 steuern Infrastrukturdienste mit IPAM absichern
DHCP und DNS sind wichtige Dienste, wenn es um die Netzwerk-Infrastruktur geht. Um sichere Netzwerke zu betreiben, reicht es heute jedoch nicht mehr aus, Dienste wie DHCP und DNS einfach nur zu installieren und zu nutzen. Es sind Maßnahmen notwendig, um auch diese Dienste vor Angreifer abzusichern.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/61/5a/615ac2ee6e619/paessler-logo-mit-claim-me-blue.jpeg "paessler-logo-mit-claim-me-blue (Paessler AG)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/14/64144695bcf74/logo-high-resolution.png "logo-high-resolution (Southern Tech)"){kind=logo}
DHCP und DNS lassen sich auch in Windows Server 2016 recht schnell einrichten und betreiben. Generell werden einige Sicherheitseinstellungen bereits standardmäßig gesetzt, sollten aber dennoch kontrolliert werden. Wir geben einige Hinweise für den sicheren Betrieb von DHCP und DNS in Windows-Netzwerken.
:quality(80)/images.vogel.de/vogelonline/bdb/1265400/1265414/original.jpg "Mit IPAM können Administratoren in Netzwerken für mehr Sicherheit für DNS- und DHCP-Server sorgen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1265400/1265415/original.jpg "Die Anbindung und Steuerung der Server erfolgt über Gruppenrichtlinien. Das erleichtert auch die Einstellung.")
:quality(80)/images.vogel.de/vogelonline/bdb/1265400/1265416/original.jpg "In den Einstellungen von DNS-Zonen lassen sich Sicherheitseinstellungen setzen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1265400/1265417/original.jpg "Der Assistent zum Verschlüsseln von DNS-Zonen kann über den Servermanager gestartet werden.")
IPAM nutzen
Mit Windows Server 2016, aber auch in Windows Server 2012 R2 bietet Microsoft weitere Funktionen um DHCP-Server stabil, sicher und hochverfügbar im Netzwerk zur Verfügung zu stellen. Eine Neuerung seit Windows Server 2012 ist IP-Adressverwaltungsserver (IPAM). Dieser Serverdienst überwacht und steuert zentral DHCP- und DNS-Server. Die Installation erfolgt als Serverfeature, die Verwaltung über Assistenten im Server-Manager (siehe Abbildung 1).
Der IPAM-Dienst kann Änderungen und die Serverdienste zentral überwachen. IPAM dient nicht nur der Überwachung von DNS- und DHCP-Servern, sondern bietet auch eine Verwaltungsmöglichkeit dieser Server in einer gemeinsamen Oberfläche. IPAM verfügt über folgende Funktionen:
- Automatisches Auffinden der IP-Adress-Infrastruktur im Unternehmen
- Erstellen von Berichten über die IP-Infrastruktur
- Überwachung der Infrastrukturserver im Netzwerk und der vorhandenen IP-Adressen
- Überwachung von Netzwerkzugriffschutzservern
- Überwachung von Domänencontrollern
IPAM sucht über einen Zeitplan ständig nach neuen Servern im festgelegten Bereich. Dadurch erhalten Administratoren ständig einen umfassenden Überblick zur Infrastruktur. Zur Verwaltung verfügt IPAM auch über ein Rechtemodell auf Basis der Mitgliedschaft in Sicherheitsgruppen:
- IPAM Users: Mitglieder dieser Grippe dürfen IPAM-Daten lesen, aber keine Einstellungen ändern
- IPAM MSM Administrators: Mitglieder dieser Gruppe dürfen lesen und schreiben. Auch IPAM-Aufgaben dürfen die Administratoren durchführen, genauso wie die Verwaltung der angebundenen Server durchführen.
- IPAM ASM Administrators: Diese Administratoren dürfen IP-Adressbereiche verwalten und andere IPAM-Aufgaben durchführen. In dieser Gruppe sollten die Netzwerkadministratoren Mitglied sein.
- IPAM IP Tracking Administrators: Diese Administratoren dürfen die Trackingdaten der IP-Adressen betrachten.
- IPAM Administrators: Diese Administratoren dürfen innerhalb von IPAM alle Aufgaben durchführen.
Um die Dienste sicher zu betreiben, sollte mit diesen Rollen gearbeitet werden. Nicht jeder Administrator braucht umfassende Rechte für die komplette Infrastruktur. Die Einstellungen und Anbindung der Server lässt sich über Gruppenrichtlinien steuern (siehe Abbildung 2).
Dynamische Aktualisierungen steuern
Auf der Registerkarte „Allgemein“ in den Einstellungen der DNS-Zonen können Administratoren festlegen, dass die Zone in Active Directory integriert wird und welche Systeme sich dynamisch registrieren, also neue DNS-Einträge erstellen dürfen. In sicheren Netzwerken sollte die dynamische Registrierung auf „Nur sichere“ gestellt werden (siehe Abbildung 3). Das stellt sicher, dass nur authentifizierte Rechner neue DNS-Einträge erstellen, oder vorhandene Einträge ändern dürfen.
DNSSEC – Sicherheit in DNS
In Windows Server 2016 lassen sich Zonen auch online digital signieren. Es ist nicht notwendig, diese vorher offline zu setzen. DNSSEC lässt sich komplett in Active Directory integrieren. Dies umfasst auch die Möglichkeit, dynamische Updates für geschützte Zonen zu aktivieren. Windows Server 2016 unterstützt Standards wie NSEC3 und RSA/SHA-2.
DNSSEC wird auch auf schreibgeschützten Domänencontrollern (Read-Only Domain Controller, RODC) unterstützt. Findet ein RODC mit Windows Server 2016 eine signierte DNS-Zone, legt er automatisch eine sekundäre Kopie der Zone an und überträgt die Daten der DNSEC-geschützten Zone. Dies hat den Vorteil, dass auch Niederlassungen mit RODCs gesicherte Daten auflösen können, aber die Signatur und Daten der Zone nicht in Gefahr sind. Über das Menü „Tools“ im Server-Manager lässt sich das Verwaltungswerkzeug starten (siehe Abbildung 4). DNSSEC lässt sich über das Kontextmenü der Zonen konfigurieren.
Die Signierung der Zone erfolgt über einen Assistenten. Mit diesem können Administratoren DNS-Zonen vor Manipulationen schützen. Im Assistenten wird auch der Schlüssel für die eigentliche Signatur festgelegt. Auch dieser Vorgang lässt sich direkt in der Verwaltungskonsole über einen Assistenten festlegen. Sind die notwendigen Schlüssel erstellt, also der Schlüsselsignaturschlüssel (Key Signing Key, KSK) und der Zonensignaturschlüssel (Zone Signing Key, ZSK), lässt sich die Absicherung festlegen (siehe Abbildung 5).
Windows Server 2016 unterstützt hierbei Next Secure 3 (NSEC3), aber auch die ältere Version NSEC. In Windows Server 2016 stellt ein DNS-Server den Key-Master-Server dar. In den DNSSEC-Eigenschaften einer Zone lassen sich die Einstellungen und Schlüssel jederzeit anpassen. Hier stehen alle Eigenschaften zur Verfügung, die auch der Assistent bietet. Auch das Aufheben der Signierung ist über diesen Weg möglich.
Konfiguration des Aufräumvorgangs
So bequem die dynamische Aktualisierung der DNS-Einträge auch sein mag, sie birgt auch die Gefahr, dass sich im Laufe der Zeit eine Menge veraltete Einträge ansammeln, zum Beispiel Computer, die irgendwann mal in Betrieb waren, sich dynamisch registriert haben und irgendwann wieder außer Betrieb genommen wurden. Das stellt auch ein Sicherheitsrisiko dar, da die DNS-Einträge gekapert werden können.
Die zugehörigen DNS-Einträge verbleiben außerdem auch in der Datenbank und erhöhen den Platzbedarf, die Zeit für Suchen in der Datenbank sowie die Übertragungszeiten bei der Replikation zu anderen DNS-Servern. Um diesem Wachstum Einhalt zu gebieten, sollte die Alterung der dynamischen Einträge konfiguriert werden (siehe Abbildung 6).
Dieser Vorgang kann auf der Registerkarte „Allgemein“ über die Schaltfläche „Alterung“ vorgenommen werden. In der Standardeinstellung bleiben alle Einträge so lange erhalten, bis sie vom Administrator manuell gelöscht werden. Wird das Kontrollkästchen Veraltete Ressourceneinträge aufräumen genutzt, um die Einträge mit Zusatzinformationen über den Zeitpunkt der letzten Aktualisierung, den so genannten Zeitstempel, zu versehen und sie anschließend aufgrund dieser Informationen als veraltet erkennen und löschen zu können.
Da jede Änderung des Zeitstempels immer dazu führt, dass sekundäre DNS-Server eine Replikation der DNS-Daten anfordern, wird eine Mindestzeit vorgegeben, nach der der Zeitstempel wieder neu gesetzt werden kann. Registriert sich ein System während dieser Zeit erneut beim DNS-Server, erfolgt keine Veränderung an diesem Eintrag. Erst nach Ablauf der Zeit wird der Zeitstempel neu gesetzt. Dieser Wert wird im Abschnitt „Intervall für Nichtaktualisierung“ festgelegt.
Die Verweildauer eines Eintrags in der Datenbank wird im Abschnitt
„Aktualisierungsintervall“ festgelegt. Nach Ablauf dieser Zeitspanne wird ein System als inaktiv erkannt und der zugehörige Eintrag aus der Zone gelöscht. Der hier angegebene Wert muss größer sein als das minimale Intervall zwischen zwei Aktualisierungen des Zeitstempels, da sonst auch aktive Einträge gelöscht würden, die lediglich noch nicht aktualisiert werden konnten.
Administratoren können den Prozess auch manuell starten, indem sie im Kontextmenü des DNS-Servers den Befehl „Veraltete Ressourceneinträge aufräumen“ aufrufen und die anschließende Sicherheitsabfrage bestätigen.
(ID:44815527)
:quality(80)/p7i.vogel.de/wcms/51/e1/51e1d621efcf9a6484ed2c3d2030ce2c/0102217818.jpeg "Mit etwas Know-how gelingt die Konfiguration einer Active-Directory-Domäne spielend. (Bild: © XtravaganT - Fotolia.com)")
:quality(80)/p7i.vogel.de/wcms/75/aa/75aa812406bdda564ca6184cd395410f/0112696053.jpeg "Auf einem Synology NAS lassen sich auch die Serverdienste DNS und DHCP abbilden. (Bild: © blickpixel - stock.adobe.com)")