Windows Update-Server
Moderator: Lancom-Systems Moderatoren
Windows Update-Server
Vielleicht ein wenig off-topic, aber ich suche schon seit einer Weile nach dem IP Adressbereich von Microsofts Updateservern, um sie in einem DENY_ALL Regelsatz als Ausnahmeregel einzubauen.
Hat vielleicht jemand entsprechende Informationen?
Vielen Dank und Gruß,
markus
Hat vielleicht jemand entsprechende Informationen?
Vielen Dank und Gruß,
markus
Die Ergebnisse solcher Recherchen sind nicht besonders hilfreich, da sie immer unterschiedlich ausfallen (Load Balancing bei MS?). Interessant wäre der tatsächlich benutze IP-Adressbereich oder eine explizite Liste der Server... - oder eine Möglichkeit, Firewallregeln auf Hostnamen zu triggern...COMCARGRU hat geschrieben:Tach,
wie wäre es mit einem DNS-Lookup auf windowsupdate.microsoft.com?
Andererseits könnte auch Wireshark hilfreich sein?
Gruß,
markus
Hallo Markus,
> eine Möglichkeit, Firewallregeln auf Hostnamen zu triggern
Das geht leider nicht. Wäre sicher ganz interessant.
> aber ich suche schon seit einer Weile nach dem IP Adressbereich von Microsofts Updateservern
Ich auch.
> um sie in einem DENY_ALL Regelsatz als Ausnahmeregel einzubauen.
In meinem Fall würde ich sie ganz gerne über eine andere WAN-Verbindung rausschicken.
Also ich bin der Meinung, dass windowsupdate.microsoft.com nur zum abgleichen des Update-Standes verwendet wird, die eigentlichen Updates werden über eine Organisation AKAMAI Technologies geladen, und die haben glaube ich so einen großen Serverpark, dass man da nicht mehr von einem IP-Bereich sprechen kann ...
Viele Grüße,
Jirka
> eine Möglichkeit, Firewallregeln auf Hostnamen zu triggern
Das geht leider nicht. Wäre sicher ganz interessant.
> aber ich suche schon seit einer Weile nach dem IP Adressbereich von Microsofts Updateservern
Ich auch.
> um sie in einem DENY_ALL Regelsatz als Ausnahmeregel einzubauen.
In meinem Fall würde ich sie ganz gerne über eine andere WAN-Verbindung rausschicken.
Also ich bin der Meinung, dass windowsupdate.microsoft.com nur zum abgleichen des Update-Standes verwendet wird, die eigentlichen Updates werden über eine Organisation AKAMAI Technologies geladen, und die haben glaube ich so einen großen Serverpark, dass man da nicht mehr von einem IP-Bereich sprechen kann ...
Viele Grüße,
Jirka
Warum setzt ihr nicht einfach nen WSUS Server ein, der kann doch über jede gewünschte Verbindung bzw. Richtung geroutet werden.
Wie Jirka schon richtig sagte laufen die MS Updates über akamai und somit über sehr viele IP- Adressen.
Info -> http://de.wikipedia.org/wiki/Akamai
Wie Jirka schon richtig sagte laufen die MS Updates über akamai und somit über sehr viele IP- Adressen.
Info -> http://de.wikipedia.org/wiki/Akamai
Weil ich keine Lust habe, bei ca. 400 Kunden mit 4 bis 20 Rechnern einen WSUS aufzusetzen - das heißt: Lust schon, aber es bezahlt mir keiner...Enno26 hat geschrieben:Warum setzt ihr nicht einfach nen WSUS Server ein, der kann doch über jede gewünschte Verbindung bzw. Richtung geroutet werden.
Wie Jirka schon richtig sagte laufen die MS Updates über akamai und somit über sehr viele IP- Adressen.
Info -> http://de.wikipedia.org/wiki/Akamai
Danke für den Wikipedia-Link!
markus
Hi ElPatron,
glaube nicht, daß es ratsam ist die Windowsupdate-Server über die IP-Adressen festzumachen. Was ist, wenn Microsoft plötzlich die Adressen ändert? Dann bekommen deine 400 Kunden zunächst mal keine Updates mehr und stehen mit runtergelassenen Hosen neuer Schadsoftware gegenüber. Außerdem die Adressbereiche bei 400 Kunden zu pflegen wäre mir etwas viel arbeit. Da bist ja über 2 Monate drüber (1 Router je Kunde / 10 Std. Nettoarbeitszeit / max. 1 Stunde für Aufschalten, den Kunden bescheidgeben und umstellen). Bei so vielen Kunden könntest ja einen SUS bei dir oder bei einem Root-Server-Hoster einrichten und die Kunden per VPN darauf zugreifen lassen...
Falls Du Mitglied im MSDN oder Technet bist, bei so vielen Kunden gehe ich schwer davon aus, könntest ja direkt einen normalerweise kostenlosen Call bei Microsoft aufmachen, wäre gespannt was die dazu sagen.
Gruß
gm
glaube nicht, daß es ratsam ist die Windowsupdate-Server über die IP-Adressen festzumachen. Was ist, wenn Microsoft plötzlich die Adressen ändert? Dann bekommen deine 400 Kunden zunächst mal keine Updates mehr und stehen mit runtergelassenen Hosen neuer Schadsoftware gegenüber. Außerdem die Adressbereiche bei 400 Kunden zu pflegen wäre mir etwas viel arbeit. Da bist ja über 2 Monate drüber (1 Router je Kunde / 10 Std. Nettoarbeitszeit / max. 1 Stunde für Aufschalten, den Kunden bescheidgeben und umstellen). Bei so vielen Kunden könntest ja einen SUS bei dir oder bei einem Root-Server-Hoster einrichten und die Kunden per VPN darauf zugreifen lassen...
Falls Du Mitglied im MSDN oder Technet bist, bei so vielen Kunden gehe ich schwer davon aus, könntest ja direkt einen normalerweise kostenlosen Call bei Microsoft aufmachen, wäre gespannt was die dazu sagen.
Gruß
gm
Moin gm,
die Router wären per Script schnell aktualisiert, das wäre nicht das Thema, aber der Adressbereich von Akamai ist einfach zu groß...
Habe auf heise online einen Kommentar gefunden, der die Bereiche einigermaßen zu beschreiben scheint:
Markus
die Router wären per Script schnell aktualisiert, das wäre nicht das Thema, aber der Adressbereich von Akamai ist einfach zu groß...
Habe auf heise online einen Kommentar gefunden, der die Bereiche einigermaßen zu beschreiben scheint:
Gruß,heise online Forum-Kommentar
64.4.0.0 - 64.4.63.255 (64.4.0.0/18) : update.microsoft.com
195.0.0.0 - 195.255.255.255 (195.0.0.0/8) : akamaitechnologies.com
207.46.0.0 - 207.46.255.255 (207.46.0.0/16) : update.microsoft.com
208.174.0.0 - 208.175.127.255 (208.174.0.0/16 und 208.175.0.0/17) :
download.windowsupdate.com
208.175.160.0 - 208.175.223.255 (208.175.160.0/19 und
208.175.192.0/19) : download.windowsupdate.com
212.0.0.0 - 212.255.255.255 (212.0.0.0/8) :
download.windowsupdate.com
Markus
Hi ElPatron
Gruß
Backslash
das würde bei einer Serverfarm auch nicht unbedingt helfen, da eine vorwärtsauflösung des Namens immer eine andere IP-Adresse liefert und Reversauflösung der IP-Adresse nicht unbedingt den übergeordneten Namen...oder eine Möglichkeit, Firewallregeln auf Hostnamen zu triggern...
Gruß
Backslash