Toon posts:

[all] Windows Update: welke IP ranges worden gebruikt?*

Pagina: 1
Acties:
  • 212 views sinds 30-01-2008
  • Reageer

donderdag 14 juli 2005 20:35

Acties:
  • Unicron
  • Registratie: November 2001
  • Laatst online: 20:53

Unicron

Topicstarter
Hoi,

Om de windows update te laten werken laat ik verkeer van bepaalde ranges naar svchost.exe toe en de rest block ik met mijn firewall.

Het valt mij op dat de pakketjes van verschillende ip ranges komen, bijv:
84.53.142.14
64.4.0.0/255.255.192.0
207.46.0.0/255.255.0.0

Heeft iemand misschien de complete lijst van ip ranges die windows update gebruikt?

donderdag 14 juli 2005 21:38

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Waarom blokkeer je niet gewoon alle inkomende packets die behoren tot een bestaande TCP/IP sessie toe? Dat is iig meer 'gangbaar' dan op willekeur inbound filtering te gaan doen :)

donderdag 14 juli 2005 21:57

Acties:
  • Unicron
  • Registratie: November 2001
  • Laatst online: 20:53

Unicron

Topicstarter
elevator schreef op donderdag 14 juli 2005 @ 21:38:
Waarom blokkeer je niet gewoon alle inkomende packets die behoren tot een bestaande TCP/IP sessie toe? Dat is iig meer 'gangbaar' dan op willekeur inbound filtering te gaan doen :)
Ik begrijp niet precies wat je bedoelt. Ik heb gewoon een lijst met filter regels, waaronder een regel dat services niet met het internet mogen communiceren. Een uitzondering hierop is windows update, maar dan moet ik wel de Ip ranges weten. Wat ik doe is gewoon vrij gangbaar hoor, naar mijn mening.

donderdag 14 juli 2005 22:08

Acties:
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Volgens mij *.microsoft.com en nog wat ip's in de 207.146 range...

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

donderdag 14 juli 2005 23:07

Acties:
  • Nielson
  • Registratie: Juni 2001
  • Laatst online: 23:06

Nielson

Kan die range niet nogal verschillen omdat WU gebruikt maakt van de wijdverspreide servers van Akamai, of heeft dat er niks mee te maken ?

donderdag 14 juli 2005 23:10

Acties:
  • Erkens
  • Registratie: December 2001
  • Niet online

Erkens

Fotograaf

elevator schreef op donderdag 14 juli 2005 @ 21:38:
Waarom blokkeer je niet gewoon alle inkomende packets die behoren tot een bestaande TCP/IP sessie toe? Dat is iig meer 'gangbaar' dan op willekeur inbound filtering te gaan doen :)
natuurlijk, maar je wilt niet dat je ook verbindingen naar 'random'-site mogelijk is, dus je outbound kan je wel restricten tot de WU servers :)

donderdag 14 juli 2005 23:12

Acties:
  • Unicron
  • Registratie: November 2001
  • Laatst online: 20:53

Unicron

Topicstarter
Nielson schreef op donderdag 14 juli 2005 @ 23:07:
Kan die range niet nogal verschillen omdat WU gebruikt maakt van de wijdverspreide servers van Akamai, of heeft dat er niks mee te maken ?
Daar heeft het volgens mij inderdaad mee te maken.

Ik heb al gezocht op de site van microsoft of ze niet ergens een lijst ip ranges publiceren van WU, maar heb niks kunnen vinden. Lijkt me dat ik toch niet de enigste ben met dit probleem.

[ Voor 5% gewijzigd door Unicron op 14-07-2005 23:13 ]

vrijdag 15 juli 2005 08:24

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Erkens schreef op donderdag 14 juli 2005 @ 23:10:
natuurlijk, maar je wilt niet dat je ook verbindingen naar 'random'-site mogelijk is, dus je outbound kan je wel restricten tot de WU servers :)
Daar heeft TS het niet over - hij heeft het over verkeer naar svchost.exe toe en dat lijkt me een weinig zinvolle operatie als je gewoon alle 'bestaande' sessies kan laten opstaan :)

Overigens is het sowieso twijfelachtig ofdat outbound filtering echt zinvol is op het gebied van IP ranges omdat a). veel DDoS attacks op port 80 zijn en niet port 443 en b). MS toch ook al een erg gewild target is :)

[ Voor 20% gewijzigd door elevator op 15-07-2005 08:25 ]

vrijdag 15 juli 2005 08:46

Acties:
  • Erkens
  • Registratie: December 2001
  • Niet online

Erkens

Fotograaf

elevator schreef op vrijdag 15 juli 2005 @ 08:24:
[...]

Daar heeft TS het niet over - hij heeft het over verkeer naar svchost.exe toe en dat lijkt me een weinig zinvolle operatie als je gewoon alle 'bestaande' sessies kan laten opstaan :)
dat hij het niet daarover heeft maakt natuurlijk niet uit, dit is namelijk wel wat hij bedoeld lijkt me ;)
immers als je in eerste instantie niet die verbinding kan maken kan er ook niks terug komen.
Als je wel verbinding naar alles kan maken maar de data kan niet terug komen, dan is het kwaad al geschied als het een DDoS attack betreft ;)
Overigens is het sowieso twijfelachtig ofdat outbound filtering echt zinvol is op het gebied van IP ranges omdat a). veel DDoS attacks op port 80 zijn en niet port 443 en b). MS toch ook al een erg gewild target is :)
tja alle beetjes helpen lijkt me, dat MS een mooi target doet daar niet aan af, maargoed dat is mijn mening op dit gebied. Ik ben dan ook meer een linux gast mbt servers :P

vrijdag 15 juli 2005 09:35

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Erkens schreef op vrijdag 15 juli 2005 @ 08:46:
dat hij het niet daarover heeft maakt natuurlijk niet uit, dit is namelijk wel wat hij bedoeld lijkt me ;)
Dat is jouw interpretatie - en al hoewel het plausibel klinkt wordt er niet om gevraagd en ik ben er nooit zo voor om in security gerelateerde zaken maar zelf invulling te gaan geven aan wat ik denk dat topicstarter bedoelt ;)
tja alle beetjes helpen lijkt me, dat MS een mooi target doet daar niet aan af, maargoed dat is mijn mening op dit gebied. Ik ben dan ook meer een linux gast mbt servers :P
Je moet voor elke maatregel bedenken of de 'oplossing' niet een zwaarder probleem creeert - met outbound filtering waarbij je duizenden addressen open gaat zetten die op dit moment gebruikt worden voor Windows Updates maar misschien over 5 dagen al niet meer en daardoor dus je windows updates vestoren kan het best wel eens zijn dat de problemen die je creeert groter zijn dan de 'oplossing' die je maakt ;)

vrijdag 15 juli 2005 09:42

Acties:
  • Erkens
  • Registratie: December 2001
  • Niet online

Erkens

Fotograaf

elevator schreef op vrijdag 15 juli 2005 @ 09:35:
[...]

Dat is jouw interpretatie - en al hoewel het plausibel klinkt wordt er niet om gevraagd en ik ben er nooit zo voor om in security gerelateerde zaken maar zelf invulling te gaan geven aan wat ik denk dat topicstarter bedoelt ;)
De topicstarter wilt dat er geen ander verkeer dan het WU verkeer komt naar het betreffende proces.
De eenvoudigste manier om dat te doen is door ook alleen _dat_ verkeer ook outbound toe te passen en (zoals jij al zei) alleen dergelijke reeds bestaande verbindingen toe te staan. Dat is niet mijn interpretatie, dat is zoals je het doorgaands doet, want met alleen jouw "oplossing" kom je er niet want dan is ook al het andere verkeer mogeljik aangezien het eerst outbound gaat.

vrijdag 15 juli 2005 22:18

Acties:
  • Unicron
  • Registratie: November 2001
  • Laatst online: 20:53

Unicron

Topicstarter
ik zie dat er nogal wat verwarring is rond wat ik wil en daarom zal ik het nog een keer proberen uit te leggen.

Ik wil inderdaad zoals Erkens zegt dat alleen WU verkeer kan communiceren met het svchost proces. Dit doe ik op dit moment door svchost alleen outbound connecties toe te staan naar IP ranges van WU op poorten 80 en 443. Op deze manier kan dus een virus wat zich voordoet als een service niet connecten naar een vage site. Tevens worden dus ook alle inbound connecties geblocked.

Het probleem is nu dat WU nogal wat ranges lijkt te gebruiken, waardoor ik dus steeds mijn filter rules moet aanpassen. Daarom zou ik graag weten of er een lijst is met alle IP ranges die door WU worden gebruikt, zodat ik de wijzigingen in een keer kan maken.
Pagina: 1
Reageer