Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

LDAP Auth aus DMZ

Mitglied: xoxyss

xoxyss (Level 1) - Jetzt verbinden

27.06.2016 um 21:24 Uhr, 2274 Aufrufe, 16 Kommentare

Hi,
ich würde gern eine Webanwendung in der DMZ an einem LDAP Server (Univention) der im LAN steht authentifizieren.
Möglichkeit 1: RODC (soweit ich bietet Univention dafür eine entsprechende Rolle) in DMZ
Möglichkeit 2: OpenLDAP Proxy in DMZ

Was ist di gängige Lösung für dieses Szenario? Bei einem RODC liegen durch die Replitierung ein teil der Benutzerdaten in der DMZ oder? Fände ich nicht ganz so schön. Bei der Proxy Lösung würde das entfallen.

Für beide Lösungen müssen vermutlich Ports von der DMZ Richtung LAN geöffnet werden oder irre ich mich?

Vielen Dank schon mal für eure Hilfe.

Gruß,
Robert
Mitglied: Larmina
28.06.2016, aktualisiert um 08:46 Uhr
Hi Robert,
da wie du richtig bemerkst dann eh Verbindungen aus der DMZ ins LAN zugelassen werden müssten wäre (falls dein Firewalladmin das erlaubt) die schnellste und mmn sauberste Lösung eine Firewallregel, die das Abfragen von Daten vom LDAP-Server für deinen Webserver erlaubt.
Auf diese Weise kannst du die Daten abfragen, musst sie nicht auf deinem Webserver speichern und bist trotzdem sicher, wenn die Firewallregel entsprechend restriktiv ist (also Verbindung nur zwischen LDAP und deinem Server über Port xyz erlauben).

LG Larmina
Bitte warten ..
Mitglied: xoxyss
28.06.2016 um 08:55 Uhr
Hi Larmina,

danke für deine Antwort. Aktuell geht es nur um einen Webserver. Sollten langfristig aber doch weitere Server hinzu kommen, hätte die Firewall gleich mehrere Löcher Deshalb war die Idee einen Proxy in die DMZ zu stellen, und nur IP/PORT des Proxy Servers ins LAN zuzulassen. Dadurch würde die Lösung deutlich besser skalieren (hoffe ich zumindest) falls die Anzahl der Server in der DMZ doch mal steigt. Ich war mir nur nicht sicher ob das der "richtige" Ansatz ist, oder ob jemand eine bessere Idee hat.

Gruß,
Robert
Bitte warten ..
Mitglied: Larmina
28.06.2016, aktualisiert um 13:32 Uhr
Hi Robert,
es ist natürlich grundsätzlich keine schlechte Idee die "Löcher" in der Firewall zahlenmäßig möglichst gering zu halten, bei der Proxygeschichte würde ich aber dazu tendieren die entsprechenden Regeln in der Firewall zu schreiben.
Die Gründe sind wie folgt:
- Die Webserver sind in der DMZ ansprechbar, wenn man die Firewallregeln so einstellt, dass nur die Webserver zum LDAP dürfen und zurück ist das ähnlich sicher wie über den LDAP Proxy (also wirklich strikteste Regeln, nur von IP zu IP und über exakt den definierten Port, bei Erweiterung kannst du ja Problemlos eine weitere IP hinzufügen die mit dem LDAP kommunizieren darf)
- Der LDAP Proxy ist eine zusätzliche Fehlerquelle
- Der LDAP Proxy muss aufgesetzt und gewartet werden
- Der LDAP Proxy bräuchte ebenfalls restriktive Firewallregeln, so dass er von außerhalb der DMZ nicht ansprechbar ist
Die beiden letzten Punkte bedeuten mehr Arbeit für in meinen Augen (wenn man die Firewallregeln richtig, sprich restriktiv, macht) ähnliche Sicherheit.

Wie immer gilt natürlich: Webserver mit aktuellen Updates versorgt halten, Informieren ob es neue Sicherheitslücken gibt, gefährliche Dinge runterschmeißen oder garnicht erst drauf spielen (JRE, Flash, usw)


LG Larmina
Bitte warten ..
Mitglied: xoxyss
28.06.2016 um 13:36 Uhr
Hi,
klingt alles einleuchtend Was passiert wenn eine Anwendung dazu kommt die auf einem root-Server im Internet läuft? Dann müsste ich den LDAP Port für diesen Server aus dem Internet öffnen... Wäre es da nicht geschickter wenn der Server aus dem Internet nur mit dem Proxy in der DMZ spricht und nicht mit dem Server im LAN?

Gruß,
Robert
Bitte warten ..
Mitglied: Larmina
28.06.2016 um 14:03 Uhr
Hi Robert,
ich würde nie Daten die aus dem Internet kommen ungefiltert ins LAN lassen.
Selbst mit Proxy würde ich Daten von einem Server außerhalb der DMZ nicht annehmen.
Meine Herangehensweise hier wäre auf dem DMZ Webserver eine Authentifizierungsschnittstelle einzurichten.
Du kannst vom externen Server dann auf diese zugreifen, per POST Benutzername und Passwort übermitteln und dann dem externen Server true oder false übermitteln, ohne dass der irgendwelche Daten bekommt.

Wo ich das gerade schreibe, folgendes wäre vielleicht auch was:
- Ein (Web)server in der DMZ auf dem die Schnittstelle läuft (Bei mir wäre es mit PHP), und der nur true oder false zurück gibt. (Im weiteren Auth-Srv genannt).
##Wichtig: Immer zuerst die Variablen prüfen um Injections zu verhindern##

- Die Webserver in der DMZ dürfen nur auf den Auth-Srv zugreifen, und haben keine Verbindung ins LAN
- Der externe Server darf auf den Auth-Srv zugreifen
- Der Auth-Srv kommuniziert mit dem LDAP

Unterschied zu einem Proxy ist hierbei, dass die Daten nicht einfach weitergereicht werden, sondern der Auth-Srv nimmt die Daten an, prüft sie auf gefährliche Befehle (Scriptseitig), prüft sie gegen das LDAP und gibt dann true oder false zurück.
Das könnte man noch mit Accountsperrungen nach x falschen Versuchen oder ähnlichem kombinieren, je nachdem wie gut du bist mit der LDAP Schnittstelle.

Ich hoffe du verstehst worauf ich hinaus will, sonst versuche ich es nochmal umzuformulieren ;)

LG
Larmina
Bitte warten ..
Mitglied: xoxyss
28.06.2016 um 14:21 Uhr
Prinzipiell verstehe ich worauf du hinaus willst Allerdings sind das nicht immer selbst geschrieben Webanwendungen die ich gegen den LDAP authentifizieren möchte. Dadurch ist es nicht so ohne weiteres möglich hier ein "PHP-Gateway" dazwischen zu schalten und dem Benutzername+Kennwort zu übergeben da die LDAP Schnittstellen der Webanwendungen meist fest definiert sind.

Ich wäre aber ehrlich gesagt davon ausgegangen, dass der OpenLDAP Proxy nur "gültige" Anfragen annimmt und nicht einfach blind alles was so auf Port XYZ ankommt an den LDAP im LAN weiterreicht...
Bitte warten ..
Mitglied: Larmina
28.06.2016, aktualisiert um 14:48 Uhr
Zitat von xoxyss:


Ich wäre aber ehrlich gesagt davon ausgegangen, dass der OpenLDAP Proxy nur "gültige" Anfragen annimmt und nicht einfach blind alles was so auf Port XYZ ankommt an den LDAP im LAN weiterreicht...

Da bin ich mir nicht sicher, da ein Proxy grundsätzlich dafür da ist Anfragen anzunehmen, sich selbst als Anfrager einzusetzen, dann die Antwort entgegenzunehmen und die an den Originalanfragenden zurückzugeben.

Ob der OpenLDAP Proxy auch prüft und inwiefern die Fehlermeldungen verräterisch sind kann ich dir auswendig nicht sagen, auch eine kurze Googlesuche hierzu hat mich nicht nennenswert schlauer gemacht.

LG Larmina
Bitte warten ..
Mitglied: sk
28.06.2016 um 23:04 Uhr
Ich würde den Verzeichnisdienst im LAN nicht per LDAP aus der DMZ ansprechbar machen. Das wäre zu gefährlich, weil LDAP ist viel zu mächtig ist. Die Firewall hilft Dir da gar nichts. Besser wäre es, wenn die Webanwendung(en) per Radius mit dem Univertion-System kommunizieren würde(n).

Gruß
sk
Bitte warten ..
Mitglied: xoxyss
29.06.2016 um 08:13 Uhr
HI,

danke für deine Antwort. Auch das ist leider nicht wirklich praktikabel auch wenn ich den Ansatz gut finde. Leider unterstützen sehr wenige Webanwendungen die Authentifizierung per Radius Server. Alle Anwendungen die ich mir angeschaut habe, besitzen eine Authentifizierungsschnittstelle für LDAP aber leider kein Radius. Oder gibts da andere Wege die ich nicht kenne?

Gruß,
Robert
Bitte warten ..
Mitglied: Dani
01.07.2016 um 21:56 Uhr
Guten Abend Robert,
Was ist di gängige Lösung für dieses Szenario? Bei einem RODC liegen durch die Replitierung ein teil der Benutzerdaten in der DMZ oder?
das ist so nicht richtig. Wie ein RDOC funktioniert, kannst du hier nachlesen.

Uns beschäftigt eigentlich das gleiche Problem wie dich.


Gruß,
Dani
Bitte warten ..
Mitglied: xoxyss
01.07.2016 um 22:36 Uhr
Hi Dani,
danke für den Link. Dort steht:

Der RODC besitzt ein vollständiges Replikat der Active Directory-Datenbank (samt allen Objekten und Attributen)

Bedeutet für mich die AD Daten liegen als Replikation in der DMZ auch wenn nur mit leserechten. Hat der RODS oder der beherrbergende Server einen Bug und der Server wird kompromittiert können unter Umständen AD Daten abgegriffen werden. Daher war meine erste Idee einen Proxy zu benutzen der Anfragen (im Optimalfall validiert) an den Verzeichnisdienst im LAN weiterreicht. Oder habe ich in deinem verlinkten Artikel was über lesen?

Gruß,
Robert
Bitte warten ..
Mitglied: xoxyss
01.07.2016, aktualisiert um 22:48 Uhr
Okay ich war etwas vorschnell Man kann relativ fein steuern was repliziert werden soll. Ich muss das ganze Thema nochmal durchdenken kann mir jemand vlt. kurz Vor- und Nachteile RODC vs. Proxy gegenüberstellen?

Edit: Hmm also wenn das angefragte Konto auf dem RODC nicht gefunden wird, leitet dieser die Anfrage an den nächsten writable DC weiter. Also auch nichts anderes als ein Proxy. Ich vermute mal, dass für die Kommunikation zwischen RODC und DC ebenfalls Ports geöffnet werden müssen?
Bitte warten ..
Mitglied: Dani
02.07.2016 um 10:31 Uhr
Moin,
ich habe deinen Beitrag nochmals gelesen. Bei dir geht es um eine Anwendung welche in eurer DMZ stehen soll. Bei uns geht um Authentifizierungen über das Internet. Also doch etwas andere Gegebenheiten.

ich würde gern eine Webanwendung in der DMZ an einem LDAP Server (Univention) der im LAN steht authentifizieren.
Um welche Anwendung geht es? Was spricht dagegen, dass du die Webanwendung ins LAN stellst und in die DMZ "nu" einen Reverse Proxy bzw. eine Web Application Firewall? Somit verbleibt die Kommunktion zwischen LDAP und Webanwendung im vertrauten Netz.

Ich vermute mal, dass für die Kommunikation zwischen RODC und DC ebenfalls Ports geöffnet werden müssen?
Siehe meinen Link, in der Frage der 3. Aufzählungspunkt.


Gruß,
Dani
Bitte warten ..
Mitglied: xoxyss
02.07.2016 um 12:11 Uhr
Ich denke das ein Reverse Proxy das LAN nicht so sehr schützt wie einen DMZ. Wir der Webserver kompromittiert (z. B. Durch Code Injektion, was unter Umständen auch durch einen Reverse Proxy hindurch funktioniert) hat der Angreifer theoretisch Zugriff aufs LAN. Wird der Webserver in der DMZ übernommen, kann ich im schlimmsten Fall den Server abschalten und neu aufbauen. Daher bin ich generell dafür einen Server der aus dem Internet erreichbar sein soll im einer DMZ zu platzieren.

Firewall -> Reverse Proxy -> DMZ -> Firewall -> LAN wäre für mich der bessere Aufbau. So muss man nicht den Zugriff auf mehrere Server in der DMZ freigeben sondern nur den Zugriff auf den Reverse Proxy und über den die Zugriffe steuern.
Bitte warten ..
Mitglied: Dani
02.07.2016 um 19:25 Uhr
Moin,
So muss man nicht den Zugriff auf mehrere Server in der DMZ freigeben sondern nur den Zugriff auf den Reverse Proxy und über den die Zugriffe steuern.
Grundsätzlich sollte in der DMZ alles verboten sein, was nicht benötigt wird. Dazu zählt auch der Zugriff der Server untereinander. Das gleiche gilt meiner Ansicht nach auch fürs LAN. Jeder definiert es anders...

Firewall -> Reverse Proxy -> DMZ -> Firewall -> LAN
Bitte auch zwei unterschiedliche Hersteller für die Firewalls nutzen. Wenn du solch ein Wert auf Sicherheit legst.


Gruß,
Dani
Bitte warten ..
Mitglied: xoxyss
02.07.2016 um 20:29 Uhr
Da atimme ich dir in allen Punkten zu wie gesagt ich werde das Thema nochmal überdenken. Ich würde mich aber freuen wenn du mich über deine Lösung auf dem laufenden hältst wenn du sie gefunden hast
Bitte warten ..
Ähnliche Inhalte
Firewall

DMZ und die Sicherheit in der DMZ mit Zugriff auf LDAP

Frage von Marco-83Firewall8 Kommentare

Mahlzeit zusammen, ihr habt doch sicher auch alle eine DMZ für Webserver etc in euren Unternehmen. Wie sichert ihr ...

Windows Server

Exchange Kerberos-Auth

Frage von Philipp711Windows Server

Hallo Leute, wir haben unseren Exchange nach dieser Anleitung auf die Kerberos-Authentifizierung vorbereitet: Soweit sollte alles funktioniert haben - ...

Router & Routing

DMZ Verständnisfrage

Frage von PharITRouter & Routing2 Kommentare

Hallo allerseits, ich will mit meinem Cisco 891 Router meine erste DMZ aufsetzen. Hab ich das richtig verstanden, dass ...

LAN, WAN, Wireless

Verständnisfrage DMZ

Frage von maddigLAN, WAN, Wireless11 Kommentare

Guten Morgen, ich habe schon immer eine Verständnisfrage in Bezug mit einer DMZ. Im Anhangsbild ist zum Beispiel unsere ...

Neue Wissensbeiträge
Off Topic
8 zoll disketten
Information von brammer vor 8 StundenOff Topic2 Kommentare

Hallo, ob das so gut ist brammer

Off Topic
Noch mehr was ich nicht brauche
Information von brammer vor 3 TagenOff Topic6 Kommentare

Hallo, WOFÜR? WARUM? brammer

Windows Server

Windows Server 2016 Suche nicht funktioniert ist ausgegraut Windows Server 2016 Search not work

Erfahrungsbericht von Wano347 vor 4 TagenWindows Server

Hallo Leute, wir haben vor kurzem ein Problem gehabt: Windows Server 2016 frisch installiert. Nach Checkliste konfiguriert (sieht vor ...

Microsoft Office

Microsoft geht nun rechtlich gegen Lizengo vor - Billig Software

Information von takvorian vor 4 TagenMicrosoft Office12 Kommentare

Hallo zusammen, eben auf CRN gefunden, weis nicht ob das schon wer gepostet hat Microsoft verklagt Lizengo Gruß Tak

Heiß diskutierte Inhalte
Windows 7
Alter PC abgebrannt - Festplatte im neuen PC führt zum Bluescreen
gelöst Frage von CAT404Windows 724 Kommentare

Moin ich habe seit heute mittag einen PC aufm Tisch stehen, total verzweifelter Eigentümer. Der Rechner ist so ein ...

Router & Routing
Zwei Netzwerk miteinander verbinden oder in einem IP Bereich Zugriffsrechte setzen
Frage von spreenautinRouter & Routing14 Kommentare

Hallo, ich würde gerne zwei Netzwerk mit unterschiedlichen IP Bereichen mit einandern verbinden. Dann würde ich gerne definieren wer ...

Server-Hardware
Welches Betriebssystem für DL380p Gen8 für den Heimgebrauch
Frage von peter91gServer-Hardware13 Kommentare

Hallo zusammen, betreibe Zuhause einen Dl380p G8 derzeit mit ESXI in der Testversion. Es läuft je nach Bedarf Ubuntu ...

Batch & Shell
Batch - Datei über das Kontextmenü (Senden an) des Windows Explorer umbenennen
gelöst Frage von AlfornoBatch & Shell10 Kommentare

Hallo, ich möchte eine beliebige Word Datei mittels Batch umbenennen. Als Ergebnis soll der neue Dateiname das Änderungsdatum sowie ...