Active Directory Ports und Netzwerksegmentierung

ukulele-7
Goto Top
Dieses Jahr werde ich viele Server neu aufsetzen (Umstieg von Windows 2012 R2 auf 2022) und ich möchte das zum Anlass nehmen meine VLANs und IP Netze etwas neu zu ordnen. Grundsätzlich ist mir klar was ich machen kann, ich bin nur unsicher was am sinnvollsten ist.

Alle IP Netze werden von der Sophos geroutet, das soll auch erstmal so bleiben. Etwas mehr Traffic auf der Firewall für die Übergangszeit ist kein Problem.

1) Active Directory durch Firewall
Die jetzige AD (2012 R2) soll im "alten" Servernetz bleiben. In einem neuen Servernetz (neues VLAN, neuer IP Bereich) sollen zwei neue DCs entstehen. Die müssen...
a) mit der alten AD vollwertig kommunizieren können
b) mit allen Member-Servern und Clients in anderen Netzen sprechen
Welche Ports mache ich da alle auf, reichen:
SMB/CIFS 445
DNS 53
KERBEROS 88
LDAP 389
LDAP SSL 636
NETBIOS Location Service 135
NETBIOS Name Service 137
NETBIOS Session Service 139
RPC 49155
oder brauche ich noch etwas oder kann ich auch was weg lassen ohne Einschränkungen?

2) NAS
Ich habe auch eine neue NAS (TrueNAS) die diverse Daten aufnehmen soll. Die muss aus mindestens drei Netzen erreichbar sein
a) Servernetz für normale Dateiablage
b) DMZ für Schulungsvideos etc.
c) Datensicherungsnetz mit Backupserver, fast alle Inhalte der NAS werden gesichert, einige andere Sachen werden aber auch dort als Sicherung abgelegt

Jetzt bin ich unschlüssig was die beste Einbindung für die NAS ist, die hätte drei Netzwerkports. Für das Backupnetz würde ich in jedem Fall einen Port nehmen so das nicht der ganze Backup Traffic durch die Firewall geht. Da aus dem Servernetz keine Zugriffe auf das Backup Netz laufen sollen kommt mindestens noch ein weiterer Port zum Einsatz. Ich hadere aber ein bischen damit eine NAS / Server mit einem Port in die DMZ und einem anderen ins Servernetz zu hängen. Für die Zugriffe ist das ideal aber wie sieht die best practice bzgl. der Sicherheit aus? Ist das gängig oder aus Prinzip ein no-go?

Content-Key: 1698601634

Url: https://administrator.de/contentid/1698601634

Ausgedruckt am: 07.07.2022 um 02:07 Uhr

Mitglied: ukulele-7
ukulele-7 07.01.2022 um 11:47:23 Uhr
Goto Top
Oh und habe ich schon wieder verdrängt:

3) Terminal Server
Bisher sind die Termial Server im Servernetz. Ein angemeldeter User kann also ohne Firewall mit allen Serverdiensten reden, ist natürlich einfacher. Würdet ihr es dabei belassen, die Terminal Server in ein Netz mit den Client-PCs legen oder ein zusätzliches Netz aufziehen?
Mitglied: aqui
aqui 07.01.2022 aktualisiert um 12:21:23 Uhr
Goto Top
die hätte drei Netzwerkports.
Zur Performance Steigerung bündeln zu einem LAG:
https://administrator.de/tutorial/link-aggregation-lag-im-netzwerk-15860 ...
Netzwerk Segmentierung der 3 Netze dann über einen Layer 3 VLAN Switch. Grundsätzlich sieht sowas dann in der Regel so aus.
Sprich Performance relevante VLAN IP Segmente über den L3 Switch (mit ggf. ACLs) routen weil das in Silizium (Wirespeed) passiert und nur die Sicherheits relevanten VLANs ohne L3 Switch auf die Firewall durchschleifen.
Das ist aber von der FW Hardware abhängig. Wenn die genug L3 Forwarding Power hat kann die das auch direkt wuppen mit einem L2 VLAN Switch wenn man sie entsprechend performant und redundant mit einem LACP LAG anbindet (siehe oben) oder mit einer "Fat Pipe" (Link mit höherer Bandbreite).
Würdet ihr es dabei belassen
Du weisst selber das dir diese Security Frage hier doch niemand zielführend beantworten kann, denn es hängt immer von deinen/euren Security Policies ab die ja hier niemand kennt !!!
Aus Netzwerk Sicherheits Sicht ist das für einen verantwortungsvollen Netzwerker natürlich eine Katastrophe wenn so alles remoten Usern auf dem Silbertabellt präsentiert wird. Normal ein NoGo.
Für remote User sollte nur das erreichbar sein was diese User auch nutzen. VPN User lässt man normalerweise niemals direkt in ein Server Segment. Wozu hast du eine Firewall ??
Aber wie gesagt.... WAS sagen deine Security Policies dazu ??
Mitglied: ukulele-7
ukulele-7 07.01.2022 um 12:59:47 Uhr
Goto Top
Ich schreibe mir quasi meine Policy, kann darüber also entscheiden bzw. entscheiden lassen wie es mir sinnvoll erscheint.

Wie würdest du einen Terminal Server sehen?
Mitglied: ukulele-7
ukulele-7 07.01.2022 um 15:50:34 Uhr
Goto Top
Grundsätzlich ist das bei mir so:
Client ---> Remote Desktop Services ---> lokale Anwendung ---> Service
oder
Client ---> Remote Desktop Services ---> Web-Service / Frontend
oder (bei mobilen Geräten)
Client ---> lokale Anwendung ---> Service


Wo sollte ich da die Firewall idealerweise setzen? Eigentlich muss ich RDS ja nochmal separieren, um es sinnvoll zu gestalten. Also:
Client ---> || ---> Remote Desktop Services ---> lokale Anwendung ---> || ---> Service
Client ---> || ---> Remote Desktop Services ---> || ---> Web-Service / Frontend
Client ---> lokale Anwendung ---> || ---> Service


Ggf. gibt es noch ein Backend hinter dem Service, Datenbanken, etc., hier würde ich auf eine weitere Trennung tendenziell verzichten.
Mitglied: Dani
Dani 08.01.2022 um 14:02:43 Uhr
Goto Top
Moin,
oder brauche ich noch etwas oder kann ich auch was weg lassen ohne Einschränkungen?
Das wird bei weitem nicht reichen. How to configure a firewall for Active Directory domains and trusts.

a) Servernetz für normale Dateiablage
b) DMZ für Schulungsvideos etc.
Das widerspricht meiner Meinung nach einem Sicherheitskonzept. Weil du nicht differenzieren kannst, dass die Datenablage nicht in der DMZ erreichbar ist und dafür im LAN. Anderesherum natürlich auch nicht. Ich würde einfach eine Nextcloud Managed anmieten und dort die Video bereitstellen. Kann die Sicherheit erhöhen, wenn du nicht immer zeitnah Updates installieren kannst.

c) Datensicherungsnetz mit Backupserver, fast alle Inhalte der NAS werden gesichert, einige andere Sachen werden aber auch dort als Sicherung abgelegt
Je nachdem, im schlimmsten Fall wird durch Malware nicht nur deine Datensicherungen sondern auch die Daten verschlüsselt/gelöscht. Wenn das wichtige Daten sind, rate ich davon ab.


Gruß,
Dani
Mitglied: ukulele-7
ukulele-7 10.01.2022 um 09:57:50 Uhr
Goto Top
Zitat von @Dani:
oder brauche ich noch etwas oder kann ich auch was weg lassen ohne Einschränkungen?
Das wird bei weitem nicht reichen. How to configure a firewall for Active Directory domains and trusts.
Stimmt, RPC for LSA und LDAP Global Catalog sind vermutlich für Kommunkionation ziwschen DCs notwendig, aber auch für Kommunikation mit den Clients? Bisher habe ich das nicht frei geschaltet und dennoch Memberserver die über die Firewall mit der AD sprechen.
a) Servernetz für normale Dateiablage
b) DMZ für Schulungsvideos etc.
Das widerspricht meiner Meinung nach einem Sicherheitskonzept. Weil du nicht differenzieren kannst, dass die Datenablage nicht in der DMZ erreichbar ist und dafür im LAN. Anderesherum natürlich auch nicht. Ich würde einfach eine Nextcloud Managed anmieten und dort die Video bereitstellen. Kann die Sicherheit erhöhen, wenn du nicht immer zeitnah Updates installieren kannst.
Doch mit zwei IP-Interfaces, eins in jedem VLAN, kann ich sehr wohl Freigaben auf ein Netzwerk beschränken. Zumindest habe ich das bisher hin bekommen, mit TrueNAS fange ich grade erst an.

Klar das, wenn das NAS OS kompromitiert wird der ganze Datenbestand betroffen ist. Eventuell macht es eher Sinn eine VM für Freigaben für die DMZ einzurichten, dann opfere ich allerdings teuren SAN Speicher und nicht günstigen NAS Speicher, oder ich baue eine 2te NAS zusammen.
Mitglied: aqui
aqui 10.01.2022 aktualisiert um 11:10:19 Uhr
Goto Top
Doch mit zwei IP-Interfaces, eins in jedem VLAN, kann ich sehr wohl Freigaben auf ein Netzwerk beschränken.
Das geht aber auch mit einer entsprechend intelligenden SMB Firewall Regel oder ACL indem man SMB (TCP 445) dort filtert.
Das ist eine weit sinnvollere Lösung das auf dedizierte Netze zu beschränken statt der o.a. steinzeitlichen VLAN Anbindung.
Mitglied: ukulele-7
ukulele-7 17.01.2022 um 14:50:21 Uhr
Goto Top
Das Thema AD und Ports ist wirklich ein Fass ohne Boden.

Schön das MS so viele Hilfeseiten zu dem Thema hat die auch immer weiter ins Detail gehen nur einen Überblick habe ich dadurch nicht. Ich habe mich jetzt anderweitig bedient:

AD to AD replication (writeable)
https://www.der-windows-papst.de/2021/06/25/ports-active-directory-und-a ...

Das stammt vermutlich von
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
Witziges Detail: DHCP wird mit extra Hinweis seitens MS nicht als AD Dienst betrachtet, SMTP hat keinen solchen Hinweis. Ich habe jetzt beide erstmal weg gelassen, alle anderen Ports habe ich frei geschaltet.

client to AD authentification
https://dailysysadmin.com/KB/Article/4051/firewall-ports-to-open-for-act ...

Hier mache ich erstmal Sparflamme, da kann ich immer noch nachbessern.
Mitglied: ukulele-7
ukulele-7 17.01.2022 um 14:55:19 Uhr
Goto Top
Zitat von @ukulele-7:

Client ---> || ---> Remote Desktop Services ---> lokale Anwendung ---> || ---> Service
Client ---> || ---> Remote Desktop Services ---> || ---> Web-Service / Frontend
Client ---> lokale Anwendung ---> || ---> Service
Im wesentlichen mache ich zwei neue Netze, eins für alle Server und eins für RD-SHs und ggf. alles Andere wo man sich per RDP aufschaltet als User.

Die NAS hänge ich ins Server-Netz, DMZ läuft ausschließlich über die Firewall. Zusätzlich kommt die NAS ins Backup-Netz, da schaue ich mal wie sich das möglichst restriktiv gestalten lässt.
Mitglied: Dani
Dani 18.01.2022 um 20:26:26 Uhr
Goto Top
Moin,
Das Thema AD und Ports ist wirklich ein Fass ohne Boden.
es hat keiner gesagt, dass es einfach ist. face-wink

Schön das MS so viele Hilfeseiten zu dem Thema hat die auch immer weiter ins Detail gehen nur einen Überblick habe ich dadurch nicht. Ich habe mich jetzt anderweitig bedient:
Heutzutage ist die Windows Defender Firewall aktiviert und korrekt konfiguriert. Die notwendigen Regeln werden durch Microsoft gepflegt. Dass eine Gateway Firewall zwischen den Netzen größeren Schaden abwendet halte ich teilweise überholt. Gehärtete, sauber konfigurierte und überwachte Endgräte sind meiner Meinung nach inzwischen das Mittel der Wahl.


Gruß,
Dani
Mitglied: ukulele-7
ukulele-7 25.01.2022 um 10:11:19 Uhr
Goto Top
Ich trenne eigentlich nicht die Server untereinander sondern möchte nur die Nutzer (also auch Besprechungsräume mit ggf. Fremdgeräten) von den Servern trennen. Das passiert auch schon, ist aber nicht so richtig Rund weil noch sehr viel erlaubt ist und diverse Geräte halt direkt mit den Servern kommunizieren.

Bei den RD-SH bin ich mir nicht sicher ob eine Trennung nötig und sinnvoll ist. Aber ich glaube das mache ich einfach mit. Ich hab dann auch besser im Blick mit welchen Servern wirklich direkt kommuniziert werden muss.