ludaku
Goto Top

AD in der DMZ

Moin Zusammen

Vielleicht mal kurz zu unserer aktuellen Situation:

Wir haben ein LAN und eine DMZ. Im LAN steht ein DC und in der DMZ stehen mehrere Server, welche verschiedenste Anwendungen bereitstellen. Diese Anwendungen können alle entweder Authentifizierung mit lokalen Benutzern oder via LDAP. Aktuell hat jeder Mitarbeiter pro Anwendung einen separaten Zugang und jeder Server hat einen bzw. zwei lokale Admin-Zugänge.

Zwei Dinge stören mich dabei:
1. Jeder Benutzer braucht pro Anwendung einen Zugang, welcher separat gepflegt werden muss. Dies ist sehr umständlich.
2. Auf jedem Server hat man einen separaten Zugang. Dies ist sehr umständlich und entweder nimmt man übrall das selbe Passwort und muss es bei einer Änderung auf jedem Server manuell ändern, oder man wählt verschiedene Passwörter was eine aufwändige Passwort-Verwaltung bedeutet.

Ich habe nun überlegt einen RODC in der DMZ einzurichten. Jedoch gibt es mir ein wenig ein ungutes Gefühl von der DMZ ins LAN etwas zu öffnen, auch wenn es nur beschränkt wäre. Gibt es noch alternative Lösungen, welche sicherer sind?

Eine Überlegung wäre noch ein eigenes AD in der DMZ zu erstellen. Damit liesse sich der zweite Punkt teilweise lösen. Dann hat man wenigstens für alle Server in der DMZ nur noch einen Zugang. Jedoch lässt sich damit der erste Punkt nicht lösen, denn immerhin können sich die Benutzer nirgendswo im DMZ-AD anmelden um Ihr Passwort zu ändern.

Wie habt ihr solche Szenarien bei euch gelöst?

LG Ludaku

Content-ID: 3165082909

Url: https://administrator.de/forum/ad-in-der-dmz-3165082909.html

Ausgedruckt am: 22.12.2024 um 02:12 Uhr

148523
Lösung 148523 24.06.2022 aktualisiert um 13:19:02 Uhr
Goto Top
Wenn alle Server in der DMZ per LDAP den internen fragen der die zentrale Nutzerdatenbank hat musst du doch lediglich LDAP in der FW freigeben. Ein übliches und vielfach genutztes Verfahren.
ludaku
ludaku 24.06.2022 um 13:32:55 Uhr
Goto Top
Ja dies würde dann aber auch nur 1. lösen, und eben, es müsste ja der Port für LDAP in der Firewall von der DMZ ins LAN geöffnet werden. Dies würde ich eigentlich gerne vermeiden (wenn es geht).
Hubert.N
Hubert.N 24.06.2022 aktualisiert um 14:54:30 Uhr
Goto Top
Moin

Zitat von @ludaku:
(...) es müsste ja der Port für LDAP in der Firewall von der DMZ ins LAN geöffnet werden. Dies würde ich eigentlich gerne vermeiden (wenn es geht).

Naja... Eine Kröte wirst Du wohl schlucken müssen, wen Du das irgendwie umsetzen willst. Wie soll das sonst funktionieren?!

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...

Damit ist die RODC-Idee sicher komplett vom Tisch... face-smile


Gruß
ludaku
ludaku 24.06.2022 um 15:01:23 Uhr
Goto Top
Zitat von @Hubert.N:
Zitat von @ludaku:
(...) es müsste ja der Port für LDAP in der Firewall von der DMZ ins LAN geöffnet werden. Dies würde ich eigentlich gerne vermeiden (wenn es geht).
Naja... Eine Kröte wirst Du wohl schlucken müssen, wen Du das irgendwie umsetzen willst. Wie soll das sonst funktionieren?!
Vermutlich. Aber da ich nicht sicher bin ob es nicht auch eine Lösung gibt, bei welcher man keine Ports öffnen muss dachte ich, frage mal nett hier nach face-smile
Also ist es effektiv so, dass für solche Lösungen auch grosse Firmen, in welcher die Admins bei jeder Gelegenheit auch nur "Sicherheit" schreien, dies effektiv auch so machen und wohl oder übel die Ports ins LAN öffnen?

Damit ist die RODC-Idee sicher komplett vom Tisch... face-smile
Womit? Meinst du weil man für RODC auch Ports öffnen muss?
ukulele-7
ukulele-7 24.06.2022 um 15:23:13 Uhr
Goto Top
Ich habe grade heute wieder das selbe Problem. Einige Clients (Medien-PCs in Besprechungsräumen) zicken nur rum ohne AD Kommunikation, bisher habe ich auch bestimmte Ports (AD membership) für bestimmte Geräte für die Kommunikation geöffnet.

Wenn ich das richtig verstehe ist doch ein RODC am Ende auch ein DC der 1) mit der AD sprechen muss, d.h. alle Ports für AD replication müssen für den Server geöffnet sein und 2) ist das ein Windows Server den man eigentlich nicht in der DMZ exponieren möchte. Sollte der mal durch eine Lücke kompromitiert werden wäre das vermutlich gravierender als bei einem AD member.

Sichert man die RODC-Kommunikation dann mit SSL weiter ab oder die Identität des RODC gegenüber der Firewall oder wie wäre das?
2423392070
Lösung 2423392070 24.06.2022 um 16:01:59 Uhr
Goto Top
Wer sagt denn, dass man nur eine DMZ haben kann?
DCs sind Hochwertziele und gehören geschützt.
RODC sind eine gute Sache und bringen richtig ins Feld geführt viel zusätzliche Sicherheit.
108012
108012 25.06.2022 um 05:57:47 Uhr
Goto Top
Hallo,

Warum steht dort überhaupt der DC, ich meine was ist dem Seine Aufgabe dort?
AD, DC und DHCP in das LAN und Web, FTP und Mail in die DMZ.

Dobby
2423392070
2423392070 25.06.2022 um 12:32:02 Uhr
Goto Top
Warum sollte er nicht dort stehen? Man muss es ja nicht DMZ nennen, aber einfach ins LAN ist keine gute Empfehlung für jeden.

Bei uns heißt das ganze Zone. Wir haben hunderte Zonen und die die die DCs beherbergen sind sehr aufwändig geschützt.
Dani
Lösung Dani 25.06.2022 um 20:59:47 Uhr
Goto Top
Moin,
Ja dies würde dann aber auch nur 1. lösen, und eben, es müsste ja der Port für LDAP in der Firewall von der DMZ ins LAN geöffnet werden. Dies würde ich eigentlich gerne vermeiden (wenn es geht).
Mit einem Port kommst du nicht. Du wirst dich gleich wundern, wie viele Ports notwendig sind: How to configure a firewall for Active Directory domains and trusts

Vermutlich. Aber da ich nicht sicher bin ob es nicht auch eine Lösung gibt, bei welcher man keine Ports öffnen muss dachte ich, frage mal nett hier nach
Ohne Ports wird keine Lösung funktionieren, wenn die Authentifizierung über das Active Directory im LAN laufen soll.

Sichert man die RODC-Kommunikation dann mit SSL weiter ab oder die Identität des RODC gegenüber der Firewall oder wie wäre das?
Siehe Link von Kollege @Hubert.N. Kurzfassung mit IPSEC.

Also ist es effektiv so, dass für solche Lösungen auch grosse Firmen, in welcher die Admins bei jeder Gelegenheit auch nur "Sicherheit" schreien, dies effektiv auch so machen und wohl oder übel die Ports ins LAN öffnen?
In großen Firmen wird meistens ein dediziertes Active Directory dafür betrieben. Damit verbunden werden alle Server nochmals schärfer konfiguriert (Applocker, Bitlocker, Windows Firewall Rules, lokale Sicherheitsrichtlinien) als bereits im LAN. Zudem wird mit Jump Hosts gearbeitet, so dass die Löcher für die administrative Tätigkeiten so klein wie möglich sind. Letztes könntes du auch ohne eigenes AD abbilden.

1. Jeder Benutzer braucht pro Anwendung einen Zugang, welcher separat gepflegt werden muss. Dies ist sehr umständlich.
2. Auf jedem Server hat man einen separaten Zugang.
Von wie vielen Servern reden wir denn, 10, 40 oder 500?


Gruß,
Dani
ludaku
ludaku 27.06.2022 um 19:37:23 Uhr
Goto Top
Zitat von @Dani:
Moin,
Ja dies würde dann aber auch nur 1. lösen, und eben, es müsste ja der Port für LDAP in der Firewall von der DMZ ins LAN geöffnet werden. Dies würde ich eigentlich gerne vermeiden (wenn es geht).
Mit einem Port kommst du nicht. Du wirst dich gleich wundern, wie viele Ports notwendig sind: How to configure a firewall for Active Directory domains and trusts
Ich hatte da auch nur LDAP für die Anwendungen (1.) im Kopf, und nicht Active Directory (2.).

Also ist es effektiv so, dass für solche Lösungen auch grosse Firmen, in welcher die Admins bei jeder Gelegenheit auch nur "Sicherheit" schreien, dies effektiv auch so machen und wohl oder übel die Ports ins LAN öffnen?
In großen Firmen wird meistens ein dediziertes Active Directory dafür betrieben.
Daran habe ich auch schon gedacht, allerdings lohnt sich das kaum mit nur 3 Anwendungen (1.) und 4 Server.

Von wie vielen Servern reden wir denn, 10, 40 oder 500?
Siehe oben, ist eine ganz kleine Infrastruktur...
Dani
Dani 05.07.2022 um 21:38:50 Uhr
Goto Top
Moin,
Ich hatte da auch nur LDAP für die Anwendungen (1.) im Kopf, und nicht Active Directory (2.).
das würde aber dem Punkt 2) in der Frage wiedersprechen, oder?!

Daran habe ich auch schon gedacht, allerdings lohnt sich das kaum mit nur 3 Anwendungen (1.) und 4 Server.
Siehe oben, ist eine ganz kleine Infrastruktur...
Und von wielen ITler sprechen wir, zwei? Da hast du vermutlich länger an der Frage geschrieben wie die Zeit die du dieses Jahr für die Administration der Accounts investiert hast...


Gruß,
Dani
148523
148523 06.07.2022 um 11:52:34 Uhr
Goto Top
Zeit das der TO den Thread als erledigt schliesst:
Wie kann ich einen Beitrag als gelöst markieren?