otto1699
Goto Top

Client im inHouse DMZ in die Domäne oder nicht

Hallo,
ich habe eine inHouse DMZ, sprich ein extra LAN in einem anderen Gebäude, welches von "normalen" LAN abgeschirmt werden soll.

Nun stellt sich die Frage nimmt man die Clients in die Domäne auf und öffnet die Ports?

Welchen Schaden kann ein Mitarbeiter mit seinem eigenen Laptop (angeschlossen in dem inHouse DMZ) anrichten?
AD-Daten auslesen und Administrator Zugriff versuchen zu bekommen? usw...

Die Wahrscheinlichkeit ist sicher sehr klein im Verhältnis einer DMZ die vom Internet zu erreichen ist.


Was meinst Ihr?

Gruß Otto

Content-ID: 296303

Url: https://administrator.de/forum/client-im-inhouse-dmz-in-die-domaene-oder-nicht-296303.html

Ausgedruckt am: 23.12.2024 um 23:12 Uhr

Dani
Dani 15.02.2016 um 11:35:15 Uhr
Goto Top
Moin,
was soll der Mitarbeiter in der DMZ mit seinem Notebook machen? Warum willst du sein privates Notebook in die Domäne aufnehmen?


Gruß,
Dani
Otto1699
Otto1699 15.02.2016 um 11:45:39 Uhr
Goto Top
Hi Dani,

nee, nee. Nicht den Laptop in die Domäne.

Mein Gedanke ist: Ich habe da ein Gebäude mit einem LAN, wo ich nicht "sehe" wer sich da physikalisch verbindet.
Also Mitarbeiter hängt sein Laptop ins LAN und macht ein PortScan und findet offene Ports zur AD.

Kann er dann die AD auslesen und einen Angriff starten?


Gruß Otto
117643
117643 15.02.2016 um 12:28:39 Uhr
Goto Top
kommt drauf an was deine ad alles an infos preis gibt.
Was sind das für Clients? Lässtes sich vermeiden dass diese in die Domäne müssen oder reicht es beispielsweise auch
wenn diese einmal pro Quartal oder ähnliches mit der Domäne abgegliechen werden(dann müsstestdu auch keinen port öffnen)?

Und gibt es gäste in diesem anderen netz? Sonst könntest du die Switchports auch auf eure MAC´s begrenzen
emeriks
emeriks 15.02.2016 um 13:19:20 Uhr
Goto Top
Hi,
ich wäre erstmal dafür, dass wir hier den Begriff DMZ streichen. Eine DMZ ist definitiv kein Netzwerk, an welchem sich mal schnell jemand anstöpseln kann.
Zweitens muss doch dieses Netzt irgendeine klar definierte Daseinsberechtigung haben, sprich muss Anforderungen erfüllen. Welche sind das?
Davon abhängig könnte man dann beantworten, ob es Sinn macht oder gar erforderlich ist, einen in diesem Subnetz operierenden Computer in eine interne Domäne aufzunehmen.
Theoretisch liefert die Mitgliedschaft eines Computers zu einer Domäne die halbe Miete für eine Brute Force Attack. Man kann die Domäne und ggf. die entsprechend vertrauten Domänen abfragen und so schon mal die Loginnamen auslesen.

E.
MartinStrasser
MartinStrasser 15.02.2016 um 19:04:24 Uhr
Goto Top
Hallo,

mit Portbased-Security (802.1x) könntest Du vermeiden, dass fremde Geräte in Dein Netzwerk kommen.

Ob es jetzt einen Unterschied für einen Angreifer macht, ob er jetzt im Haupthaus oder Nebenhais sitzt ist glaub ich nebensächlich.

Die Ports bzw. Dienste für Active Directory müssen für den Client ja eh immer erreichbar sein, da sonst ja nichts mehr funktioniert.

Was man machen man, Server hinter einer Firewall platzieren und gewisse Dienste (RDP, etc.) die nur einem bestimmten Nutzerkreis zur Verfügung gestellt werden, explizit freischalten.

Gruß
117471
117471 15.02.2016 um 20:45:37 Uhr
Goto Top
Die Frage lautet doch eher: Warum sind die Netze überhaupt miteinander verbunden?!?

Geht es da nur um den Internetzugriff oder den Zugriff auf einen Fileserver oder warum?