6
Client im inHouse DMZ in die Domäne oder nicht
Hallo,
ich habe eine inHouse DMZ, sprich ein extra LAN in einem anderen Gebäude, welches von "normalen" LAN abgeschirmt werden soll.
Nun stellt sich die Frage nimmt man die Clients in die Domäne auf und öffnet die Ports?
Welchen Schaden kann ein Mitarbeiter mit seinem eigenen Laptop (angeschlossen in dem inHouse DMZ) anrichten?
AD-Daten auslesen und Administrator Zugriff versuchen zu bekommen? usw...
Die Wahrscheinlichkeit ist sicher sehr klein im Verhältnis einer DMZ die vom Internet zu erreichen ist.
Was meinst Ihr?
Gruß Otto
ich habe eine inHouse DMZ, sprich ein extra LAN in einem anderen Gebäude, welches von "normalen" LAN abgeschirmt werden soll.
Nun stellt sich die Frage nimmt man die Clients in die Domäne auf und öffnet die Ports?
Welchen Schaden kann ein Mitarbeiter mit seinem eigenen Laptop (angeschlossen in dem inHouse DMZ) anrichten?
AD-Daten auslesen und Administrator Zugriff versuchen zu bekommen? usw...
Die Wahrscheinlichkeit ist sicher sehr klein im Verhältnis einer DMZ die vom Internet zu erreichen ist.
Was meinst Ihr?
Gruß Otto
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 296303
Url: https://administrator.de/contentid/296303
Ausgedruckt am: 22.11.2024 um 18:11 Uhr
6 Kommentare
Neuester Kommentar
Moin,
was soll der Mitarbeiter in der DMZ mit seinem Notebook machen? Warum willst du sein privates Notebook in die Domäne aufnehmen?
Gruß,
Dani
was soll der Mitarbeiter in der DMZ mit seinem Notebook machen? Warum willst du sein privates Notebook in die Domäne aufnehmen?
Gruß,
Dani
Hi Dani,
nee, nee. Nicht den Laptop in die Domäne.
Mein Gedanke ist: Ich habe da ein Gebäude mit einem LAN, wo ich nicht "sehe" wer sich da physikalisch verbindet.
Also Mitarbeiter hängt sein Laptop ins LAN und macht ein PortScan und findet offene Ports zur AD.
Kann er dann die AD auslesen und einen Angriff starten?
Gruß Otto
nee, nee. Nicht den Laptop in die Domäne.
Mein Gedanke ist: Ich habe da ein Gebäude mit einem LAN, wo ich nicht "sehe" wer sich da physikalisch verbindet.
Also Mitarbeiter hängt sein Laptop ins LAN und macht ein PortScan und findet offene Ports zur AD.
Kann er dann die AD auslesen und einen Angriff starten?
Gruß Otto
kommt drauf an was deine ad alles an infos preis gibt.
Was sind das für Clients? Lässtes sich vermeiden dass diese in die Domäne müssen oder reicht es beispielsweise auch
wenn diese einmal pro Quartal oder ähnliches mit der Domäne abgegliechen werden(dann müsstestdu auch keinen port öffnen)?
Und gibt es gäste in diesem anderen netz? Sonst könntest du die Switchports auch auf eure MAC´s begrenzen
Was sind das für Clients? Lässtes sich vermeiden dass diese in die Domäne müssen oder reicht es beispielsweise auch
wenn diese einmal pro Quartal oder ähnliches mit der Domäne abgegliechen werden(dann müsstestdu auch keinen port öffnen)?
Und gibt es gäste in diesem anderen netz? Sonst könntest du die Switchports auch auf eure MAC´s begrenzen
Hi,
ich wäre erstmal dafür, dass wir hier den Begriff DMZ streichen. Eine DMZ ist definitiv kein Netzwerk, an welchem sich mal schnell jemand anstöpseln kann.
Zweitens muss doch dieses Netzt irgendeine klar definierte Daseinsberechtigung haben, sprich muss Anforderungen erfüllen. Welche sind das?
Davon abhängig könnte man dann beantworten, ob es Sinn macht oder gar erforderlich ist, einen in diesem Subnetz operierenden Computer in eine interne Domäne aufzunehmen.
Theoretisch liefert die Mitgliedschaft eines Computers zu einer Domäne die halbe Miete für eine Brute Force Attack. Man kann die Domäne und ggf. die entsprechend vertrauten Domänen abfragen und so schon mal die Loginnamen auslesen.
E.
ich wäre erstmal dafür, dass wir hier den Begriff DMZ streichen. Eine DMZ ist definitiv kein Netzwerk, an welchem sich mal schnell jemand anstöpseln kann.
Zweitens muss doch dieses Netzt irgendeine klar definierte Daseinsberechtigung haben, sprich muss Anforderungen erfüllen. Welche sind das?
Davon abhängig könnte man dann beantworten, ob es Sinn macht oder gar erforderlich ist, einen in diesem Subnetz operierenden Computer in eine interne Domäne aufzunehmen.
Theoretisch liefert die Mitgliedschaft eines Computers zu einer Domäne die halbe Miete für eine Brute Force Attack. Man kann die Domäne und ggf. die entsprechend vertrauten Domänen abfragen und so schon mal die Loginnamen auslesen.
E.
Hallo,
mit Portbased-Security (802.1x) könntest Du vermeiden, dass fremde Geräte in Dein Netzwerk kommen.
Ob es jetzt einen Unterschied für einen Angreifer macht, ob er jetzt im Haupthaus oder Nebenhais sitzt ist glaub ich nebensächlich.
Die Ports bzw. Dienste für Active Directory müssen für den Client ja eh immer erreichbar sein, da sonst ja nichts mehr funktioniert.
Was man machen man, Server hinter einer Firewall platzieren und gewisse Dienste (RDP, etc.) die nur einem bestimmten Nutzerkreis zur Verfügung gestellt werden, explizit freischalten.
Gruß
mit Portbased-Security (802.1x) könntest Du vermeiden, dass fremde Geräte in Dein Netzwerk kommen.
Ob es jetzt einen Unterschied für einen Angreifer macht, ob er jetzt im Haupthaus oder Nebenhais sitzt ist glaub ich nebensächlich.
Die Ports bzw. Dienste für Active Directory müssen für den Client ja eh immer erreichbar sein, da sonst ja nichts mehr funktioniert.
Was man machen man, Server hinter einer Firewall platzieren und gewisse Dienste (RDP, etc.) die nur einem bestimmten Nutzerkreis zur Verfügung gestellt werden, explizit freischalten.
Gruß
Die Frage lautet doch eher: Warum sind die Netze überhaupt miteinander verbunden?!?
Geht es da nur um den Internetzugriff oder den Zugriff auf einen Fileserver oder warum?
Geht es da nur um den Internetzugriff oder den Zugriff auf einen Fileserver oder warum?
