Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

DMZ und Internal LAN

Mitglied: ITShark

ITShark (Level 1) - Jetzt verbinden

14.07.2020 um 11:59 Uhr, 440 Aufrufe, 8 Kommentare

Hallo zusammen,

folgendes Szenario.

Diverse Server in einer DMZ (VLAN tagged), die Domain Controller, DNS, PKI Server stehen in dem internen Netz.
Meiner Meinung nach sollten die Server der DMZ, welche auch Mitglieder der Domäne sind, auch die PKI, DCs etc. erreichen dürfen, um die entsprechenden Dienste zu nutzen. Reduziert auf die nötigsten Ports selbstverständlich.

Unsere Netzwerker sind hier allerdings anderer Ansicht und sind der Meinung auf Basis des BSI und KRITIS Regularien ist dies nicht erlaubt.

Was meint Ihr? Wie handhabt ihr solche Anforderungen?

Grüße,
Olli
Mitglied: Tezzla
14.07.2020, aktualisiert um 12:33 Uhr
Moin,

wir handhaben das so:

Für Domänendienste RODC in die DMZ.
Ansonsten haben Server, die in die DMZ gehören, nix im Internen zu suchen - meine Meinung.

VG
Tezzla
Bitte warten ..
Mitglied: Dr.Bit
14.07.2020 um 14:09 Uhr
Zitat von ITShark:

Unsere Netzwerker sind hier allerdings anderer Ansicht und sind der Meinung auf Basis des BSI und KRITIS Regularien ist dies nicht erlaubt.

Richtig. Dafür gibt es eine DMZ, damit kein Zugriff auf das Interne Netz möglich ist.

🖖
Bitte warten ..
Mitglied: rzlbrnft
14.07.2020, aktualisiert um 15:23 Uhr
Ist da ein Exchange?
Ich kenne nicht alle KRITIS Regeln, aber nahezu alles was Exchange tut benötigt Global Catalogue Access. Zumindest bei kumulativen Updates.
Das wäre ein Grund das differenziert zu sehen.

Die PKI kann Sperrlisten auch in Remote Sites replizieren, das wär nicht das Problem.
Man bräuchte da nur einen IIS, der die Dateien aufnimmt und bereitstellt.
Bitte warten ..
Mitglied: ITShark
14.07.2020 um 16:07 Uhr
Alles klar, die Idee mit dem RODC kam mir auch schon. Ich werde mich weiter einlesen Danke allen!
Bitte warten ..
Mitglied: Dani
18.07.2020 um 20:39 Uhr
Moin,
Meiner Meinung nach sollten die Server der DMZ, welche auch Mitglieder der Domäne sind, auch die PKI, DCs etc. erreichen dürfen, um die entsprechenden Dienste zu nutzen. Reduziert auf die nötigsten Ports selbstverständlich.
Server in einer DMZ sollten per Definition nicht Mitglied der Domäne sein. Denn perse sind dies untereinander nicht vertrauenswürdig und schon gar nicht für ein Domain Controller.

Alles klar, die Idee mit dem RODC kam mir auch schon. Ich werde mich weiter einlesen Danke allen!
Ein RODC macht das Ganze nicht besser. Im Gegenteil... die WRDCs müssen nach wie vor erreichbar sein. Änderung von Passwörtern von Benutzer und Computerkonten. Daher bleiben in der Regel alle Server in der DMZ in der Arbeitsgruppe.

Meiner Meinung nach sollten die Server der DMZ, welche auch Mitglieder der Domäne sind, auch die PKI, DCs etc. erreichen dürfen, um die entsprechenden Dienste zu nutzen. Reduziert auf die nötigsten Ports selbstverständlich.
Warum soll dies überhaupt notwendig sein?


Gruß,
Dani
Bitte warten ..
Mitglied: rzlbrnft
22.07.2020 um 09:25 Uhr
Zitat von Dani:
Warum soll dies überhaupt notwendig sein?

Hast du ernsthaft noch nie einen Dienst in der DMZ eingerichtet, der ein Active Directory Konto in irgendeiner Form benutzt?
Bitte warten ..
Mitglied: Dani
22.07.2020, aktualisiert 26.07.2020
Moin,
Hast du ernsthaft noch nie einen Dienst in der DMZ eingerichtet, der ein Active Directory Konto in irgendeiner Form benutzt?
ich sowieso nicht. Nein, das ist bei uns ohne Ausnahme nicht möglich. Bei solchen Anfragen schreiben unsere IT Security Architects oft als abschließend Satz "Broken by Design - Implementation denied." rein.


Gruß,
Dani
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
DMZ hinter LAN?
gelöst Frage von Lars15Netzwerkmanagement8 Kommentare

Hallo, normalerweise wird eine DMZ ja folgendermaßen aufgebaut: WAN>Router1>DMZ>Router2>LAN. Aus organisatorischen Gründen würde ich gerne die Position von LAN ...

Router & Routing
Freigaben aus LAN in DMZ routen
gelöst Frage von EverdtRouter & Routing22 Kommentare

Hallo Zusammen Ich sitze seit Stunden vor einem Problem und vermute, dass ich einen Denkfehler habe oder mir selbst ...

Windows Server
Windows Internal Database verschieben
gelöst Frage von DarkScabsWindows Server6 Kommentare

Hallo Zusammen, ich bin gerade dabei die Windows Internal Database von C nach D zu verschieben. Unser Server ist ...

Netzwerkmanagement

Proxy für den Betrieb in einer DMZ oder im LAN

gelöst Frage von M.MarzNetzwerkmanagement12 Kommentare

Hallo zusammen, wir möchten im Betrieb einen Squid Proxy installieren. Meine Frage ist nun, muss der Proxy in einer ...

Neue Wissensbeiträge
Monitoring

Unabhängiger Ansatz - IoT (frei von Cloud- oder Appzwang) - Hier mit Schaltsteckdosen

Anleitung von beidermachtvongreyscull vor 21 StundenMonitoring1 Kommentar

Tach Kollegen, ich erzähle Euch mal von meiner Ausgangslage und den/m Problem(chen) Ich benutze ein NAS zur Lagerung meiner ...

Microsoft
Microsoft Advanced Threat Protection for Linux
Information von Dani vor 3 TagenMicrosoft

Microsoft Defender Advanced Threat Protection (MD ATP) support for Linux with kernel version 3.10.0-327 or later, including the following ...

Humor (lol)
! ! Today ist SysAdmin-Day ! !
Information von VGem-e vor 4 TagenHumor (lol)5 Kommentare

Moin, "Happy Birthday" an alle Systemadministratoren, Mausschubser, System-/EDV-Betreuer, SysOps etc!! Siehe auch. Edit (Video hinzugefügt): Gruß VGem-e

Exchange Server
Basic Authentication and Exchange Online
Information von Dani vor 6 TagenExchange Server

Today we are pleased to announce some new changes to Modern Authentication controls in the Microsoft 365 Admin Center, ...

Heiß diskutierte Inhalte
Google Android
Handy gehackt ? - Gegemassnahmen
Frage von hushpuppiesGoogle Android26 Kommentare

Hallo zusammen, folgendes Szenario: Kollegin kommt heute zu mir und erzählt, dass ihre Tochter gestern über WhatsApp von einem ...

Google Android
Smartphone - Internes Radio auf Bluetooth Lautsprecher abspielen
Frage von emeriksGoogle Android25 Kommentare

Hi, vielleicht kann ja einer von Euch auch sowas beantworten. Ich habe hier ein Samsung Smartphone - S10 Lite. ...

Cloud-Dienste
Cisco 8841 - Enter activation code
gelöst Frage von c0d3.r3dCloud-Dienste21 Kommentare

Guten Morgen, ich habe gerade von einem Mitarbeiter den Hinweis bekommen, dass sein Telefon (Cisco 8841) einen Welcome-Screen mit ...

Windows Server
DCPromo bleibt bei Migration Server 2008R2 auf 2016 hängen
gelöst Frage von Leo-leWindows Server20 Kommentare

Hallo Forum, wir sind gerade dabei, unsere beiden DCs auf Server 2016 zu migrieren. Aktuell hängt der zusätzlich ins ...

Weniger Werbung?
Administrator Magazin
07 | 2020 In der Juli-Ausgabe beleuchtet das IT-Administrator Magazin den Themenschwerpunkt "Monitoring & Support". Darin zeigt die Redaktion unter anderem, wie Sie die Leistung von Terminalservern im Blick behalten und welche Neuerungen das Ticketsystem OTRS 8 mitbringt. Auch die Überwachung von USV-Anlagen darf nicht fehlen. In ...