8
DMZ und die Sicherheit in der DMZ mit Zugriff auf LDAP
Mahlzeit zusammen,
ihr habt doch sicher auch alle eine DMZ für Webserver etc in euren Unternehmen. Wie sichert ihr den Zugriff in der DMZ gegenseitig denn ab? Also wenn quasi ein Server "gehackt" wird, sollte der Angreifer ja nicht gleich zugriff auf die komplette DMZ haben. Ich habe das bei uns mit einem private VLAN gelöst, heißt jeder traffic muss erst übers Gateway. Dort sind entsprechende Regeln, die den Zugriff verbieten. Kann man das als "sicher" betrachten?
Hat jemand eine Applikation in der DMZ, welche LDAP benötigt? Ich würde gerne einem Webdienst unsere LDAP User zu Verfügung stellen.... einfach einen Port in Richtung Servernetz öffnen?! Neeee nicht wirklich. bzw. nur ungerne. LDAP Proxy in der DMZ? Dazu muss ja auch ein Port auf.
Evtl. eine LDAP readonly Instanz in der DMZ? Dann habe ich ja alle Informationen in der DMZ liegen.... auch nicht gut. Zudem muss sich diese Instanz ja auch irgendwie synchronisieren.... Kann man sicher jetzt drüber streiten welches der sinnvollste weg mit den wenigsten Risiken ist...
Mich würde einmal interessieren, wie ihr so etwas gelöst habt.
Daaaankeeee
ihr habt doch sicher auch alle eine DMZ für Webserver etc in euren Unternehmen. Wie sichert ihr den Zugriff in der DMZ gegenseitig denn ab? Also wenn quasi ein Server "gehackt" wird, sollte der Angreifer ja nicht gleich zugriff auf die komplette DMZ haben. Ich habe das bei uns mit einem private VLAN gelöst, heißt jeder traffic muss erst übers Gateway. Dort sind entsprechende Regeln, die den Zugriff verbieten. Kann man das als "sicher" betrachten?
Hat jemand eine Applikation in der DMZ, welche LDAP benötigt? Ich würde gerne einem Webdienst unsere LDAP User zu Verfügung stellen.... einfach einen Port in Richtung Servernetz öffnen?! Neeee nicht wirklich. bzw. nur ungerne. LDAP Proxy in der DMZ? Dazu muss ja auch ein Port auf.
Evtl. eine LDAP readonly Instanz in der DMZ? Dann habe ich ja alle Informationen in der DMZ liegen.... auch nicht gut. Zudem muss sich diese Instanz ja auch irgendwie synchronisieren.... Kann man sicher jetzt drüber streiten welches der sinnvollste weg mit den wenigsten Risiken ist...Mich würde einmal interessieren, wie ihr so etwas gelöst habt.
Daaaankeeee
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 366266
Url: https://administrator.de/contentid/366266
Printed on: April 18, 2024 at 06:04 o'clock
8 Comments
Latest comment
Bin mal gespannt auf Antworten. Über ein Active Directory in der DMZ habe ich auch schon nachgedacht und bin über die selben Probleme gestolpert.
Mahlzeit.
Was sind denn die Anforderungen? Soll das LDAP in der DMZ auch authentifizieren? Sollen nur User-/Kontaktedaten etc. bereitgestellt werden?
Grundsätzlich sollte man vermeiden von der DMZ ins LAN zu gehen, vom LAN in die DMZ ist aber kein Problem.
In der DMZ sollten zudem nur Daten liegen deren Verlust bzw. Kompromittierung kein bzw nur ein kleines Problem ist.
Was sind denn die Anforderungen? Soll das LDAP in der DMZ auch authentifizieren? Sollen nur User-/Kontaktedaten etc. bereitgestellt werden?
Grundsätzlich sollte man vermeiden von der DMZ ins LAN zu gehen, vom LAN in die DMZ ist aber kein Problem.
In der DMZ sollten zudem nur Daten liegen deren Verlust bzw. Kompromittierung kein bzw nur ein kleines Problem ist.
Hi,
ja es geht eigentlich zunächst primär nur um die Authentifizierung. Mein Wunsch wäre ja eine Art Sync in Richtung DMZ aus dem LAN. Dann halte ich aber evtl wieder informationen in der DMZ die ich dort gar nicht halten möchte
Bei einem Proxy müsste ich ja wieder den Zugriff aus der DMZ Freigeben. Möglichkeiten der Umsetzung gibt es sicher einige, ich hätte aber gerne eine sichere Lösung ohne Kopfschmerzen
ja es geht eigentlich zunächst primär nur um die Authentifizierung. Mein Wunsch wäre ja eine Art Sync in Richtung DMZ aus dem LAN. Dann halte ich aber evtl wieder informationen in der DMZ die ich dort gar nicht halten möchte
Bei einem Proxy müsste ich ja wieder den Zugriff aus der DMZ Freigeben. Möglichkeiten der Umsetzung gibt es sicher einige, ich hätte aber gerne eine sichere Lösung ohne Kopfschmerzen
Handelt es sich bei deinem LDAP um ein Active Directory, dann schau dir doch mal einen Read only Domain Controller (RODC) mal an, da wird nur lesen darauf zugegriffen.
Hey,
ja es ist ein Active Directory. Die Idee hatte ich auch schon, Problem ist nur, dann halte ich ja mein komplettes AD in der DMZ. Ich weiß nicht, ob die Idee so gut ist Zugegebenrmaßen habe ich mir auch noch nicht angeschaut, wie der RDOC synchronisiert, ob aus dem LAN von einem vollwertigen DC "gepushed" wird oder ob der RDOC aus der DMZ "pulled". Ich schaue mir das Szenario einmal an, wenn aus dem LAN "gepushed" wird, könnte ich vielleicht sogar mit dieser Lösung leben. Im Zweifel gelangt halt jemand an unsere kompletten AD Daten. Davon hat er zwar noch keine Passwörter, aber ganz wohl ist mir bei dem Gefühl auch noch nicht.
ja es ist ein Active Directory. Die Idee hatte ich auch schon, Problem ist nur, dann halte ich ja mein komplettes AD in der DMZ. Ich weiß nicht, ob die Idee so gut ist
Zugegebenrmaßen habe ich mir auch noch nicht angeschaut, wie der RDOC synchronisiert, ob aus dem LAN von einem vollwertigen DC "gepushed" wird oder ob der RDOC aus der DMZ "pulled". Ich schaue mir das Szenario einmal an, wenn aus dem LAN "gepushed" wird, könnte ich vielleicht sogar mit dieser Lösung leben. Im Zweifel gelangt halt jemand an unsere kompletten AD Daten. Davon hat er zwar noch keine Passwörter, aber ganz wohl ist mir bei dem Gefühl auch noch nicht.
Hallo Marco,
du solltest dich wirklich mal mit dem RODC beschäftigen. Du mußt nicht das ganze AD dort spiegeln sondern einzelne Gruppen oder Benutzer etc. Das kannst du sehr fein einstellen. Auch bei Verlust eines RODC gibt es diverse Möglichkeiten was zu tun ist.
du solltest dich wirklich mal mit dem RODC beschäftigen. Du mußt nicht das ganze AD dort spiegeln sondern einzelne Gruppen oder Benutzer etc. Das kannst du sehr fein einstellen. Auch bei Verlust eines RODC gibt es diverse Möglichkeiten was zu tun ist.
Ja, das scheint mir auch die passende config für Dich zu sein. Du kannst dem RODC auch so konfigurieren das der die Kennwörter cached.
Allerdings muss so ein RODC natürlich mit einem DC im LAN kommunizieren. Ein paar Tips dazu findest Du hier
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
Ebenfalls ganz nett:
http://www.itprotoday.com/windows-8/configure-credential-caching-rodc-w ...
Wichtig ist bei alldem jedoch das Du die Logs der Server im Auge behälst und über geeignete Mechanismen und Settings Brute-Force Attacken etc. vermeidest bzw. erschwerst und alarmiert wirst.
Ich würde auch dringend dazu raten die Logons auszuwerten und auf ungewöhnliche Logons zu achten (Meldet sich die Sekretärin plötzlich häufiger aus Pakistan aus an?
Für Anmeldungen mit Anmeldedaten aus dem internen LAN die über WAN kommen, egal ob DMZ oder nicht, würde ich ausserdem immer eine Zweifaktorauthentifizierung implementieren, wenn möglich.
Allerdings muss so ein RODC natürlich mit einem DC im LAN kommunizieren. Ein paar Tips dazu findest Du hier
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
Ebenfalls ganz nett:
http://www.itprotoday.com/windows-8/configure-credential-caching-rodc-w ...
Wichtig ist bei alldem jedoch das Du die Logs der Server im Auge behälst und über geeignete Mechanismen und Settings Brute-Force Attacken etc. vermeidest bzw. erschwerst und alarmiert wirst.
Ich würde auch dringend dazu raten die Logons auszuwerten und auf ungewöhnliche Logons zu achten (Meldet sich die Sekretärin plötzlich häufiger aus Pakistan aus an?
Für Anmeldungen mit Anmeldedaten aus dem internen LAN die über WAN kommen, egal ob DMZ oder nicht, würde ich ausserdem immer eine Zweifaktorauthentifizierung implementieren, wenn möglich.
Guten Abend zusammen,
ihr solltet dringend nachlesen, wie ein RODC funktioniert. Sonst wüsstet ihr, dass erstmal das komplette Active Directory repliziert wird mit Ausnahme der Passwörter.
Falls du trotzdem einen RODC in die DMZ stellen möchtest, ist der Blogartikel von Microsoft schon mal ein guter Anfang. Zum Thema Vorteile/Nachteile hat ein Kollege ebenfalls einen Artikel verfasst. Ist ebenfalls interessant für dein Vorhaben.
Kann deine Webapplikation mit SAML umgehen? Dann wäre Microsoft ADFS und der dazugehörige Microsoft WAP die richtige Wahl. Der ADFS-Server steht im LAN und ist in der Domäne. Der WAP-Server steht als Workgroup in der DMZ. Zwischen beide wird eingesicherte Verbindung über Zertifikate aufgebaut.
Gruß,
Dani
ihr solltet dringend nachlesen, wie ein RODC funktioniert. Sonst wüsstet ihr, dass erstmal das komplette Active Directory repliziert wird mit Ausnahme der Passwörter.
- Über eine Policy bzw. Gruppe kann festgelegt werden, welche Passwörter gecached werden sollen. Dabei bitte zwischen Benutzer und Computerkonten untescheiden.
- Ist gerade kein WRDC erreichbar und das Passwort ist nicht im Cache ist eine Anmeldung nicht möglich.
- Muss ein Benutzer sein Passwort ändern, so führt dies nicht der RODC durch sondern die Anfrage wird an einem WRDC weitergereicht.
- Standardmäßig kann jeder Benutzer erstmal Informationen im Active Directory abrufen. Zum Teil sogar anonym. Da hast du ruckzuck den Datenschutzbeauftragten am Hals.
- Ruckzuck hast du mehr Ports offen, als dir lieb ist. Das Ganze ist nicht ganz trivial.
Falls du trotzdem einen RODC in die DMZ stellen möchtest, ist der Blogartikel von Microsoft schon mal ein guter Anfang. Zum Thema Vorteile/Nachteile hat ein Kollege ebenfalls einen Artikel verfasst. Ist ebenfalls interessant für dein Vorhaben.
Kann deine Webapplikation mit SAML umgehen? Dann wäre Microsoft ADFS und der dazugehörige Microsoft WAP die richtige Wahl. Der ADFS-Server steht im LAN und ist in der Domäne. Der WAP-Server steht als Workgroup in der DMZ. Zwischen beide wird eingesicherte Verbindung über Zertifikate aufgebaut.
Gruß,
Dani
1