8
DMZ und Internal LAN
Hallo zusammen,
folgendes Szenario.
Diverse Server in einer DMZ (VLAN tagged), die Domain Controller, DNS, PKI Server stehen in dem internen Netz.
Meiner Meinung nach sollten die Server der DMZ, welche auch Mitglieder der Domäne sind, auch die PKI, DCs etc. erreichen dürfen, um die entsprechenden Dienste zu nutzen. Reduziert auf die nötigsten Ports selbstverständlich.
Unsere Netzwerker sind hier allerdings anderer Ansicht und sind der Meinung auf Basis des BSI und KRITIS Regularien ist dies nicht erlaubt.
Was meint Ihr? Wie handhabt ihr solche Anforderungen?
Grüße,
Olli
folgendes Szenario.
Diverse Server in einer DMZ (VLAN tagged), die Domain Controller, DNS, PKI Server stehen in dem internen Netz.
Meiner Meinung nach sollten die Server der DMZ, welche auch Mitglieder der Domäne sind, auch die PKI, DCs etc. erreichen dürfen, um die entsprechenden Dienste zu nutzen. Reduziert auf die nötigsten Ports selbstverständlich.
Unsere Netzwerker sind hier allerdings anderer Ansicht und sind der Meinung auf Basis des BSI und KRITIS Regularien ist dies nicht erlaubt.
Was meint Ihr? Wie handhabt ihr solche Anforderungen?
Grüße,
Olli
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 587409
Url: https://administrator.de/contentid/587409
Ausgedruckt am: 26.11.2024 um 04:11 Uhr
8 Kommentare
Neuester Kommentar
Moin,
wir handhaben das so:
Für Domänendienste RODC in die DMZ.
Ansonsten haben Server, die in die DMZ gehören, nix im Internen zu suchen - meine Meinung.
VG
Tezzla
wir handhaben das so:
Für Domänendienste RODC in die DMZ.
Ansonsten haben Server, die in die DMZ gehören, nix im Internen zu suchen - meine Meinung.
VG
Tezzla
Moin,
ich würde mich mal hier einlesen:
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
https://eichelsbacher.de/single-sign-on-dmz-rodc-firewall/#:~:text=Siche ....
Gruß
em-pie
ich würde mich mal hier einlesen:
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
https://eichelsbacher.de/single-sign-on-dmz-rodc-firewall/#:~:text=Siche ....
Gruß
em-pie
Zitat von @ITShark:
Unsere Netzwerker sind hier allerdings anderer Ansicht und sind der Meinung auf Basis des BSI und KRITIS Regularien ist dies nicht erlaubt.
Richtig. Dafür gibt es eine DMZ, damit kein Zugriff auf das Interne Netz möglich ist.Unsere Netzwerker sind hier allerdings anderer Ansicht und sind der Meinung auf Basis des BSI und KRITIS Regularien ist dies nicht erlaubt.
🖖
Ist da ein Exchange?
Ich kenne nicht alle KRITIS Regeln, aber nahezu alles was Exchange tut benötigt Global Catalogue Access. Zumindest bei kumulativen Updates.
Das wäre ein Grund das differenziert zu sehen.
Die PKI kann Sperrlisten auch in Remote Sites replizieren, das wär nicht das Problem.
Man bräuchte da nur einen IIS, der die Dateien aufnimmt und bereitstellt.
Ich kenne nicht alle KRITIS Regeln, aber nahezu alles was Exchange tut benötigt Global Catalogue Access. Zumindest bei kumulativen Updates.
Das wäre ein Grund das differenziert zu sehen.
Die PKI kann Sperrlisten auch in Remote Sites replizieren, das wär nicht das Problem.
Man bräuchte da nur einen IIS, der die Dateien aufnimmt und bereitstellt.
Alles klar, die Idee mit dem RODC kam mir auch schon. Ich werde mich weiter einlesen 
Danke allen!
Danke allen!
Moin,
Gruß,
Dani
Meiner Meinung nach sollten die Server der DMZ, welche auch Mitglieder der Domäne sind, auch die PKI, DCs etc. erreichen dürfen, um die entsprechenden Dienste zu nutzen. Reduziert auf die nötigsten Ports selbstverständlich.
Server in einer DMZ sollten per Definition nicht Mitglied der Domäne sein. Denn perse sind dies untereinander nicht vertrauenswürdig und schon gar nicht für ein Domain Controller.Alles klar, die Idee mit dem RODC kam mir auch schon. Ich werde mich weiter einlesen Danke allen!
Ein RODC macht das Ganze nicht besser. Im Gegenteil... die WRDCs müssen nach wie vor erreichbar sein. Änderung von Passwörtern von Benutzer und Computerkonten. Daher bleiben in der Regel alle Server in der DMZ in der Arbeitsgruppe.Meiner Meinung nach sollten die Server der DMZ, welche auch Mitglieder der Domäne sind, auch die PKI, DCs etc. erreichen dürfen, um die entsprechenden Dienste zu nutzen. Reduziert auf die nötigsten Ports selbstverständlich.
Warum soll dies überhaupt notwendig sein?Gruß,
Dani
Hast du ernsthaft noch nie einen Dienst in der DMZ eingerichtet, der ein Active Directory Konto in irgendeiner Form benutzt?
Moin,
Nein, das ist bei uns ohne Ausnahme nicht möglich. Bei solchen Anfragen schreiben unsere IT Security Architects abschließend den Satz "Broken by Design - Implementation denied." rein.
Gruß,
Dani
Hast du ernsthaft noch nie einen Dienst in der DMZ eingerichtet, der ein Active Directory Konto in irgendeiner Form benutzt?
ich sowieso nicht. Nein, das ist bei uns ohne Ausnahme nicht möglich. Bei solchen Anfragen schreiben unsere IT Security Architects abschließend den Satz "Broken by Design - Implementation denied." rein.Gruß,
Dani
