itshark
Goto Top

DMZ und Internal LAN

Hallo zusammen,

folgendes Szenario.

Diverse Server in einer DMZ (VLAN tagged), die Domain Controller, DNS, PKI Server stehen in dem internen Netz.
Meiner Meinung nach sollten die Server der DMZ, welche auch Mitglieder der Domäne sind, auch die PKI, DCs etc. erreichen dürfen, um die entsprechenden Dienste zu nutzen. Reduziert auf die nötigsten Ports selbstverständlich.

Unsere Netzwerker sind hier allerdings anderer Ansicht und sind der Meinung auf Basis des BSI und KRITIS Regularien ist dies nicht erlaubt.

Was meint Ihr? Wie handhabt ihr solche Anforderungen?

Grüße,
Olli

Content-Key: 587409

Url: https://administrator.de/contentid/587409

Printed on: May 21, 2024 at 10:05 o'clock

Member: Tezzla
Tezzla Jul 14, 2020 updated at 10:33:43 (UTC)
Goto Top
Moin,

wir handhaben das so:

Für Domänendienste RODC in die DMZ.
Ansonsten haben Server, die in die DMZ gehören, nix im Internen zu suchen - meine Meinung.

VG
Tezzla
Member: em-pie
em-pie Jul 14, 2020 at 10:46:46 (UTC)
Goto Top
Member: Dr.Bit
Dr.Bit Jul 14, 2020 at 12:09:46 (UTC)
Goto Top
Zitat von @ITShark:

Unsere Netzwerker sind hier allerdings anderer Ansicht und sind der Meinung auf Basis des BSI und KRITIS Regularien ist dies nicht erlaubt.

Richtig. Dafür gibt es eine DMZ, damit kein Zugriff auf das Interne Netz möglich ist.

đź––
Member: rzlbrnft
rzlbrnft Jul 14, 2020 updated at 13:23:44 (UTC)
Goto Top
Ist da ein Exchange?
Ich kenne nicht alle KRITIS Regeln, aber nahezu alles was Exchange tut benötigt Global Catalogue Access. Zumindest bei kumulativen Updates.
Das wäre ein Grund das differenziert zu sehen.

Die PKI kann Sperrlisten auch in Remote Sites replizieren, das wär nicht das Problem.
Man bräuchte da nur einen IIS, der die Dateien aufnimmt und bereitstellt.
Member: ITShark
ITShark Jul 14, 2020 at 14:07:36 (UTC)
Goto Top
Alles klar, die Idee mit dem RODC kam mir auch schon. Ich werde mich weiter einlesen face-smile Danke allen!
Member: Dani
Dani Jul 18, 2020 at 18:39:27 (UTC)
Goto Top
Moin,
Meiner Meinung nach sollten die Server der DMZ, welche auch Mitglieder der Domäne sind, auch die PKI, DCs etc. erreichen dürfen, um die entsprechenden Dienste zu nutzen. Reduziert auf die nötigsten Ports selbstverständlich.
Server in einer DMZ sollten per Definition nicht Mitglied der Domäne sein. Denn perse sind dies untereinander nicht vertrauenswürdig und schon gar nicht für ein Domain Controller.

Alles klar, die Idee mit dem RODC kam mir auch schon. Ich werde mich weiter einlesen Danke allen!
Ein RODC macht das Ganze nicht besser. Im Gegenteil... die WRDCs müssen nach wie vor erreichbar sein. Änderung von Passwörtern von Benutzer und Computerkonten. Daher bleiben in der Regel alle Server in der DMZ in der Arbeitsgruppe.

Meiner Meinung nach sollten die Server der DMZ, welche auch Mitglieder der Domäne sind, auch die PKI, DCs etc. erreichen dürfen, um die entsprechenden Dienste zu nutzen. Reduziert auf die nötigsten Ports selbstverständlich.
Warum soll dies überhaupt notwendig sein?


Gruß,
Dani
Member: rzlbrnft
rzlbrnft Jul 22, 2020 at 07:25:01 (UTC)
Goto Top
Zitat von @Dani:
Warum soll dies überhaupt notwendig sein?

Hast du ernsthaft noch nie einen Dienst in der DMZ eingerichtet, der ein Active Directory Konto in irgendeiner Form benutzt?
Member: Dani
Dani Jul 22, 2020, updated at Oct 18, 2020 at 18:24:49 (UTC)
Goto Top
Moin,
Hast du ernsthaft noch nie einen Dienst in der DMZ eingerichtet, der ein Active Directory Konto in irgendeiner Form benutzt?
ich sowieso nicht. face-wink Nein, das ist bei uns ohne Ausnahme nicht möglich. Bei solchen Anfragen schreiben unsere IT Security Architects abschließend den Satz "Broken by Design - Implementation denied." rein.


Gruß,
Dani