Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Domänen Authentifizierung über Internet

Mitglied: 131993

131993 (Level 1)

04.01.2017, aktualisiert 13:38 Uhr, 1133 Aufrufe, 11 Kommentare

Hallo,

ich stehe aktuell vor einem Problem. Ich bin auf der suche nach einem Sicheren Weg wie sich meine Clients vom Internet aus über das Internet (ohne VPN) mit der Domäne zur Authentifizierung, Kennwort Änderung und Group Policy Aktualisierung verbinden können.
Ein weg auf den ich bis jetzt gestoßen bin währe dem Domain Controller eine Öffentliche IPv4 (und ggf. IPv6; NAT wird von MS ja nicht supported) zuzuweisen (Wir haben einen größeren Pool zur Verfügung) und anschließend Kerberos über die HW-Firewall (Zwecks IPSec Authentifizierung) erlauben + IPSec auf der Windows Firewall für LDAP, GC, SMB over IP, RPC und DNS konfigurieren.

Ist das ein gangbarer weg, oder würdet ihr das anders umsetzen?
Ziel ist es zukünftig ohne VPN (manueller Verbindungsaufbau mit User Authentifizierung) eine Verbindung herzustellen (bzw. Gruppenrichtlinien Updates, Kennwort Änderungen, Kerberos Authentifizierung für div. Server) und die Geräte besser verwalten zu können ohne die Sicherheit zu kompromittieren.

- EditorialBagPipe
Mitglied: 131381
04.01.2017, aktualisiert um 13:39 Uhr
Hi.
DirectAccess verwenden. Das läuft transparent auf Port 443.
Ein weg auf den ich bis jetzt gestoßen bin währe dem Domain Controller eine Öffentliche IPv4 (und ggf. IPv6; NAT wird von MS ja nicht supported) zuzuweisen
Um Gottes Willen, bloß nicht.

Gruß mik
Bitte warten ..
Mitglied: 131993
04.01.2017, aktualisiert um 13:40 Uhr
Um Gottes Willen, bloß nicht.
Wieso? Kerberos ist für unsichere Umgebungen ausgelegt und der Rest wäre IPSec verschlüsselt...
Außerdem währe ja trotzdem noch eine Firewall dazwischen.
Bitte warten ..
Mitglied: Pjordorf
04.01.2017 um 13:39 Uhr
Hallo,

Zitat von 131993:
Ein weg auf den ich bis jetzt gestoßen bin währe dem Domain Controller eine Öffentliche IPv4 (und ggf. IPv6; NAT wird von MS ja nicht supported) zuzuweisen (Wir haben einen größeren Pool zur Verfügung) und anschließend Kerberos über die HW-Firewall (Zwecks IPSec Authentifizierung) erlauben + IPSec auf der Windows Firewall für LDAP, GC, SMB over IP, RPC und DNS konfigurieren.
Da werden sich aber viele dann freuen, und du kennst die noch nicht einmal.... Wahnsinn
Direct Access? oder VPN...

Gruß,
Peter
Bitte warten ..
Mitglied: 131381
04.01.2017, aktualisiert um 13:46 Uhr
Nun ich will nicht alle DDoSe direkt am DC abfackeln müssen. Ein DC kommt niemals direkt per Port-Forward ans Netz auch wenn da eine HW-Firewall davor steht.

DirectAccess ist hier unter Windows das Mittel der Wahl wenn kein VPN gewünscht ist.
Bitte warten ..
Mitglied: 131993
04.01.2017, aktualisiert um 13:48 Uhr
Zitat von Pjordorf:
Da werden sich aber viele dann freuen, und du kennst die noch nicht einmal.... Wahnsinn
Kannst du mir erklären, wie hier jemand fremdes Zugriff erhalten sollte?
Kerberos ist ja auch über unsichere Netze Sicher und der Rest ist ja mittels IPSec Authentifiziert (Kerberos) und Verschlüsselt. Also habe ich ja genauso wie bei VPN einen Verschlüsselte und Authentifizierte Verbindung.
Ist ja fast das gleiche wie VPN mittels L2TP over IPSec, oder nicht?
Direct Access? oder VPN...
Muss ich mir ansehen.

Es würde mich aber dennoch interessieren, wieso das von mir beschriebene Szenario unsicher sein sollte.
Bitte warten ..
Mitglied: GuentherH
04.01.2017 um 14:18 Uhr
Es würde mich aber dennoch interessieren, wieso das von mir beschriebene Szenario unsicher sein sollte.

Schon einmal selbst überlegt, was du da tun möchtest. Es geht ja nicht nur um die Authentifizirung sondern auch um die zusätzlichen Ports die du für die Gruppenrichtlinien benötigen würdest.

Eine einfache Suche nach "firewall gruppenrichtlinien ports" sollte eigenlich reichen um festzustellen, dass du da mit deinen Wünschen daneben bist. Im Prinzip kannst du bei der Anzahl der benötigten Ports die FW gleich abdrehen.

Entweder VPN oder Direct Access, je nachdem was du machen willst, das ist für dein Vorhaben geeignet.

LG Günther
Bitte warten ..
Mitglied: Chonta
04.01.2017 um 14:19 Uhr
Hallo,

ihr verschlüsselt also eueren LAN-Trafik für alle Geräte per IPSec?
Da müssen ja die Cleints schon vor Dmänenbeitritt mit Zertifikaten ausgerüstet sein.
Sicher das es kein Fallback gibt, wenn Geräte ohne IPSec ankommen?

Stichwort Multihomed DC.
Allein wenn ich mir versuche vorzustellen den DC direkt ins Internet zu stellen, rollen sich mir die Fußnägel hoch.
Selbst MS macht das mit deren MietAD nicht so.

Gruß

Chonta
Bitte warten ..
Mitglied: 131993
04.01.2017 um 17:55 Uhr
Zitat von GuentherH:
Eine einfache Suche nach "firewall gruppenrichtlinien ports" sollte eigenlich reichen um festzustellen, dass du da mit deinen Wünschen daneben bist. Im Prinzip kannst du bei der Anzahl der benötigten Ports die FW gleich abdrehen.
Diese Ports hätte ich ja nicht pauschal freigegeben, sondern nur authentifiziert und verschlüsselt über IPSec.

Zitat von Chonta:
ihr verschlüsselt also eueren LAN-Trafik für alle Geräte per IPSec?
Da müssen ja die Cleints schon vor Dmänenbeitritt mit Zertifikaten ausgerüstet sein.
Sicher das es kein Fallback gibt, wenn Geräte ohne IPSec ankommen?
Von Extern währen ja nur Kerberos und IPSec auf die anderen Ports erlaubt. Somit kommt auch keine Nicht authentifizierte Verbindung zum DC durch.

Ich verstehe eure bedenken leider immer noch nicht ganz. Kennt jemand eine konkrete Schwachstelle, wenn doch alle Verbindungen außer Kerberos über einen IPSec Tunnel zum DC kommen?
Bitte warten ..
Mitglied: 131381
04.01.2017, aktualisiert um 18:25 Uhr
Zitat von 131993:
Von Extern währen ja nur Kerberos und IPSec auf die anderen Ports erlaubt. Somit kommt auch keine Nicht authentifizierte Verbindung zum DC durch.
Und wie soll der IPSec Client mit dem DC initial eine Verbindung aufbauen wenn du das auch schon unterbinden willst?

Ich verstehe eure bedenken leider immer noch nicht ganz. Kennt jemand eine konkrete Schwachstelle, wenn doch alle Verbindungen außer Kerberos über einen IPSec Tunnel zum DC kommen?
DDoS und kommende Sicherheitslücken denen der Server dann unmittelbar ausgesetzt ist. Ist doch wie bei WebCams die direkt am Netz hängen. Und ein DC gehört prinzipiell einfach niemals direkt über eine direkte Brücke mit dem Internet verbunden. Für sowas stehen dedizierte Geräte in einer DMZ.
Deine DCs sind das Herz deines Netzwerks und sollten dementsprechend auch behandelt und geschützt werden. Denn ist einmal nur ein einziger DC kompromittiert ist es dein ganzes Netzwerk!

Das was du da vorhast ist ja auch nichts anderes als ein VPN, wenn du also schon Port 500 öffnest kannst du auch gleich ein abgesichertes VPN für deine Clients auf dem Gateway oder einer Firewall erstellen in dem sie in einem separaten Subnetz nur deinen DC erreichen!!

Direkt Access wurde genau für diese Zwecke erfunden damit mobile User ihre GPOs und Richtlinien ziehen können und läuft auch noch auf Hotspottauglichen Ports (443) im Gegensatz zu deinem IPSec-Tunnel der auf Port 500 festgedängelt ist.
Zusätzlich braucht sich der Client um keine Verbindung mehr zu kümmern da der DirectAccess-Tunnel automatisch immer dann aufgebaut sobald der User nicht im internen Netzwerk ist, komfortabler geht's nun wirklich nicht.
Bitte warten ..
Mitglied: 131993
04.01.2017 um 18:26 Uhr
Zitat von 131381:

Zitat von 131993:
Von Extern währen ja nur Kerberos und IPSec auf die anderen Ports erlaubt. Somit kommt auch keine Nicht authentifizierte Verbindung zum DC durch.
Und wie soll der IPSec Client mit dem DC initial eine Verbindung aufbauen wenn du das auch schon unterbinden willst?

Die IPSec Authentifizierung würde ja über Kerberos laufen, was wiederum nicht über IPSec laufen würde.

Das was du da vorhast ist ja auch nichts anderes als ein VPN, wenn du also schon Port 500 öffnest kannst du auch gleich ein abgesichertes VPN für deine Clients auf dem Gateway oder einer Firewall erstellen in dem sie in einem separaten Subnetz nur deinen DC erreichen!!
Und der Unterschied in Punkto Sicherheit ist welcher?

Direkt Access wurde genau für diese Zwecke erfunden damit mobile User ihre GPOs und Richtlinien ziehen können und läuft auch noch auf Hotspottauglichen Ports (443) im Gegensatz zu deinem IPSec-Tunnel der auf Port 500 festgedängelt ist.
Hast du eine gute Anleitung für eine minimale Testimplementierung von DirectAccess?
Stimmt, das mit den WiFi-Hotspots hatte ich bis jetzt nicht bedacht.
Bitte warten ..
Mitglied: 131381
04.01.2017, aktualisiert um 18:35 Uhr
Zitat von 131993:
Die IPSec Authentifizierung würde ja über Kerberos laufen, was wiederum nicht über IPSec laufen würde.
IMHO nicht praktikabel und vernünftig managebar.
Das was du da vorhast ist ja auch nichts anderes als ein VPN, wenn du also schon Port 500 öffnest kannst du auch gleich ein abgesichertes VPN für deine Clients auf dem Gateway oder einer Firewall erstellen in dem sie in einem separaten Subnetz nur deinen DC erreichen!!
Und der Unterschied in Punkto Sicherheit ist welcher?
Dein DC hängt nicht direkt am Netz und ist Sicherheitslücken in den Windows-Diensten nicht direkt schutzlos ausgeliefert. Das interne absichern macht man normalerweise über VLANs in welche man die VPN-User sperrt und das auf einem Device in der DMZ!

Direkt Access wurde genau für diese Zwecke erfunden damit mobile User ihre GPOs und Richtlinien ziehen können und läuft auch noch auf Hotspottauglichen Ports (443) im Gegensatz zu deinem IPSec-Tunnel der auf Port 500 festgedängelt ist.
Hast du eine gute Anleitung für eine minimale Testimplementierung von DirectAccess?
https://www.microsoft.com/en-us/download/details.aspx?id=29031
https://technet.microsoft.com/de-de/library/dn614138(v=ws.11).aspx

Damit solltest du dich aber intensiv beschäftigen, denn mal schnell ist das auch nicht aufgesetzt und die Technik dahinter sollte erst verstanden werden, denn es gibt hier ein paar Fallstricke, deswegen ist ausführliches Einlesen Pflicht.
Wenn es dann läuft ist es aber das komfortabelste Setup für die Clients.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
802.1X-Authentifizierung
gelöst Frage von Alex29LAN, WAN, Wireless25 Kommentare

Hallo in die Runde, ich bin Hobby-Admin und würde in meinem Netzwerk gern eine 802.1X-Authentifizierung einrichten. Dazu habe ich ...

Verschlüsselung & Zertifikate
Starke Authentifizierung
Frage von westberlinerVerschlüsselung & Zertifikate10 Kommentare

Hallo Zusammen, wir haben jetzt die Anforderung bkommen, für einen Teil unserer Computer im Netzwerk eine starke Authentifizierung zu ...

Cloud-Dienste
Office365 authentifizierung
gelöst Frage von moses-southCloud-Dienste2 Kommentare

Hallo Zusammen Nutzt jemand Office365? Wir kommen aktuell nicht mehr in die Admin Oberfläche, bzw in irgend einen Dienst ...

Netzwerke
Fortigate Authentifizierung SSO
Frage von Florian961988Netzwerke29 Kommentare

Hallo, wir haben eine Fortigate 100D mit der Version 6.0.3 mit 2 WAN Anschlüssen genutzt! die ist mit dem ...

Neue Wissensbeiträge
Windows Server

Active Directory ESE Version Store Changes in Server 2019

Information von Dani vor 3 TagenWindows Server

Moin, Last month at Microsoft Ignite, many exciting new features rolling out in Server 2019 were talked about. But ...

Exchange Server

Microsoft Extending End of Support for Exchange Server 2010

Information von Dani vor 3 TagenExchange Server4 Kommentare

Moin, After investigating and analyzing the deployment state of an extensive number of Exchange customers we have decided to ...

Schulung & Training

Humble Book Bundle: Network and Security Certification 2.0

Tipp von NetzwerkDude vor 3 TagenSchulung & Training

Abend, bei HumbleBundle gibts mal wider ein schönes Paket e-books: sind verschiedene Zertifizierungen wie MCSA, CCNA, CompTIA etc., für ...

Voice over IP

Telekom Umstellung von ISDN Anlagenanschluss auf IP-Telefonie

Erfahrungsbericht von NixVerstehen vor 6 TagenVoice over IP10 Kommentare

Hallo zusammen, nachdem nun vor ein paar Tagen die zwangsweise Umstellung von ISDN auf IP-Telefonie problemlos über die Bühne ...

Heiß diskutierte Inhalte
VB for Applications
Euro-Zeichen in jedem neu erstellten Brief mit Word automatisch entfernen
gelöst Frage von imebroVB for Applications23 Kommentare

Hallo, ich habe ein Problem mit Word, bzw. mit dem €-Zeichen, welches bei Erstellung eines Word-Briefes automatisch eingesetzt wird. ...

Batch & Shell
Regedit eintrad ändern als Admin
Frage von cyberworm83Batch & Shell19 Kommentare

Hallo zusammen, ich bin derzeit als Rollout Techniker unterwegs und muss täglich bei zig Rechnern einen Registry Einträg ändern ...

Visual Studio
Prüfen, ob Programm schon disposed wurde
Frage von MarcoBornVisual Studio17 Kommentare

Hallo Forum, ich habe in VB.NET ein Programm geschrieben, welches Word startet und dort Daten ausliest. Obwohl ich die ...

Router & Routing
Mikrotik Config PTP
Frage von Marcel94Router & Routing16 Kommentare

Hallo, kennt sich jemand mit Mikrotik aus? Möchte gerne eine PTP Verbindung mit zwei SYTsq 5ac Antennen erstellen. So ...