rtu560
Goto Top

Industrial DMZ und Domänenmitglieder in der IDMZ

Hallo zusammen,

ich bin neu hier im Forum, ich komme aus dem Prozessautomatisierungsbereich und habe mir im Bereich Netzwerktechnik und Windows Domaincontroller vieles nebenbei angeeignet, von daher bitte ich vorab um Entschuldigung, wenn ich nicht alles Fachgerecht ausdrücke.

In einem Produktionsnetzwerk soll ein Active Directory mit Domaincontrollern installiert werden, beide Domaincontroller werden sich in diesem Produktionsnetz befinden.

In der IDMZ werden folgende Server sein:
  • Jumpserver
  • WSUS
  • PRTGSensor

In die IDMZ gibt es 2 Wege von außerhalb:
  • Vom Firmennetzwerk über einen Jumpserver über eine FortiGate auf den Jumpserver und den PRTGSensor.
  • Über eine Genubox über eine FortiGate auf den Jumpserver und WSUS, ein Dienstleister spielt die getesteten Windows Updates auf den WSUS.

Es gibt kein Internet in der IDMZ.

Die Server in der IDMZ würde ich gerne mit an die Domäne anbinden, auf ein eigenes Active Directory mit Domaincontrollern in der IDMZ sowie einen RODC würde ich gerne verzichten.

Meine Argumente sind:

  • Zugang vom Firmennetzwerk per RDP aus nur über Firmenclient über Firmen-Jumpserver auf den Jumpserver in die IDMZ
also Port 3389.
  • Zugang vom Diensleister nur über Genubox, nach manueller Freigabe.
  • PRTGSensor -> PRTGServer ist auch nur 1 Port, kein RDP Zugriff von den externen Netzwerken.
  • Die Remote Anmeldung der Domänen Administratoren auf die Server in der IDMZ wird gesperrt.
  • Kein Zugang zum Internet von der IDMZ aus.
  • Ggf. Windows Defender Application Control.

Die Angriffsfläche ist sehr gering, wie sehen die Experten mein Vorhaben ?

Vielen Dank im Voraus.

Grüße
Chris

Content-ID: 670891

Url: https://administrator.de/forum/industrial-dmz-und-domaenenmitglieder-in-der-idmz-670891.html

Ausgedruckt am: 15.02.2025 um 03:02 Uhr

rtu560
rtu560 23.01.2025 um 07:53:03 Uhr
Goto Top
Hallo Peter,

Dankeschön vieles davon hatte ich schon gelesen, vieles sehr allgemein oder das volle Programm Richtung Enterprise Netzwerk.

Deswegen habe ich oben mein in "abgespecktes" Szenario versucht so detailliert wie möglich darzustellen, um ggf. weitere Pro und Contras zu erfahren.

Grüße
Chris
Dani
Dani 25.01.2025 aktualisiert um 11:10:40 Uhr
Goto Top
Moin,
Die Server in der IDMZ würde ich gerne mit an die Domäne anbinden, auf ein eigenes Active Directory mit Domaincontrollern in der IDMZ sowie einen RODC würde ich gerne verzichten.
... und wo soll der Sicherheitsgewinn dann liegen? Denn da bohrst du ordentliche Löcher in die Firewall.

Kein Zugang zum Internet von der IDMZ aus.
Wie kommen die Updates auf den WSUS? Der DL wird diese kaum manuell einspielen wollen. Abgesehen davon, würde ich heute nicht mehr auf WSUS setzen. Zu langsam, träge, kann nur Microsoft Produkte verwalten. Und auch nicht mehr alle. Von daher nutzt man heute ein UEM.

Zugang vom Diensleister nur über Genubox, nach manueller Freigabe
Was ist eine Genubox? Abgesehen davon worin liegt der Unterschied zur Fortinet?

Die Remote Anmeldung der Domänen Administratoren auf die Server in der IDMZ wird gesperrt.
Kannst du schon... kann aber jederzeit von einem DC mit einer GPO ausgehebelt werden.


Gruß,
Dani
rtu560
rtu560 26.01.2025 aktualisiert um 08:43:49 Uhr
Goto Top
Hallo Dani,

eine Genubox ist ein Fernwartungsrouter,
der Dienstleister meldet sich telefonisch, das er auf der Genubox eine Anfrage gestellt hat und ich genehmige diese dann.
Die Fortinet beschränkt dann den Traffic auf den WSUS Server IP und die benötigten Ports.
Danke für den Hinweis mit UEM, das werde ich dem Dienstleister mal mit auf dem Weg geben.

www.genua.de/it-sicherheitsloesungen/sichere-fernwartung-remote-predictive-maintenance/fernwartungsloesung-genubox

Die WSUS Updates und Antivirensignaturen, kommen auch vom Dienstleister, da diese erst auf Kompatibilität mit unserem PLS geprüft werden. Das geschieht auch über die Genubox, muss aber nicht explizit freigegeben werden.

Die Remote Anmeldung der Domänen Administratoren auf die Server in der IDMZ wird gesperrt, die Sperrung erfolgt per GPO vom Domaincontroller, das hätte ich dazu schreiben sollen.

Gruß
Chris
Dani
Dani 01.02.2025 um 20:07:38 Uhr
Goto Top
Moin,
Die Remote Anmeldung der Domänen Administratoren auf die Server in der IDMZ wird gesperrt, die Sperrung erfolgt per GPO vom Domaincontroller, das hätte ich dazu schreiben sollen.
sehr schön. Reicht nur nicht aus, wenn du das AD im Auslieferungszustand betreibst. Alleine schon die Löcher in der Firewall, damit die Kommunikation mit den DCs funktioniert, ist heute ein großes Sicherheitsrisiko. Ich kenn auch niemand mehr, dass das tut. Weil ein RODC bringt ebenfalls nur eine Scheinsicherheit mit sich.


Gruß,
Dani