5
Industrial DMZ und Domänenmitglieder in der IDMZ
Hallo zusammen,
ich bin neu hier im Forum, ich komme aus dem Prozessautomatisierungsbereich und habe mir im Bereich Netzwerktechnik und Windows Domaincontroller vieles nebenbei angeeignet, von daher bitte ich vorab um Entschuldigung, wenn ich nicht alles Fachgerecht ausdrücke.
In einem Produktionsnetzwerk soll ein Active Directory mit Domaincontrollern installiert werden, beide Domaincontroller werden sich in diesem Produktionsnetz befinden.
In der IDMZ werden folgende Server sein:
In die IDMZ gibt es 2 Wege von außerhalb:
Es gibt kein Internet in der IDMZ.
Die Server in der IDMZ würde ich gerne mit an die Domäne anbinden, auf ein eigenes Active Directory mit Domaincontrollern in der IDMZ sowie einen RODC würde ich gerne verzichten.
Meine Argumente sind:
Die Angriffsfläche ist sehr gering, wie sehen die Experten mein Vorhaben ?
Vielen Dank im Voraus.
Grüße
Chris
ich bin neu hier im Forum, ich komme aus dem Prozessautomatisierungsbereich und habe mir im Bereich Netzwerktechnik und Windows Domaincontroller vieles nebenbei angeeignet, von daher bitte ich vorab um Entschuldigung, wenn ich nicht alles Fachgerecht ausdrücke.
In einem Produktionsnetzwerk soll ein Active Directory mit Domaincontrollern installiert werden, beide Domaincontroller werden sich in diesem Produktionsnetz befinden.
In der IDMZ werden folgende Server sein:
- Jumpserver
- WSUS
- PRTGSensor
In die IDMZ gibt es 2 Wege von außerhalb:
- Vom Firmennetzwerk über einen Jumpserver über eine FortiGate auf den Jumpserver und den PRTGSensor.
- Über eine Genubox über eine FortiGate auf den Jumpserver und WSUS, ein Dienstleister spielt die getesteten Windows Updates auf den WSUS.
Es gibt kein Internet in der IDMZ.
Die Server in der IDMZ würde ich gerne mit an die Domäne anbinden, auf ein eigenes Active Directory mit Domaincontrollern in der IDMZ sowie einen RODC würde ich gerne verzichten.
Meine Argumente sind:
- Zugang vom Firmennetzwerk per RDP aus nur über Firmenclient über Firmen-Jumpserver auf den Jumpserver in die IDMZ
- Zugang vom Diensleister nur über Genubox, nach manueller Freigabe.
- PRTGSensor -> PRTGServer ist auch nur 1 Port, kein RDP Zugriff von den externen Netzwerken.
- Die Remote Anmeldung der Domänen Administratoren auf die Server in der IDMZ wird gesperrt.
- Kein Zugang zum Internet von der IDMZ aus.
- Ggf. Windows Defender Application Control.
Die Angriffsfläche ist sehr gering, wie sehen die Experten mein Vorhaben ?
Vielen Dank im Voraus.
Grüße
Chris
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670891
Url: https://administrator.de/forum/industrial-dmz-und-domaenenmitglieder-in-der-idmz-670891.html
Ausgedruckt am: 15.02.2025 um 03:02 Uhr
5 Kommentare
Neuester Kommentar
Hallo und willkommen im Forum,
Schon gelesen? https://www.cisco.com/c/en/us/solutions/collateral/internet-of-things/id ...
https://pages.rexelusa.com/blog/automation/idmz
https://assets.new.siemens.com/siemens/assets/api/uuid:7cbfc3d8-cff9-49a ...
https://www.paloaltonetworks.com/resources/guides/securing-ot-services-u ...
https://infohub.delltechnologies.com/it-it/l/dell-validated-design-for-m ...
https://www.tripwire.com/state-of-security/revisiting-the-relevance-of-t ...
https://www.siemens.com/global/en/products/services/digital-enterprise-s ...
https://www.packtpub.com/en-us/product/industrial-cybersecurity-second-e ...
Gruss,
Peter
Schon gelesen? https://www.cisco.com/c/en/us/solutions/collateral/internet-of-things/id ...
https://pages.rexelusa.com/blog/automation/idmz
https://assets.new.siemens.com/siemens/assets/api/uuid:7cbfc3d8-cff9-49a ...
https://www.paloaltonetworks.com/resources/guides/securing-ot-services-u ...
https://infohub.delltechnologies.com/it-it/l/dell-validated-design-for-m ...
https://www.tripwire.com/state-of-security/revisiting-the-relevance-of-t ...
https://www.siemens.com/global/en/products/services/digital-enterprise-s ...
https://www.packtpub.com/en-us/product/industrial-cybersecurity-second-e ...
Gruss,
Peter
1
Hallo Peter,
Dankeschön vieles davon hatte ich schon gelesen, vieles sehr allgemein oder das volle Programm Richtung Enterprise Netzwerk.
Deswegen habe ich oben mein in "abgespecktes" Szenario versucht so detailliert wie möglich darzustellen, um ggf. weitere Pro und Contras zu erfahren.
Grüße
Chris
Dankeschön vieles davon hatte ich schon gelesen, vieles sehr allgemein oder das volle Programm Richtung Enterprise Netzwerk.
Deswegen habe ich oben mein in "abgespecktes" Szenario versucht so detailliert wie möglich darzustellen, um ggf. weitere Pro und Contras zu erfahren.
Grüße
Chris
Moin,
Gruß,
Dani
Die Server in der IDMZ würde ich gerne mit an die Domäne anbinden, auf ein eigenes Active Directory mit Domaincontrollern in der IDMZ sowie einen RODC würde ich gerne verzichten.
... und wo soll der Sicherheitsgewinn dann liegen? Denn da bohrst du ordentliche Löcher in die Firewall.Kein Zugang zum Internet von der IDMZ aus.
Wie kommen die Updates auf den WSUS? Der DL wird diese kaum manuell einspielen wollen. Abgesehen davon, würde ich heute nicht mehr auf WSUS setzen. Zu langsam, träge, kann nur Microsoft Produkte verwalten. Und auch nicht mehr alle. Von daher nutzt man heute ein UEM.Zugang vom Diensleister nur über Genubox, nach manueller Freigabe
Was ist eine Genubox? Abgesehen davon worin liegt der Unterschied zur Fortinet?Die Remote Anmeldung der Domänen Administratoren auf die Server in der IDMZ wird gesperrt.
Kannst du schon... kann aber jederzeit von einem DC mit einer GPO ausgehebelt werden.Gruß,
Dani
2
Hallo Dani,
eine Genubox ist ein Fernwartungsrouter,
der Dienstleister meldet sich telefonisch, das er auf der Genubox eine Anfrage gestellt hat und ich genehmige diese dann.
Die Fortinet beschränkt dann den Traffic auf den WSUS Server IP und die benötigten Ports.
Danke für den Hinweis mit UEM, das werde ich dem Dienstleister mal mit auf dem Weg geben.
www.genua.de/it-sicherheitsloesungen/sichere-fernwartung-remote-predictive-maintenance/fernwartungsloesung-genubox
Die WSUS Updates und Antivirensignaturen, kommen auch vom Dienstleister, da diese erst auf Kompatibilität mit unserem PLS geprüft werden. Das geschieht auch über die Genubox, muss aber nicht explizit freigegeben werden.
Die Remote Anmeldung der Domänen Administratoren auf die Server in der IDMZ wird gesperrt, die Sperrung erfolgt per GPO vom Domaincontroller, das hätte ich dazu schreiben sollen.
Gruß
Chris
eine Genubox ist ein Fernwartungsrouter,
der Dienstleister meldet sich telefonisch, das er auf der Genubox eine Anfrage gestellt hat und ich genehmige diese dann.
Die Fortinet beschränkt dann den Traffic auf den WSUS Server IP und die benötigten Ports.
Danke für den Hinweis mit UEM, das werde ich dem Dienstleister mal mit auf dem Weg geben.
www.genua.de/it-sicherheitsloesungen/sichere-fernwartung-remote-predictive-maintenance/fernwartungsloesung-genubox
Die WSUS Updates und Antivirensignaturen, kommen auch vom Dienstleister, da diese erst auf Kompatibilität mit unserem PLS geprüft werden. Das geschieht auch über die Genubox, muss aber nicht explizit freigegeben werden.
Die Remote Anmeldung der Domänen Administratoren auf die Server in der IDMZ wird gesperrt, die Sperrung erfolgt per GPO vom Domaincontroller, das hätte ich dazu schreiben sollen.
Gruß
Chris
Moin,
Gruß,
Dani
Die Remote Anmeldung der Domänen Administratoren auf die Server in der IDMZ wird gesperrt, die Sperrung erfolgt per GPO vom Domaincontroller, das hätte ich dazu schreiben sollen.
sehr schön. Reicht nur nicht aus, wenn du das AD im Auslieferungszustand betreibst. Alleine schon die Löcher in der Firewall, damit die Kommunikation mit den DCs funktioniert, ist heute ein großes Sicherheitsrisiko. Ich kenn auch niemand mehr, dass das tut. Weil ein RODC bringt ebenfalls nur eine Scheinsicherheit mit sich.Gruß,
Dani
