118080
Jun 07, 2016, updated at 13:08:47 (UTC)
4539
9
0
IP Adressen in DMZ von DHCP in LAN
Moin 
Ich spiele momentan mit dem Gedanken eine DMZ einzurichten. Jetzt habe ich eine ganz grundlegende Frage.
Ich habe einen DC mit DHCP und DNS.. Diesen würde ich ja im LAN lassen. Ich würde allerdings gerne die IP-Adressverteilung für die DMZ vom DC aus machen sowie die AD Credentials nehmen um mich anzumelden. Sehe ich das richtig, dass dies nicht möglich ist? Ausser ich würde dem DC eine zweite NIC verpassen und die eine ins LAN packen und die andere in die DMZ. Was aber Sicherheitstechnisch total idiotisch wäre?
LG Luca
Ich spiele momentan mit dem Gedanken eine DMZ einzurichten. Jetzt habe ich eine ganz grundlegende Frage.
Ich habe einen DC mit DHCP und DNS.. Diesen würde ich ja im LAN lassen. Ich würde allerdings gerne die IP-Adressverteilung für die DMZ vom DC aus machen sowie die AD Credentials nehmen um mich anzumelden. Sehe ich das richtig, dass dies nicht möglich ist? Ausser ich würde dem DC eine zweite NIC verpassen und die eine ins LAN packen und die andere in die DMZ. Was aber Sicherheitstechnisch total idiotisch wäre?
LG Luca
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 306418
Url: https://administrator.de/contentid/306418
Printed on: April 24, 2024 at 12:04 o'clock
9 Comments
Latest comment
Diesen würde ich ja im LAN lassen.
Bei einem Windows OS ist das auch besser so...Etwas ungewöhnlich für eine DMZ wo es meistens um statische IP Adressen geht. Allein schon wenn IP Port Forwarding oder ACL dort im Einsatz sind da wären dynamische IP Adressen ziemlich kontraproduktiv. Es sei denn du machst ein DHCP Mac Nailing also die IP Adresse fest auf die Hardware Mac bezogen.
Generell ist das natürlich technisch sehr einfach machbar. Was du dafür brauchst ist ein UDP Forwarder oder DHCP Relay oder wie man es auch immer nennt, der die DHCP Requests aus anderen IP Segmenten an den DHCP Server forwardet.Bei Routern wird das auch oft ip helper address genannt.
Wie gesagt...nicht unbedingt üblich in einer DMZ.
Sehe ich das richtig, dass dies nicht möglich ist?
Nein, das siehst du grundsätzlich vollkommen falsch. Vermutlich aber fehlen dir da wohl die technischen Backgrounds ?!Ausser ich würde dem DC eine zweite NIC verpassen
Tödlich für eine DMZ die dann natürlich keine mehr ist über so eine gefährlich Backdoor ! Absolutes NoGo wenn du eine DMZ einrichten willst die nur ansatzweise den Namen verdient.Was aber Sicherheitstechnisch total idiotisch wäre?
Du hast es erfasst !! 
Moin,
lies dir diesen Artikel bitte einmal aufmerksam durch. Dann wirst du evtl. selbst verstehen, wo dein "Denkfehler" ist.
Gruß Krämer
lies dir diesen Artikel bitte einmal aufmerksam durch. Dann wirst du evtl. selbst verstehen, wo dein "Denkfehler" ist.
Gruß Krämer
Mir geht es hier einzig und alleine darum die IPs statisch zu vergeben ohne das an jedem Gerät einzeln zu machen.
Könnte ich logischerweise z.B. auch an einem Router machen. Es wäre aber schön gewesen alles zentral regeln zu können.
Danke dir
Es sei denn du machst ein DHCP Mac Nailing also die IP Adresse fest auf die Hardware Mac bezogen.
Du hast es erfasst Könnte ich logischerweise z.B. auch an einem Router machen. Es wäre aber schön gewesen alles zentral regeln zu können.Generell ist das natürlich technisch sehr einfach machbar. Was du dafür brauchst ist ein UDP Forwarder oder DHCP Relay oder wie man es auch immer nennt, der die DHCP Requests aus anderen IP Segmenten an den DHCP Server forwardet.
Es hat klick gemacht, danke!Danke dir
Du bist dir aber bewusst, das du damit das DMZ-Gebilde aufreißt, und dieses irgendwie absichern musst?
Zitat von @Kraemer:
Du bist dir aber bewusst, das du damit das DMZ-Gebilde aufreißt, und dieses irgendwie absichern musst?
Du bist dir aber bewusst, das du damit das DMZ-Gebilde aufreißt, und dieses irgendwie absichern musst?
Ja, wie bereits gesagt hat es nun klick gemacht
Ich dachte mir ja bereits schon, dass es nicht geht ohne ein Loch aufzutun.Siehe mein Startpost
LG Luca
Es wäre aber schön gewesen alles zentral regeln zu können.
Es spricht ja nichts dagegen das so zu machen. Der UDP Forwarder oder DHCP Relay ist dein freund hier ! Ich dachte mir ja bereits schon, dass es nicht geht ohne ein Loch aufzutun.
Das ist ja Unsinn solange du den Relay verwendest und nicht eine 2te NIC als Bypass !
AH OK - ich dachte es hätte an anderer Stelle bei dir geklickt
Zitat von @aqui:
Das ist ja Unsinn solange du den Relay verwendest und nicht eine 2te NIC als Bypass !
Und dabei noch einige andere Sachen beachtest, wie die richtige und restriktive Konfiguration der Firewall, die Bindung der Dienste an IP-Adressen, usw. usw. usw.Das ist ja Unsinn solange du den Relay verwendest und nicht eine 2te NIC als Bypass !
Zitat von @aqui:
Das ist ja Unsinn solange du den Relay verwendest und nicht eine 2te NIC als Bypass !
Gut, das habe ich wieder falsch verstanden. Ich dachte 2 NIC ins LAN ist der GAU und DHCP Relay lässt auch ein Schlupfloch. Alles klar Das ist ja Unsinn solange du den Relay verwendest und nicht eine 2te NIC als Bypass !
