virtual143
Goto Top

Ist es sehr riskant, einen Domain-Controller ohne Hardware-Firewall zu betreiben?

Moin!

In der Regel gibt es in großen Netzwerken mit Domain-Controller ja auch immer mindestens eine Hardware-Firewall, wo die Regelwerke etc. verwaltet werden.

Haltet ihr es für riskant, einen Windows Domain-Controller ohne eine solche Firewall zu betreiben, also nur mit der Betriebssystem-eigenen Software-FW?

Content-Key: 7869496720

Url: https://administrator.de/contentid/7869496720

Printed on: April 25, 2024 at 12:04 o'clock

Member: ni.sch
ni.sch Jul 16, 2023 updated at 15:31:48 (UTC)
Goto Top
Moin,

wie ist der DC denn ans Internet angebunden? Modem direkt angeschlossen ?- vermutlich nicht face-smile Ist wenigstens noch ein Router ala Fritz!Box, Speedport, etc. pp davor?
Member: transocean
transocean Jul 16, 2023 at 15:33:51 (UTC)
Goto Top
Moin,

ich halte es generell für gefährlich, Netzwerke ohne eine ordentliche HW Firewall zu betreiben. Man lässt ja seine Haustür auch nicht offen stehen.

Gruß

Uwe
Member: virtual143
virtual143 Jul 16, 2023 at 15:49:08 (UTC)
Goto Top
Moin,

genau, da ist ne FB vor, die auch keine Zugriffe von außen zulässt, zumindest nicht auf den DC.
Es gibt ja aber auch wohl eine Menge Bedrohungen, die sich von der Maschine aus ins WWW verbinden, deswegen der Firewall-Gedanke...
Member: magicteddy
magicteddy Jul 16, 2023 at 15:52:23 (UTC)
Goto Top
Moin,

Zitat von @transocean:
ich halte es generell für gefährlich, Netzwerke ohne eine ordentliche HW Firewall zu betreiben. Man lässt ja seine Haustür auch nicht offen stehen.

So ohne weitere Spezifikationen ist die Aussage Quatsch.

Leitwarte Heizung Lüftung Klima, plattes Netz, 2 PCs, kein Internetzugang, Netzwerkkomponenten in verschlossenen Räumen, was soll ich da mit einer Firewall?
Member: ni.sch
ni.sch Jul 16, 2023 updated at 15:58:59 (UTC)
Goto Top
Moin face-smile

wenn du bei einer Hardwarefirewall (eigtl auch "nur" eine Appliance auf der eine potentere Softwarefirewall läuft)
Ports nach innen öffnest - analog der Fritte -, ist an der Stelle konkret auch nichts sicherer oder unsicherer. Die Firewall kann aber natürlich bei entprechendem Regelweg auch ausgehende Verbindungen blocken (sollte meist auch so sein).

Und vorallem sind die LOGs deutlich brauchbarer als bei ner Fritte.
Und ob nun die Fritte schneller gehackt wird als die Firewall - man weiss es nicht face-smile

Edit: Das soll ausdrücklich KEINE Empfehlung GEGEN eine HW-Firewall sein face-smile
Member: Cloudrakete
Cloudrakete Jul 16, 2023 at 16:02:20 (UTC)
Goto Top
Servus,

rein für sich genommen (Nur der DC hinter der Fritte) ist zwar nicht ideal, aber kein Katastrophe.
Allerdings habe ich neben dem DC idr. ja auch andere Server, vielleicht sogar Clientsysteme, welche direkt mit dem AD inteagieren.
Nach meinem Kenntnissstand beherschen Fritzboxen nur 1 Netzwerk bzw. Subnetz, auch können die FB-Firewallregeln nicht zwischen Hosts im LAN gesetzt werden, sondern von von WAN zu LAN (Vielleicht auch umgekerht, nutze keine FB)

Und hier entsteht das Problem: Client infiziert sich, durch keinerlei Netztrennung (Intern) wird dein AD ggf. ebenfalls infiziert.
AD-Server können ohne Umwege direkt mit Comand & Control Servern kommuzieren = Paradies für jeden Angreifer.

Deshalb brauchst Du eine "richtige" Firewall mal abseits von irgendwelchen Internetzugriffen, intern solltest Du genauso darauf achten, deine Netze halbwegs zu trennen.
Member: Lochkartenstanzer
Lochkartenstanzer Jul 16, 2023 updated at 16:34:38 (UTC)
Goto Top
Zitat von @virtual143:

Haltet ihr es für riskant, einen Windows Domain-Controller ohne eine solche Firewall zu betreiben, also nur mit der Betriebssystem-eigenen Software-FW?

Moin,

Solange ein ordentlichr Router die Verbindung ins Internet herstellt und nicht der AD mit dem nackten Arsch ins Internet gehängt wird geht das durchaus. Allerdings ist es auch davon abhängig, wie gut die Admins es verstehen einen Server zu härten.

lks
Member: Drohnald
Drohnald Jul 16, 2023 updated at 20:08:04 (UTC)
Goto Top
Hi,

wie immer: kommt darauf an. z.B. Darauf: Wie schnell kannst du das Netz notfalls neu hochziehen?
Eine schlecht oder falsch konfigurierte Hardware FW ist schlechter als eine FritzBox mit Auto-Update (immer davon ausgehend, es gibt keine Portweiterleitung nach innen).

Für kleine Butzen mit vll. 5 Personen wo man das AD nur braucht, weil z.B. ein RDS für irgendeine Sondersoftware nötig ist: Selbst wenn das mal von innen infiziert wird, so eine Struktur ist an einem WE auch schnell wieder von 0 aufgebaut und die Daten per Backup eingespielt.
Da finde ich ein gutes Backupkonzept weit wichtiger, als irgendwelche Netzwerktrennung mit Hardwarefirewall.
Denn ohne regelmäßige Wartung (Firmwareupdate der Firewall etc.) steigen die Fehlerquellen und diese kleinen Butzen können/wollen sich das häufig nicht leisten.

Aus dem Nebenjob kenne ich zig kleine Firmen, die wollen auf Biegen und Brechen keinen Wartungsvertrag. Da versuche ich ein möglichst gutes Backupsystem zu basteln und stelle alle Server auf Auto-Update. Ja, auch ein DC kriegt dort automatisch seine Updates.
Lieber ein aktuelles System mit allen Patches und nen Ausfall riskieren als pro Jahr 100 neue Sicherheitslücken.
Bisher kam mir noch nie ein System unter, was nach einem Update völlig zerstört wurde, aber diverse Ransomware habe ich schon häufiger erlebt.

Ist schlicht eine Risikoabwägung + Kostenbetrachtung.

Gruß
Drohnald

Edit:
Es gibt ja aber auch wohl eine Menge Bedrohungen, die sich von der Maschine aus ins WWW verbinden, deswegen der Firewall-Gedanke...
Stimmt, aber diese Bedrohungen müssen auch erstmal auf die Kiste drauf.
Das passiert am ehesten über die Clients bzw. über das, was irgendwelche User klicken. Am ehesten also: User schulen.
Große Firmen können sich nen fetten Proxy leisten oder arbeiten sogar mir Whitelist für den Internetzugriff.
Bei kleinen Firmen die ständig wechselnde Website besuchen müssen wäre der Verwaltungsaufwand hier gewaltig. Wenn man ein Security-Team mit 10 Leute bezahlt ist sowas viel eher umsetzbar.
Member: JasperBeardley
JasperBeardley Jul 16, 2023 at 17:36:05 (UTC)
Goto Top
Moin,

warum können deine DCs ins Internet?
Ein DC ist ein DC, keine Funktion benötigt Zugang zum Internet.

Gruß
Jasper
Member: Lochkartenstanzer
Lochkartenstanzer Jul 16, 2023 at 17:47:23 (UTC)
Goto Top
Zitat von @JasperBeardley:

Moin,

warum können deine DCs ins Internet?
Ein DC ist ein DC, keine Funktion benötigt Zugang zum Internet.


Sofern man keinen WSUS vorhält, benötigt man für die Updates schon einen Zugang.

lks
Member: yumper
yumper Jul 17, 2023 at 02:01:56 (UTC)
Goto Top
Zitat von @JasperBeardley:

Moin,

warum können deine DCs ins Internet?
Ein DC ist ein DC, keine Funktion benötigt Zugang zum Internet.

Gruß
Jasper
Hallo

Einen DC ohne DNS face-smile
Hier tummeln sich leider nur noch Spezialisten face-sad

so long

Yumper
Member: Lochkartenstanzer
Lochkartenstanzer Jul 17, 2023 at 04:53:19 (UTC)
Goto Top
Zitat von @yumper:

Zitat von @JasperBeardley:

Moin,

warum können deine DCs ins Internet?
Ein DC ist ein DC, keine Funktion benötigt Zugang zum Internet.

Gruß
Jasper
Hallo

Einen DC ohne DNS face-smile
Hier tummeln sich leider nur noch Spezialisten face-sad


DNS kann man auch lokal ohne Internet nutzen. face-smile


lks
Member: em-pie
em-pie Jul 17, 2023 at 05:41:50 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @yumper:

Zitat von @JasperBeardley:

Moin,

warum können deine DCs ins Internet?
Ein DC ist ein DC, keine Funktion benötigt Zugang zum Internet.

Gruß
Jasper
Hallo

Einen DC ohne DNS face-smile
Hier tummeln sich leider nur noch Spezialisten face-sad


DNS kann man auch lokal ohne Internet nutzen. face-smile
Bzw. im Windows DNS den Router/die Firewall als DNS-Resolver hinterlegen. Würde am Windows-DNS ja nicht direkt die Server von cloudflare/ meines ISPs/ … angeben.
Member: Lochkartenstanzer
Lochkartenstanzer Jul 17, 2023 at 05:48:28 (UTC)
Goto Top
Zitat von @em-pie:

Zitat von @Lochkartenstanzer:

Zitat von @yumper:

Zitat von @JasperBeardley:

Moin,

warum können deine DCs ins Internet?
Ein DC ist ein DC, keine Funktion benötigt Zugang zum Internet.

Gruß
Jasper
Hallo

Einen DC ohne DNS face-smile
Hier tummeln sich leider nur noch Spezialisten face-sad


DNS kann man auch lokal ohne Internet nutzen. face-smile
Bzw. im Windows DNS den Router/die Firewall als DNS-Resolver hinterlegen. Würde am Windows-DNS ja nicht direkt die Server von cloudflare/ meines ISPs/ … angeben.

Man kann DNS auch komplett ohne dasInternet nutzen. Löst dann zwar nur lokale Adressen auf, funktioniert aber. die Kids von heutzutage vergessen, daß mal Internetzugang die Ausnahme und nicht die Regel war, als die ganzen Protokolle entstanden. Da hat man DNS im eigenen lokalen "Internet", d.h. seinen eigenen Netzen genutzt.
Member: rzlbrnft
rzlbrnft Jul 17, 2023 updated at 07:29:30 (UTC)
Goto Top
Zitat von @JasperBeardley:

Moin,

warum können deine DCs ins Internet?
Ein DC ist ein DC, keine Funktion benötigt Zugang zum Internet.

Gruß
Jasper

Gegenfrage: Warum sollte das ein Problem sein?
Auf einen DC lässt man niemanden drauf, der damit Schindluder treiben würde.
In kleinen Netzen ist das durchaus üblich, das man dem zumindest Zugriff auf die Microsoft Server gibt, damit er seine Updates ziehen kann, und nicht extra einen WSUS aufsetzt. Man kann sich mit der eigenen Paranoidität auch selber im Weg stehen.
Member: NoAiming
NoAiming Jul 17, 2023 at 08:01:20 (UTC)
Goto Top
Moin,
"grammar###modeon"
Zitat von @rzlbrnft:
In kleinen Netzen ist das durchaus üblich, das man dem zumindest Zugriff auf die Microsoft Server gibt, damit er seine Updates ziehen kann, und nicht extra einen WSUS aufsetzt. Man kann sich mit der eigenen Paranoidität auch selber im Weg stehen.

Ich glaube das Wort nach dem du suchst heißt 'Paranoia'... face-wink
"grammar###modeoff"
Grüße,
Member: Xaero1982
Xaero1982 Jul 17, 2023 at 08:39:20 (UTC)
Goto Top
Hach das waren noch Zeiten in denen man einfach einen IP Scanner angeworfen hat und gemütlich auf fremden PCs rumsurfen konnte unter Windows Xp etc. Da hab ich auch mal ein Bild gefunden kurz nach dem WTC "Angriff". Auf dem waren zwei oder sogar drei neue Tower und dazwischen ein Banner mit F*** you Osama ...
Firewalls hatten da die wenigsten und viele PCs waren offen im Netz zugänglich.

Aber dann kamen die komischen Provider ja auf die Idee diese komischen Firewalls auf jedem 0815 Router zu etablieren und dann war ja erstmal Schluss, wenn man sich nicht ganz des Hackings verschrieben hat.

Mach dir nicht zu viele Gedanken, so lange du auf der Fritte nicht einen Exposed Host einrichtest, der auf deinen Server zeigt.

Grüße
Member: JasperBeardley
JasperBeardley Jul 17, 2023 at 19:38:09 (UTC)
Goto Top
Zitat von @yumper:

Zitat von @JasperBeardley:

Moin,

warum können deine DCs ins Internet?
Ein DC ist ein DC, keine Funktion benötigt Zugang zum Internet.

Gruß
Jasper
Hallo

Einen DC ohne DNS face-smile
Hier tummeln sich leider nur noch Spezialisten face-sad

so long

Yumper

Jaja, Spezialisten wie du @yumper
Von nichts ne Ahnung aber zu allem ne Meinung.
Member: wecanIT
wecanIT Jul 18, 2023 updated at 12:07:36 (UTC)
Goto Top
Hallo,

grundsätzlich würde ich sagen, jedes Netz sollte durch eine Firewall geschützt werden.
Wie umfangreich diese ist, ob eine Fritzbox, OPNsense, Sophos ... , nur um einige Beispiele zu nennen, Hardware oder virtuell, hängt von der Wichtigkeit der dahinter betriebenen Dienste ab. Nicht zu vergessen die Verfügbarkeit des Datenverkehrs nach außen.

Das sagt uns die KI:

Es ist generell empfehlenswert, eine Firewall einzusetzen, um den Zugriff auf einen Domain-Controller und das dahinterliegende Netzwerk zu schützen. Eine Firewall hilft dabei, unerwünschten Datenverkehr zu blockieren und potenzielle Sicherheitsbedrohungen abzuwehren.

Ohne eine Hardware-Firewall setzen Sie sich einem höheren Risiko aus, da Ihr Domain-Controller direkt dem Internet ausgesetzt ist, ohne eine zusätzliche Schutzschicht. Dies kann dazu führen, dass Ihr Netzwerk anfällig für Angriffe von außen ist, da böswillige Akteure möglicherweise Schwachstellen in der Netzwerkkonfiguration oder in den Diensten des Domain-Controllers ausnutzen können.

Eine Hardware-Firewall kann den Datenverkehr überwachen, unerwünschte Verbindungen blockieren und den Zugriff auf Ihren Domain-Controller kontrollieren. Sie kann auch Intrusion-Detection- und Intrusion-Prevention-Systeme (IDS/IPS) enthalten, um verdächtige Aktivitäten zu erkennen und zu blockieren.

Es ist wichtig zu beachten, dass eine Firewall allein nicht ausreicht, um ein Netzwerk vollständig zu schützen. Es sollten auch andere Sicherheitsmaßnahmen wie regelmäßige Updates, starke Passwörter, Benutzerauthentifizierung und Zugriffskontrollen implementiert werden.

Zusammenfassend lässt sich sagen, dass es empfehlenswert ist, eine Hardware-Firewall einzusetzen, um Ihren Domain-Controller und Ihr Netzwerk vor potenziellen Bedrohungen zu schützen.


Grüße
Ralf