19
Ist es sehr riskant, einen Domain-Controller ohne Hardware-Firewall zu betreiben?
Moin!
In der Regel gibt es in großen Netzwerken mit Domain-Controller ja auch immer mindestens eine Hardware-Firewall, wo die Regelwerke etc. verwaltet werden.
Haltet ihr es für riskant, einen Windows Domain-Controller ohne eine solche Firewall zu betreiben, also nur mit der Betriebssystem-eigenen Software-FW?
In der Regel gibt es in großen Netzwerken mit Domain-Controller ja auch immer mindestens eine Hardware-Firewall, wo die Regelwerke etc. verwaltet werden.
Haltet ihr es für riskant, einen Windows Domain-Controller ohne eine solche Firewall zu betreiben, also nur mit der Betriebssystem-eigenen Software-FW?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7869496720
Url: https://administrator.de/contentid/7869496720
Printed on: April 27, 2024 at 22:04 o'clock
19 Comments
Latest comment
Moin,
wie ist der DC denn ans Internet angebunden? Modem direkt angeschlossen ?- vermutlich nicht
Ist wenigstens noch ein Router ala Fritz!Box, Speedport, etc. pp davor?
wie ist der DC denn ans Internet angebunden? Modem direkt angeschlossen ?- vermutlich nicht
Ist wenigstens noch ein Router ala Fritz!Box, Speedport, etc. pp davor?
1
Moin,
ich halte es generell für gefährlich, Netzwerke ohne eine ordentliche HW Firewall zu betreiben. Man lässt ja seine Haustür auch nicht offen stehen.
Gruß
Uwe
ich halte es generell für gefährlich, Netzwerke ohne eine ordentliche HW Firewall zu betreiben. Man lässt ja seine Haustür auch nicht offen stehen.
Gruß
Uwe
1
Moin,
genau, da ist ne FB vor, die auch keine Zugriffe von außen zulässt, zumindest nicht auf den DC.
Es gibt ja aber auch wohl eine Menge Bedrohungen, die sich von der Maschine aus ins WWW verbinden, deswegen der Firewall-Gedanke...
genau, da ist ne FB vor, die auch keine Zugriffe von außen zulässt, zumindest nicht auf den DC.
Es gibt ja aber auch wohl eine Menge Bedrohungen, die sich von der Maschine aus ins WWW verbinden, deswegen der Firewall-Gedanke...
Moin,
So ohne weitere Spezifikationen ist die Aussage Quatsch.
Leitwarte Heizung Lüftung Klima, plattes Netz, 2 PCs, kein Internetzugang, Netzwerkkomponenten in verschlossenen Räumen, was soll ich da mit einer Firewall?
Zitat von @transocean:
ich halte es generell für gefährlich, Netzwerke ohne eine ordentliche HW Firewall zu betreiben. Man lässt ja seine Haustür auch nicht offen stehen.
ich halte es generell für gefährlich, Netzwerke ohne eine ordentliche HW Firewall zu betreiben. Man lässt ja seine Haustür auch nicht offen stehen.
So ohne weitere Spezifikationen ist die Aussage Quatsch.
Leitwarte Heizung Lüftung Klima, plattes Netz, 2 PCs, kein Internetzugang, Netzwerkkomponenten in verschlossenen Räumen, was soll ich da mit einer Firewall?
1
Moin
wenn du bei einer Hardwarefirewall (eigtl auch "nur" eine Appliance auf der eine potentere Softwarefirewall läuft)
Ports nach innen öffnest - analog der Fritte -, ist an der Stelle konkret auch nichts sicherer oder unsicherer. Die Firewall kann aber natürlich bei entprechendem Regelweg auch ausgehende Verbindungen blocken (sollte meist auch so sein).
Und vorallem sind die LOGs deutlich brauchbarer als bei ner Fritte.
Und ob nun die Fritte schneller gehackt wird als die Firewall - man weiss es nicht
Edit: Das soll ausdrücklich KEINE Empfehlung GEGEN eine HW-Firewall sein
wenn du bei einer Hardwarefirewall (eigtl auch "nur" eine Appliance auf der eine potentere Softwarefirewall läuft)
Ports nach innen öffnest - analog der Fritte -, ist an der Stelle konkret auch nichts sicherer oder unsicherer. Die Firewall kann aber natürlich bei entprechendem Regelweg auch ausgehende Verbindungen blocken (sollte meist auch so sein).
Und vorallem sind die LOGs deutlich brauchbarer als bei ner Fritte.
Und ob nun die Fritte schneller gehackt wird als die Firewall - man weiss es nicht
Edit: Das soll ausdrücklich KEINE Empfehlung GEGEN eine HW-Firewall sein
2
Servus,
rein für sich genommen (Nur der DC hinter der Fritte) ist zwar nicht ideal, aber kein Katastrophe.
Allerdings habe ich neben dem DC idr. ja auch andere Server, vielleicht sogar Clientsysteme, welche direkt mit dem AD inteagieren.
Nach meinem Kenntnissstand beherschen Fritzboxen nur 1 Netzwerk bzw. Subnetz, auch können die FB-Firewallregeln nicht zwischen Hosts im LAN gesetzt werden, sondern von von WAN zu LAN (Vielleicht auch umgekerht, nutze keine FB)
Und hier entsteht das Problem: Client infiziert sich, durch keinerlei Netztrennung (Intern) wird dein AD ggf. ebenfalls infiziert.
AD-Server können ohne Umwege direkt mit Comand & Control Servern kommuzieren = Paradies für jeden Angreifer.
Deshalb brauchst Du eine "richtige" Firewall mal abseits von irgendwelchen Internetzugriffen, intern solltest Du genauso darauf achten, deine Netze halbwegs zu trennen.
rein für sich genommen (Nur der DC hinter der Fritte) ist zwar nicht ideal, aber kein Katastrophe.
Allerdings habe ich neben dem DC idr. ja auch andere Server, vielleicht sogar Clientsysteme, welche direkt mit dem AD inteagieren.
Nach meinem Kenntnissstand beherschen Fritzboxen nur 1 Netzwerk bzw. Subnetz, auch können die FB-Firewallregeln nicht zwischen Hosts im LAN gesetzt werden, sondern von von WAN zu LAN (Vielleicht auch umgekerht, nutze keine FB)
Und hier entsteht das Problem: Client infiziert sich, durch keinerlei Netztrennung (Intern) wird dein AD ggf. ebenfalls infiziert.
AD-Server können ohne Umwege direkt mit Comand & Control Servern kommuzieren = Paradies für jeden Angreifer.
Deshalb brauchst Du eine "richtige" Firewall mal abseits von irgendwelchen Internetzugriffen, intern solltest Du genauso darauf achten, deine Netze halbwegs zu trennen.
Zitat von @virtual143:
Haltet ihr es für riskant, einen Windows Domain-Controller ohne eine solche Firewall zu betreiben, also nur mit der Betriebssystem-eigenen Software-FW?
Haltet ihr es für riskant, einen Windows Domain-Controller ohne eine solche Firewall zu betreiben, also nur mit der Betriebssystem-eigenen Software-FW?
Moin,
Solange ein ordentlichr Router die Verbindung ins Internet herstellt und nicht der AD mit dem nackten Arsch ins Internet gehängt wird geht das durchaus. Allerdings ist es auch davon abhängig, wie gut die Admins es verstehen einen Server zu härten.
lks
2
Hi,
wie immer: kommt darauf an. z.B. Darauf: Wie schnell kannst du das Netz notfalls neu hochziehen?
Eine schlecht oder falsch konfigurierte Hardware FW ist schlechter als eine FritzBox mit Auto-Update (immer davon ausgehend, es gibt keine Portweiterleitung nach innen).
Für kleine Butzen mit vll. 5 Personen wo man das AD nur braucht, weil z.B. ein RDS für irgendeine Sondersoftware nötig ist: Selbst wenn das mal von innen infiziert wird, so eine Struktur ist an einem WE auch schnell wieder von 0 aufgebaut und die Daten per Backup eingespielt.
Da finde ich ein gutes Backupkonzept weit wichtiger, als irgendwelche Netzwerktrennung mit Hardwarefirewall.
Denn ohne regelmäßige Wartung (Firmwareupdate der Firewall etc.) steigen die Fehlerquellen und diese kleinen Butzen können/wollen sich das häufig nicht leisten.
Aus dem Nebenjob kenne ich zig kleine Firmen, die wollen auf Biegen und Brechen keinen Wartungsvertrag. Da versuche ich ein möglichst gutes Backupsystem zu basteln und stelle alle Server auf Auto-Update. Ja, auch ein DC kriegt dort automatisch seine Updates.
Lieber ein aktuelles System mit allen Patches und nen Ausfall riskieren als pro Jahr 100 neue Sicherheitslücken.
Bisher kam mir noch nie ein System unter, was nach einem Update völlig zerstört wurde, aber diverse Ransomware habe ich schon häufiger erlebt.
Ist schlicht eine Risikoabwägung + Kostenbetrachtung.
Gruß
Drohnald
Edit:
Das passiert am ehesten über die Clients bzw. über das, was irgendwelche User klicken. Am ehesten also: User schulen.
Große Firmen können sich nen fetten Proxy leisten oder arbeiten sogar mir Whitelist für den Internetzugriff.
Bei kleinen Firmen die ständig wechselnde Website besuchen müssen wäre der Verwaltungsaufwand hier gewaltig. Wenn man ein Security-Team mit 10 Leute bezahlt ist sowas viel eher umsetzbar.
wie immer: kommt darauf an. z.B. Darauf: Wie schnell kannst du das Netz notfalls neu hochziehen?
Eine schlecht oder falsch konfigurierte Hardware FW ist schlechter als eine FritzBox mit Auto-Update (immer davon ausgehend, es gibt keine Portweiterleitung nach innen).
Für kleine Butzen mit vll. 5 Personen wo man das AD nur braucht, weil z.B. ein RDS für irgendeine Sondersoftware nötig ist: Selbst wenn das mal von innen infiziert wird, so eine Struktur ist an einem WE auch schnell wieder von 0 aufgebaut und die Daten per Backup eingespielt.
Da finde ich ein gutes Backupkonzept weit wichtiger, als irgendwelche Netzwerktrennung mit Hardwarefirewall.
Denn ohne regelmäßige Wartung (Firmwareupdate der Firewall etc.) steigen die Fehlerquellen und diese kleinen Butzen können/wollen sich das häufig nicht leisten.
Aus dem Nebenjob kenne ich zig kleine Firmen, die wollen auf Biegen und Brechen keinen Wartungsvertrag. Da versuche ich ein möglichst gutes Backupsystem zu basteln und stelle alle Server auf Auto-Update. Ja, auch ein DC kriegt dort automatisch seine Updates.
Lieber ein aktuelles System mit allen Patches und nen Ausfall riskieren als pro Jahr 100 neue Sicherheitslücken.
Bisher kam mir noch nie ein System unter, was nach einem Update völlig zerstört wurde, aber diverse Ransomware habe ich schon häufiger erlebt.
Ist schlicht eine Risikoabwägung + Kostenbetrachtung.
Gruß
Drohnald
Edit:
Es gibt ja aber auch wohl eine Menge Bedrohungen, die sich von der Maschine aus ins WWW verbinden, deswegen der Firewall-Gedanke...
Stimmt, aber diese Bedrohungen müssen auch erstmal auf die Kiste drauf.Das passiert am ehesten über die Clients bzw. über das, was irgendwelche User klicken. Am ehesten also: User schulen.
Große Firmen können sich nen fetten Proxy leisten oder arbeiten sogar mir Whitelist für den Internetzugriff.
Bei kleinen Firmen die ständig wechselnde Website besuchen müssen wäre der Verwaltungsaufwand hier gewaltig. Wenn man ein Security-Team mit 10 Leute bezahlt ist sowas viel eher umsetzbar.
1
Moin,
warum können deine DCs ins Internet?
Ein DC ist ein DC, keine Funktion benötigt Zugang zum Internet.
Gruß
Jasper
warum können deine DCs ins Internet?
Ein DC ist ein DC, keine Funktion benötigt Zugang zum Internet.
Gruß
Jasper
Zitat von @JasperBeardley:
Moin,
warum können deine DCs ins Internet?
Ein DC ist ein DC, keine Funktion benötigt Zugang zum Internet.
Moin,
warum können deine DCs ins Internet?
Ein DC ist ein DC, keine Funktion benötigt Zugang zum Internet.
Sofern man keinen WSUS vorhält, benötigt man für die Updates schon einen Zugang.
lks
Zitat von @JasperBeardley:
Moin,
warum können deine DCs ins Internet?
Ein DC ist ein DC, keine Funktion benötigt Zugang zum Internet.
Gruß
Jasper
HalloMoin,
warum können deine DCs ins Internet?
Ein DC ist ein DC, keine Funktion benötigt Zugang zum Internet.
Gruß
Jasper
Einen DC ohne DNS
Hier tummeln sich leider nur noch Spezialisten
so long
Yumper
1Zitat von @yumper:
Einen DC ohne DNS
Hier tummeln sich leider nur noch Spezialisten
Zitat von @JasperBeardley:
Moin,
warum können deine DCs ins Internet?
Ein DC ist ein DC, keine Funktion benötigt Zugang zum Internet.
Gruß
Jasper
HalloMoin,
warum können deine DCs ins Internet?
Ein DC ist ein DC, keine Funktion benötigt Zugang zum Internet.
Gruß
Jasper
Einen DC ohne DNS
Hier tummeln sich leider nur noch Spezialisten
DNS kann man auch lokal ohne Internet nutzen.
lks
Zitat von @Lochkartenstanzer:
DNS kann man auch lokal ohne Internet nutzen.
Bzw. im Windows DNS den Router/die Firewall als DNS-Resolver hinterlegen. Würde am Windows-DNS ja nicht direkt die Server von cloudflare/ meines ISPs/ … angeben.Zitat von @yumper:
Einen DC ohne DNS
Hier tummeln sich leider nur noch Spezialisten
Zitat von @JasperBeardley:
Moin,
warum können deine DCs ins Internet?
Ein DC ist ein DC, keine Funktion benötigt Zugang zum Internet.
Gruß
Jasper
HalloMoin,
warum können deine DCs ins Internet?
Ein DC ist ein DC, keine Funktion benötigt Zugang zum Internet.
Gruß
Jasper
Einen DC ohne DNS
Hier tummeln sich leider nur noch Spezialisten
DNS kann man auch lokal ohne Internet nutzen.
Zitat von @em-pie:
Zitat von @Lochkartenstanzer:
DNS kann man auch lokal ohne Internet nutzen.
Bzw. im Windows DNS den Router/die Firewall als DNS-Resolver hinterlegen. Würde am Windows-DNS ja nicht direkt die Server von cloudflare/ meines ISPs/ … angeben.Zitat von @yumper:
Einen DC ohne DNS
Hier tummeln sich leider nur noch Spezialisten
Zitat von @JasperBeardley:
Moin,
warum können deine DCs ins Internet?
Ein DC ist ein DC, keine Funktion benötigt Zugang zum Internet.
Gruß
Jasper
HalloMoin,
warum können deine DCs ins Internet?
Ein DC ist ein DC, keine Funktion benötigt Zugang zum Internet.
Gruß
Jasper
Einen DC ohne DNS
Hier tummeln sich leider nur noch Spezialisten
DNS kann man auch lokal ohne Internet nutzen.
Man kann DNS auch komplett ohne dasInternet nutzen. Löst dann zwar nur lokale Adressen auf, funktioniert aber. die Kids von heutzutage vergessen, daß mal Internetzugang die Ausnahme und nicht die Regel war, als die ganzen Protokolle entstanden. Da hat man DNS im eigenen lokalen "Internet", d.h. seinen eigenen Netzen genutzt.
Zitat von @JasperBeardley:
Moin,
warum können deine DCs ins Internet?
Ein DC ist ein DC, keine Funktion benötigt Zugang zum Internet.
Gruß
Jasper
Moin,
warum können deine DCs ins Internet?
Ein DC ist ein DC, keine Funktion benötigt Zugang zum Internet.
Gruß
Jasper
Gegenfrage: Warum sollte das ein Problem sein?
Auf einen DC lässt man niemanden drauf, der damit Schindluder treiben würde.
In kleinen Netzen ist das durchaus üblich, das man dem zumindest Zugriff auf die Microsoft Server gibt, damit er seine Updates ziehen kann, und nicht extra einen WSUS aufsetzt. Man kann sich mit der eigenen Paranoidität auch selber im Weg stehen.
Moin,
"grammar###modeon"
Ich glaube das Wort nach dem du suchst heißt 'Paranoia'...
"grammar###modeoff"
Grüße,
"grammar###modeon"
Zitat von @rzlbrnft:
In kleinen Netzen ist das durchaus üblich, das man dem zumindest Zugriff auf die Microsoft Server gibt, damit er seine Updates ziehen kann, und nicht extra einen WSUS aufsetzt. Man kann sich mit der eigenen Paranoidität auch selber im Weg stehen.
In kleinen Netzen ist das durchaus üblich, das man dem zumindest Zugriff auf die Microsoft Server gibt, damit er seine Updates ziehen kann, und nicht extra einen WSUS aufsetzt. Man kann sich mit der eigenen Paranoidität auch selber im Weg stehen.
Ich glaube das Wort nach dem du suchst heißt 'Paranoia'...
"grammar###modeoff"
Grüße,
Hach das waren noch Zeiten in denen man einfach einen IP Scanner angeworfen hat und gemütlich auf fremden PCs rumsurfen konnte unter Windows Xp etc. Da hab ich auch mal ein Bild gefunden kurz nach dem WTC "Angriff". Auf dem waren zwei oder sogar drei neue Tower und dazwischen ein Banner mit F*** you Osama ...
Firewalls hatten da die wenigsten und viele PCs waren offen im Netz zugänglich.
Aber dann kamen die komischen Provider ja auf die Idee diese komischen Firewalls auf jedem 0815 Router zu etablieren und dann war ja erstmal Schluss, wenn man sich nicht ganz des Hackings verschrieben hat.
Mach dir nicht zu viele Gedanken, so lange du auf der Fritte nicht einen Exposed Host einrichtest, der auf deinen Server zeigt.
Grüße
Firewalls hatten da die wenigsten und viele PCs waren offen im Netz zugänglich.
Aber dann kamen die komischen Provider ja auf die Idee diese komischen Firewalls auf jedem 0815 Router zu etablieren und dann war ja erstmal Schluss, wenn man sich nicht ganz des Hackings verschrieben hat.
Mach dir nicht zu viele Gedanken, so lange du auf der Fritte nicht einen Exposed Host einrichtest, der auf deinen Server zeigt.
Grüße
Zitat von @yumper:
Einen DC ohne DNS
Hier tummeln sich leider nur noch Spezialisten
so long
Yumper
Zitat von @JasperBeardley:
Moin,
warum können deine DCs ins Internet?
Ein DC ist ein DC, keine Funktion benötigt Zugang zum Internet.
Gruß
Jasper
HalloMoin,
warum können deine DCs ins Internet?
Ein DC ist ein DC, keine Funktion benötigt Zugang zum Internet.
Gruß
Jasper
Einen DC ohne DNS
Hier tummeln sich leider nur noch Spezialisten
so long
Yumper
Jaja, Spezialisten wie du @yumper
Von nichts ne Ahnung aber zu allem ne Meinung.
Hallo,
grundsätzlich würde ich sagen, jedes Netz sollte durch eine Firewall geschützt werden.
Wie umfangreich diese ist, ob eine Fritzbox, OPNsense, Sophos ... , nur um einige Beispiele zu nennen, Hardware oder virtuell, hängt von der Wichtigkeit der dahinter betriebenen Dienste ab. Nicht zu vergessen die Verfügbarkeit des Datenverkehrs nach außen.
Das sagt uns die KI:
Es ist generell empfehlenswert, eine Firewall einzusetzen, um den Zugriff auf einen Domain-Controller und das dahinterliegende Netzwerk zu schützen. Eine Firewall hilft dabei, unerwünschten Datenverkehr zu blockieren und potenzielle Sicherheitsbedrohungen abzuwehren.
Ohne eine Hardware-Firewall setzen Sie sich einem höheren Risiko aus, da Ihr Domain-Controller direkt dem Internet ausgesetzt ist, ohne eine zusätzliche Schutzschicht. Dies kann dazu führen, dass Ihr Netzwerk anfällig für Angriffe von außen ist, da böswillige Akteure möglicherweise Schwachstellen in der Netzwerkkonfiguration oder in den Diensten des Domain-Controllers ausnutzen können.
Eine Hardware-Firewall kann den Datenverkehr überwachen, unerwünschte Verbindungen blockieren und den Zugriff auf Ihren Domain-Controller kontrollieren. Sie kann auch Intrusion-Detection- und Intrusion-Prevention-Systeme (IDS/IPS) enthalten, um verdächtige Aktivitäten zu erkennen und zu blockieren.
Es ist wichtig zu beachten, dass eine Firewall allein nicht ausreicht, um ein Netzwerk vollständig zu schützen. Es sollten auch andere Sicherheitsmaßnahmen wie regelmäßige Updates, starke Passwörter, Benutzerauthentifizierung und Zugriffskontrollen implementiert werden.
Zusammenfassend lässt sich sagen, dass es empfehlenswert ist, eine Hardware-Firewall einzusetzen, um Ihren Domain-Controller und Ihr Netzwerk vor potenziellen Bedrohungen zu schützen.
Grüße
Ralf
grundsätzlich würde ich sagen, jedes Netz sollte durch eine Firewall geschützt werden.
Wie umfangreich diese ist, ob eine Fritzbox, OPNsense, Sophos ... , nur um einige Beispiele zu nennen, Hardware oder virtuell, hängt von der Wichtigkeit der dahinter betriebenen Dienste ab. Nicht zu vergessen die Verfügbarkeit des Datenverkehrs nach außen.
Das sagt uns die KI:
Es ist generell empfehlenswert, eine Firewall einzusetzen, um den Zugriff auf einen Domain-Controller und das dahinterliegende Netzwerk zu schützen. Eine Firewall hilft dabei, unerwünschten Datenverkehr zu blockieren und potenzielle Sicherheitsbedrohungen abzuwehren.
Ohne eine Hardware-Firewall setzen Sie sich einem höheren Risiko aus, da Ihr Domain-Controller direkt dem Internet ausgesetzt ist, ohne eine zusätzliche Schutzschicht. Dies kann dazu führen, dass Ihr Netzwerk anfällig für Angriffe von außen ist, da böswillige Akteure möglicherweise Schwachstellen in der Netzwerkkonfiguration oder in den Diensten des Domain-Controllers ausnutzen können.
Eine Hardware-Firewall kann den Datenverkehr überwachen, unerwünschte Verbindungen blockieren und den Zugriff auf Ihren Domain-Controller kontrollieren. Sie kann auch Intrusion-Detection- und Intrusion-Prevention-Systeme (IDS/IPS) enthalten, um verdächtige Aktivitäten zu erkennen und zu blockieren.
Es ist wichtig zu beachten, dass eine Firewall allein nicht ausreicht, um ein Netzwerk vollständig zu schützen. Es sollten auch andere Sicherheitsmaßnahmen wie regelmäßige Updates, starke Passwörter, Benutzerauthentifizierung und Zugriffskontrollen implementiert werden.
Zusammenfassend lässt sich sagen, dass es empfehlenswert ist, eine Hardware-Firewall einzusetzen, um Ihren Domain-Controller und Ihr Netzwerk vor potenziellen Bedrohungen zu schützen.
Grüße
Ralf
1