7
Webserver DMZ
Hallo,
Wir stellen einen neuen Webserver in die DMZ welcher von aussen erreichbar ist.
Frage: Es braucht eine AD Anbindung für die Authentifizierung.
Macht man Best Practice LDAP abfragen oder wie macht Ihr dies?
Vielen Dank und Grüsse
Wir stellen einen neuen Webserver in die DMZ welcher von aussen erreichbar ist.
Frage: Es braucht eine AD Anbindung für die Authentifizierung.
Macht man Best Practice LDAP abfragen oder wie macht Ihr dies?
Vielen Dank und Grüsse
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 355852
Url: https://administrator.de/contentid/355852
Ausgedruckt am: 25.11.2024 um 02:11 Uhr
7 Kommentare
Neuester Kommentar
Z.B.mit ADFS
Moin,
Alternativ setzen viele einen RODC in die DMZ, welcher über IPSec mit einem RWDC kommunziert. Es gibt dazu einiges an Lesestoff. Allerdings auch keine Realisierung für nebenher.
Gruß,
Dani
Z.B.mit ADFS
damit ist es aber nicht getan. Das Gegenstück, Web Application Proxy, darf nicht fehlen. Denn dieser wird mit dem ADFS verknüpft. Setzt natürlich voraus, dass deine unbekannte Anwendung damit umgehen kann (Stichwort SAML).Alternativ setzen viele einen RODC in die DMZ, welcher über IPSec mit einem RWDC kommunziert. Es gibt dazu einiges an Lesestoff. Allerdings auch keine Realisierung für nebenher.
Gruß,
Dani
Hallo zusammen,
Vielen Dank ich werde mir die RODC Konfig anschauen.
Viele Grüsse, Adrian
Vielen Dank ich werde mir die RODC Konfig anschauen.
Viele Grüsse, Adrian
Hallo,
Ist eine LDAP Abfrage von der DMZ aus ein Sicherheitsrisiko?
Vili Grüess, Adrian
Ist eine LDAP Abfrage von der DMZ aus ein Sicherheitsrisiko?
Vili Grüess, Adrian
Ja, wenn du die unverschlüsselte Variante nimmst, denn da lassen sich Passwörter und Daten sniffen.
Besser du erstellst wie von Dani oben erwähnt eine IPSec Verbindungssicherheitsrichtlinie zum Server, so dass sämtlicher Traffic zum Server generell abhörsicher ist. Port UDP500 und ESP Protokoll reichen dann als Firewallfreigabe von DMZ ins LAN, darüber lässt sich dann alles abfackeln.
Besser du erstellst wie von Dani oben erwähnt eine IPSec Verbindungssicherheitsrichtlinie zum Server, so dass sämtlicher Traffic zum Server generell abhörsicher ist. Port UDP500 und ESP Protokoll reichen dann als Firewallfreigabe von DMZ ins LAN, darüber lässt sich dann alles abfackeln.
Moin,
Gruß,
Dani
Ist eine LDAP Abfrage von der DMZ aus ein Sicherheitsrisiko?
darum habe ich oben auch IPSec explizit erwähnt. Gruß,
Dani
Zitat von @134464:
Ja, wenn du die unverschlüsselte Variante nimmst, denn da lassen sich Passwörter und Daten sniffen.
Ja, wenn du die unverschlüsselte Variante nimmst, denn da lassen sich Passwörter und Daten sniffen.
Als ob die Mitlesbarkeit auf dem Transportweg das Kernproblem wäre. Dafür gibt es probate Gegenmittel. Neben der bereits vorgeschlagenen Absicherung per IPSec wäre z.B. auch LDAP i.V.m. TLS möglich (LDAPS), wenn beide Seiten dies unterstützen.
Die Überlegungen und Betrachtungen hinsichtlich möglicher Gefahren sollten m.E. eher auf die Anwendungsebene fokussiert werden. Hier habe ich schon wirklich schlimme Sachen gesehen: bis hin dazu, dass auf dem Webserver in den Configfiles Benutzername und Kennwort des Domänenadmins im Klartext hinterlegt waren! Quasi auf dem Silbertablet serviert... Aber selbst wenn ein Angreifer hier nicht ran käme, könnte er dennoch über eventuelle Fehler in der Webanwendung das gesamte AD auslesen und möglicherweise sogar Manipulationen daran vornehmen!
Wesentliche Aufgabe im Rahmen des Hardenings einer solchen Topologie wäre es daher, für die LDAP-Anfragen einen speziell angelegten User zu verwenden und diesem nur die absolut minimal erforderlichen Rechte im AD-/LDAP-Verzeichnis zu geben. Wer sich hier seiner Sache nicht 100% sicher ist, sollte die Finger davon lassen! M.E. wäre es besser, das Radius-Protokoll einzusetzen - insbesondere, wenn es wirklich nur rein um Authentifizierung geht. Genau dafür ist Radius u.a gemacht - ein komplettes Auslesen des AD ist hier schon protokollbedingt nicht möglich.
Gruß
sk
