Webserver DMZ

Mitglied: adrian138

adrian138 (Level 1) - Jetzt verbinden

2017/11/23 um 11:04 Uhr, 2071 Aufrufe, 7 Kommentare

Hallo,

Wir stellen einen neuen Webserver in die DMZ welcher von aussen erreichbar ist.

Frage: Es braucht eine AD Anbindung für die Authentifizierung.

Macht man Best Practice LDAP abfragen oder wie macht Ihr dies?

Vielen Dank und Grüsse
Mitglied: 134464
2017/11/23 um 13:09 Uhr
Z.B.mit ADFS
Bitte warten ..
Mitglied: Dani
2017/11/23 um 13:21 Uhr
Moin,
Z.B.mit ADFS
damit ist es aber nicht getan. Das Gegenstück, Web Application Proxy, darf nicht fehlen. Denn dieser wird mit dem ADFS verknüpft. Setzt natürlich voraus, dass deine unbekannte Anwendung damit umgehen kann (Stichwort SAML).

Alternativ setzen viele einen RODC in die DMZ, welcher über IPSec mit einem RWDC kommunziert. Es gibt dazu einiges an Lesestoff. Allerdings auch keine Realisierung für nebenher.


Gruß,
Dani
Bitte warten ..
Mitglied: adrian138
2017/11/23 um 14:46 Uhr
Hallo zusammen,

Vielen Dank ich werde mir die RODC Konfig anschauen.

Viele Grüsse, Adrian
Bitte warten ..
Mitglied: adrian138
2017/11/26 um 12:25 Uhr
Hallo,

Ist eine LDAP Abfrage von der DMZ aus ein Sicherheitsrisiko?

Vili Grüess, Adrian
Bitte warten ..
Mitglied: 134464
2017/11/26, aktualisiert um 12:37 Uhr
Zitat von adrian138:
Ist eine LDAP Abfrage von der DMZ aus ein Sicherheitsrisiko?
Ja, wenn du die unverschlüsselte Variante nimmst, denn da lassen sich Passwörter und Daten sniffen.
Besser du erstellst wie von Dani oben erwähnt eine IPSec Verbindungssicherheitsrichtlinie zum Server, so dass sämtlicher Traffic zum Server generell abhörsicher ist. Port UDP500 und ESP Protokoll reichen dann als Firewallfreigabe von DMZ ins LAN, darüber lässt sich dann alles abfackeln.
Bitte warten ..
Mitglied: Dani
2017/11/26 um 12:36 Uhr
Moin,
Ist eine LDAP Abfrage von der DMZ aus ein Sicherheitsrisiko?
darum habe ich oben auch IPSec explizit erwähnt.


Gruß,
Dani
Bitte warten ..
Mitglied: sk
2017/11/26, aktualisiert um 16:13 Uhr
Zitat von 134464:

Zitat von adrian138:
Ist eine LDAP Abfrage von der DMZ aus ein Sicherheitsrisiko?
Ja, wenn du die unverschlüsselte Variante nimmst, denn da lassen sich Passwörter und Daten sniffen.

Als ob die Mitlesbarkeit auf dem Transportweg das Kernproblem wäre. Dafür gibt es probate Gegenmittel. Neben der bereits vorgeschlagenen Absicherung per IPSec wäre z.B. auch LDAP i.V.m. TLS möglich (LDAPS), wenn beide Seiten dies unterstützen.

Die Überlegungen und Betrachtungen hinsichtlich möglicher Gefahren sollten m.E. eher auf die Anwendungsebene fokussiert werden. Hier habe ich schon wirklich schlimme Sachen gesehen: bis hin dazu, dass auf dem Webserver in den Configfiles Benutzername und Kennwort des Domänenadmins im Klartext hinterlegt waren! Quasi auf dem Silbertablet serviert... Aber selbst wenn ein Angreifer hier nicht ran käme, könnte er dennoch über eventuelle Fehler in der Webanwendung das gesamte AD auslesen und möglicherweise sogar Manipulationen daran vornehmen!
Wesentliche Aufgabe im Rahmen des Hardenings einer solchen Topologie wäre es daher, für die LDAP-Anfragen einen speziell angelegten User zu verwenden und diesem nur die absolut minimal erforderlichen Rechte im AD-/LDAP-Verzeichnis zu geben. Wer sich hier seiner Sache nicht 100% sicher ist, sollte die Finger davon lassen! M.E. wäre es besser, das Radius-Protokoll einzusetzen - insbesondere, wenn es wirklich nur rein um Authentifizierung geht. Genau dafür ist Radius u.a gemacht - ein komplettes Auslesen des AD ist hier schon protokollbedingt nicht möglich.

Gruß
sk
Bitte warten ..
Heiß diskutierte Inhalte
Router & Routing
Cisco RIPv1 RIPv2
MrLabelFrageRouter & Routing26 Kommentare

Hallo Zusammen, ich muss nochmal auf eine schon behandelte Frage eingehen. Bitte jemand, der auch den Cisco Paket Tracer ...

Schulung & Training
IT Ausbildung
gelöst IntershipFrageSchulung & Training20 Kommentare

Hallo Leute, ist diese Ausbildung etwas für den IT-Einstig? Willkommen bei der GFN! Arbeitsuchende Berufstätige Kostenträger Über uns Jobs ...

Server-Hardware
SFP(+) Schnittstellenkarte für Dell R230 mit OPNsense
MegaGigaFrageServer-Hardware12 Kommentare

Hallo Zusammen Bei uns wird es bald FTTH geben. Nun möchte ich direkt von der OTO an meine OPNsense ...

LAN, WAN, Wireless
Suche Access Point Wandhalterung
gelöst EZimmerFrageLAN, WAN, Wireless11 Kommentare

Einen schöne guten Tag, wir haben uns bei einer Ausschreibung beteiligt und sind nun auch der Suche nach folgendem ...

IDE & Editoren
IDE Entwicklung, schreiben
gelöst IntershipFrageIDE & Editoren9 Kommentare

Hallo Leute, zur Zeit befasse ich mich mit dem Schreiben einer eigenen IDE. Hat jemand so etwas schon mal ...

Windows 10
Windows10 Hilfsprogramme endgültig löschen
istike2FrageWindows 109 Kommentare

Hallo, wir sind gerade dabei mit Windows OOBE ein Image vorzubereiten. Wir würden gerne Xbox, HP Hilfsprogramme, Cortana usw. ...

Ähnliche Inhalte
Router & Routing
DMZ Verständnisfrage
PharITFrageRouter & Routing2 Kommentare

Hallo allerseits, ich will mit meinem Cisco 891 Router meine erste DMZ aufsetzen. Hab ich das richtig verstanden, dass ...

LAN, WAN, Wireless
Verständnisfrage DMZ
maddigFrageLAN, WAN, Wireless11 Kommentare

Guten Morgen, ich habe schon immer eine Verständnisfrage in Bezug mit einer DMZ. Im Anhangsbild ist zum Beispiel unsere ...

Netzwerkmanagement
DMZ hinter LAN?
gelöst Lars15FrageNetzwerkmanagement8 Kommentare

Hallo, normalerweise wird eine DMZ ja folgendermaßen aufgebaut: WAN>Router1>DMZ>Router2>LAN. Aus organisatorischen Gründen würde ich gerne die Position von LAN ...

Netzwerkmanagement
DMZ hinter Fritzbox
leon123FrageNetzwerkmanagement11 Kommentare

Hallo zusammen, ich verzweifle gerade an folgender Anforderung, da ich es so noch nie gemacht habe und ich glaube ...

Windows Server
RODC in DMZ
ImPi007FrageWindows Server4 Kommentare

Hallo Liebe Gemeinde, ich habe eine Herausforderung im Bereich RODC in DMZ. Ich weiss, es gibt tausende Artikel im ...

Firewall

DMZ und die Sicherheit in der DMZ mit Zugriff auf LDAP

Marco-83FrageFirewall8 Kommentare

Mahlzeit zusammen, ihr habt doch sicher auch alle eine DMZ für Webserver etc in euren Unternehmen. Wie sichert ihr ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT