adrian138
Goto Top

Webserver DMZ

Hallo,

Wir stellen einen neuen Webserver in die DMZ welcher von aussen erreichbar ist.

Frage: Es braucht eine AD Anbindung für die Authentifizierung.

Macht man Best Practice LDAP abfragen oder wie macht Ihr dies?

Vielen Dank und Grüsse

Content-ID: 355852

Url: https://administrator.de/forum/webserver-dmz-355852.html

Ausgedruckt am: 26.12.2024 um 04:12 Uhr

134464
134464 23.11.2017 um 13:09:50 Uhr
Goto Top
Z.B.mit ADFS
Dani
Dani 23.11.2017 um 13:21:56 Uhr
Goto Top
Moin,
Z.B.mit ADFS
damit ist es aber nicht getan. Das Gegenstück, Web Application Proxy, darf nicht fehlen. Denn dieser wird mit dem ADFS verknüpft. Setzt natürlich voraus, dass deine unbekannte Anwendung damit umgehen kann (Stichwort SAML).

Alternativ setzen viele einen RODC in die DMZ, welcher über IPSec mit einem RWDC kommunziert. Es gibt dazu einiges an Lesestoff. Allerdings auch keine Realisierung für nebenher.


Gruß,
Dani
adrian138
adrian138 23.11.2017 um 14:46:52 Uhr
Goto Top
Hallo zusammen,

Vielen Dank ich werde mir die RODC Konfig anschauen.

Viele Grüsse, Adrian
adrian138
adrian138 26.11.2017 um 12:25:13 Uhr
Goto Top
Hallo,

Ist eine LDAP Abfrage von der DMZ aus ein Sicherheitsrisiko?

Vili Grüess, Adrian
134464
134464 26.11.2017 aktualisiert um 12:37:16 Uhr
Goto Top
Zitat von @adrian138:
Ist eine LDAP Abfrage von der DMZ aus ein Sicherheitsrisiko?
Ja, wenn du die unverschlüsselte Variante nimmst, denn da lassen sich Passwörter und Daten sniffen.
Besser du erstellst wie von Dani oben erwähnt eine IPSec Verbindungssicherheitsrichtlinie zum Server, so dass sämtlicher Traffic zum Server generell abhörsicher ist. Port UDP500 und ESP Protokoll reichen dann als Firewallfreigabe von DMZ ins LAN, darüber lässt sich dann alles abfackeln.
Dani
Dani 26.11.2017 um 12:36:26 Uhr
Goto Top
Moin,
Ist eine LDAP Abfrage von der DMZ aus ein Sicherheitsrisiko?
darum habe ich oben auch IPSec explizit erwähnt. face-smile


Gruß,
Dani
sk
sk 26.11.2017 aktualisiert um 16:13:42 Uhr
Goto Top
Zitat von @134464:

Zitat von @adrian138:
Ist eine LDAP Abfrage von der DMZ aus ein Sicherheitsrisiko?
Ja, wenn du die unverschlüsselte Variante nimmst, denn da lassen sich Passwörter und Daten sniffen.

Als ob die Mitlesbarkeit auf dem Transportweg das Kernproblem wäre. Dafür gibt es probate Gegenmittel. Neben der bereits vorgeschlagenen Absicherung per IPSec wäre z.B. auch LDAP i.V.m. TLS möglich (LDAPS), wenn beide Seiten dies unterstützen.

Die Überlegungen und Betrachtungen hinsichtlich möglicher Gefahren sollten m.E. eher auf die Anwendungsebene fokussiert werden. Hier habe ich schon wirklich schlimme Sachen gesehen: bis hin dazu, dass auf dem Webserver in den Configfiles Benutzername und Kennwort des Domänenadmins im Klartext hinterlegt waren! Quasi auf dem Silbertablet serviert... Aber selbst wenn ein Angreifer hier nicht ran käme, könnte er dennoch über eventuelle Fehler in der Webanwendung das gesamte AD auslesen und möglicherweise sogar Manipulationen daran vornehmen!
Wesentliche Aufgabe im Rahmen des Hardenings einer solchen Topologie wäre es daher, für die LDAP-Anfragen einen speziell angelegten User zu verwenden und diesem nur die absolut minimal erforderlichen Rechte im AD-/LDAP-Verzeichnis zu geben. Wer sich hier seiner Sache nicht 100% sicher ist, sollte die Finger davon lassen! M.E. wäre es besser, das Radius-Protokoll einzusetzen - insbesondere, wenn es wirklich nur rein um Authentifizierung geht. Genau dafür ist Radius u.a gemacht - ein komplettes Auslesen des AD ist hier schon protokollbedingt nicht möglich.

Gruß
sk