Firewall ports zwischen Haupt- und DMZ-Subnet

Re(4): Firewall ports zwischen Haupt- und DMZ-Subnet

Desolationrob — Thu, 10 Nov 2011 08:04:08 GMT

das passiert aber fast immer über schwache Applikationen und DBs, dumme Fehler bei der Konfiguration etc. Da hilft einem das beste Zoning nix wenn es bei vielen Leuten schon an absoluten Basics mangelt

Re(3): Firewall ports zwischen Haupt- und DMZ-Subnet

athis — Thu, 10 Nov 2011 00:42:23 GMT

eh...

darum kommen auch in letzter zeit dauernd meldungen im fernsehen, dass gruppen von kindern, die ohne eltern noch nicht mal nasenbohren dürfen, kritische daten kopieren konnten.

btw:

gang und gebe

http://www.korrekturen.de/beliebte_fehler/gang_und_gebe.shtml

Re(5): Firewall ports zwischen Haupt- und DMZ-Subnet

-Transformer2K- — Wed, 09 Nov 2011 18:55:47 GMT

jaein ... das muss man relativ sehen! ab ca. 15 Zugriffslizenzen zahlt eh schon mehr pro Zugriffslizenz als für den Server selbst (Exchange 2010 Std.)

Re(5): Firewall ports zwischen Haupt- und DMZ-Subnet

-Transformer2K- — Wed, 09 Nov 2011 18:55:47 GMT

jaein ... das muss man relativ sehen! ab ca. 15 Zugriffslizenzen zahlst eh schon mehr pro Zugriffslizenz als für den Server selbst (Exchange 2010 Std.)

Re(4): Firewall ports zwischen Haupt- und DMZ-Subnet

codeslayer — Wed, 09 Nov 2011 15:28:37 GMT

Ja, stimmt...ich kann mich noch düster daran erinnern.

Irgendwie finde ich das extrem krank, dass man - um Exchange sicher zu betrieben (also DMZ usw.) - man eigentlich gleich 2 Lizenzen davon kaufen muss.

Man bich ich froh nicht mehr mit diesem Exchange-Kack arbeiten zu müssen

Re(3): Firewall ports zwischen Haupt- und DMZ-Subnet

-Transformer2K- — Tue, 01 Nov 2011 12:53:19 GMT

Was macht man dann bei z.B. einem Exchange Server?

ins DMZ kommt der Edge Transport Server, der kein Domänen-Mitglied ist und nur DNS, SMTP und SLDAP-Verbindung ins Internal hat!

Re(6): Firewall ports zwischen Haupt- und DMZ-Subnet

codeslayer — Tue, 01 Nov 2011 02:08:18 GMT

Danke für deine Tipps. Werde es so implementieren.

Re(5): Firewall ports zwischen Haupt- und DMZ-Subnet

Glockman — Tue, 01 Nov 2011 01:31:03 GMT

Also am besten den Server wieder aus der Domain entfernen und nur mit lokalen konten arbeiten

Würde ich so machen, ja.
Und: lokalen Admin-Account umbenennen (also KEINEN "Administrator" als Benutzer haben) und das Kennwort NICHT gleich dem irgendeines Domänen-Kontos geben.
Ach ja: Der Name der Arbeitsgruppe sollte auch nicht unbedingt der NetBIOS Name der Domäne sein

Gegen RDP (mit lokalem Admin account) vom Hauptnetz in die DMZ dürfte ja wohl nichts einzuwenden sein, oder?

IN die DMZ rein ist prinzipiell weniger kritisch als raus. RDP ist kein Problem (aber wenn möglich den Standardport von 3389 auf irgendeinen anderen legen -> http://support.microsoft.com/kb/306759 und am Client dann den Port in der Form Hostname:Port bzw. IP-Addresse:Port mitgeben)

Darf er wenigstens auf den PDC mit DNS zugreifen oder soll ich die DNS Abfragen nur nach außen schicken?

Eine DNS-Auflösung für interne Adressen sollte in der DMZ eigentlich nicht nötig sein -> arbeite für die paar Dienste lieber nur mit den IP-Adressen.
DNS Anfragen für externe Internet-Adressen an den DNS-Server des Providers leiten.

Spricht noch etwas gegen die Aktivierung der NETBIOS ports fürs Filesharing vom Hauptnetz in die DMZ?

Wie gesagt, raus ist zwar immer weniger kritisch, aber ich würde in dem Fall einfach die Laufwerke des Clients über den RDP-Client mitnehmen und den Dateiaustausch so machen. Damit kann auch nicht jeder x-beliebige Rechner aus dem LAN drauf zugreifen.

Re(4): Firewall ports zwischen Haupt- und DMZ-Subnet

codeslayer — Mon, 31 Oct 2011 22:32:46 GMT

Also am besten den Server wieder aus der Domain entfernen und nur mit lokalen konten arbeiten. Gegen RDP (mit lokalem Admin account) vom Hauptnetz in die DMZ dürfte ja wohl nichts einzuwenden sein, oder? Darf er wenigstens auf den PDC mit DNS zugreifen oder soll ich die DNS Abfragen nur nach außen schicken?
Spricht noch etwas gegen die Aktivierung der NETBIOS ports fürs Filesharing vom Hauptnetz in die DMZ?

Re(3): Firewall ports zwischen Haupt- und DMZ-Subnet

Glockman — Mon, 31 Oct 2011 22:11:32 GMT

Rein theoretisch wäre es vielleicht sogar sicherer sich mit einem User anzumelden (muss nicht unbeding DA sein), dessen Authentifizierung von einem anderen Server (z.B. PDC) gemacht wird. Wenn jemmand die Windows DMZ Maschine hacken sollte, dann wird er ja vermutlich die lokalen Useraccount als erstes kompromitieren. Deswegen will ich eigentlich dem DMZ Server nur die Authentifizierungsmöglichkeit am PDC geben (aus der DMZ aus gesehen).

Und genau DA lieget der Denkfehler.

Wenn man auf der Maschine in der DMZ schon mal ist, und die ist IN der Domäne, dann ist auch der Angreifer IN der Domäne. Dazu muss er auch nichtmal das Konto vom Domänen-User hacken. Er wird vielleicht mit dem lokalen User keine Rechte haben, aber er kann sich im gesamten Netzwerk zumindest umschauen.
Und denk dran: auch die Maschinen haben Konten in der Domäne, und damit in jedem Fall auch Leserechte im AD.

Ist der Server jetzt ein echtes stand-alone Gerät, dann schaut es schon viel besser aus. Ist der gekapert, ist zwar ist diese Maschine dann nicht mehr "Deine", aber in der Domäne kann der Angreifer erst mal nix machen. Wenn dann noch alle Ports außer den wirklich benötigten nach innen zu sind muss man schon einiges an Mehraufwand betreiben, um Informationen über das Netz hinter der FW herauszufinden (eine korrekte/vernünftige Konfiguration vorausgesetzt).

Re(3): Firewall ports zwischen Haupt- und DMZ-Subnet

bigboss007 — Mon, 31 Oct 2011 10:44:20 GMT

wenn ein exchange server in der DMZ steht dann ist das der Front-End!

Ansonsten wüsste ich keinen Grund einen Exchange in die DMZ stellen - Zugriff von aussen erfolgt ja eh über OWA/OMA

ich schreib dir in ca 2 stunden eine erklärung zu deiner frage...bin noch ein wenig im stress

Re(2): Firewall ports zwischen Haupt- und DMZ-Subnet

Desolationrob — Mon, 31 Oct 2011 10:43:32 GMT

in jedem grösserem environment ist es gang und gebe das man sich an JEDEM Server über ein zentralisiertes System anmeldet

Re(2): Firewall ports zwischen Haupt- und DMZ-Subnet

codeslayer — Mon, 31 Oct 2011 09:58:36 GMT

Was macht man dann bei z.B. einem Exchange Server?
ok...da muss man sich vielleicht nicht unbedingt mit einem Domain Admin anmelden, aber der braucht ja auch etliche Ports damit er sauber mit dem PDC kommunizieren kann.
Bei einem MS Small Business Server ist es sogar noch schlimmer, da läuft der Exchange ja in der Minimalumgebung auf dem PDC direkt.

Kannst du mal erklären warum das Anmelden mit einem Domain Admin an einem DMZ Server ein Sicherheitsproblem darstellt? Ich würde gerne mal den Hintergrund verstehen. Rein theoretisch wäre es vielleicht sogar sicherer sich mit einem User anzumelden (muss nicht unbeding DA sein), dessen Authentifizierung von einem anderen Server (z.B. PDC) gemacht wird. Wenn jemmand die Windows DMZ Maschine hacken sollte, dann wird er ja vermutlich die lokalen Useraccount als erstes kompromitieren. Deswegen will ich eigentlich dem DMZ Server nur die Authentifizierungsmöglichkeit am PDC geben (aus der DMZ aus gesehen).

Re(4): Firewall ports zwischen Haupt- und DMZ-Subnet

codeslayer — Mon, 31 Oct 2011 09:39:10 GMT

Bin ganz deiner Meinung

Re: Firewall ports zwischen Haupt- und DMZ-Subnet

bigboss007 — Mon, 31 Oct 2011 09:05:58 GMT

auch als Member and die Domäne des PDCs gekoppelt ist.

damit schließt du denn sinn der DMZ schon mal aus... sinn der DMZ ist es sowenig möglichkeiten zu bieten um ins produktivLAN vorzudringen!

wenn du natürlich einen member-server der domäne in der DMZ stehen hast und dich noch dazu mit einem DA anmelden willst dann machst es für einen angreifer zum kinderspiel in dein produktivLAN vorzudringen!

Re(3): Firewall ports zwischen Haupt- und DMZ-Subnet

Desolationrob — Mon, 31 Oct 2011 07:48:45 GMT

Warum sollte man das dich fragen ? Es gibt Millionen Windowsmaschinen die Dienste via Internet anbieten, allein schon alle Windows basierten hostingkisten, exchanges die via active sync und owa ansüprechbar sind,Sharepointgeschichten usw usf. Also soooo abwegig sind Windows Server nun wirklich nicht mehr.

Man muss halt abwiegen wie unsicher die Anwendungen sind, was würde passieren wenn die jemand aufmacht, was ist wenn derjenige wirklich bis aufs OS runterkommt, was kann er von da aus machen. Klar, er könnte schon mal per IP direkt mit dem Linuxhobel kommunizieren, er könnte versuchen auf das interne Netz oder die anderen erwähnten Zonen zu kommen oder rauszufinden was dein Windowsserver so tut. Das sind aber allesamt keine Kriterien die einen Windows in der DMZ per se verbieten.

Re(3): Firewall ports zwischen Haupt- und DMZ-Subnet

Desolationrob — Mon, 31 Oct 2011 07:48:45 GMT

Re(2): Firewall ports zwischen Haupt- und DMZ-Subnet

codeslayer — Mon, 31 Oct 2011 03:08:02 GMT

Ja, ich kann live mitschauen was passiert. Das war eigentlich ursprünglich meine Notlösung mal zu sehen was der DMZ Server möchte, dann nachzulesen wofür die Ports dann eigentlich sind und schließlich zu entscheiden ob er das dann wirklich braucht um es minimal zu halten.
Ich habe bisher meist nur Linux Server in die DMZ gestellt und diese dann nur via SSH ge-managed. Da ist die Konfiguration der Firewall etwas einfacher.

Der DMZ Server hat momentan nur SMTP/POP3/IMAP Dienste (also Mailservices). Eventuell würden dann später noch andere Dienste hinzukommen.
Als Software verwende ich hier hMailServer.

Ich habe übrigens noch einen zweiten DMZ Server der unter Linux läuft auf dem HTTP und FTP Dienste laufen.

Jetzt mögen vielleicht manche als fragwürdig finden, warum ich gerade eine Windows Maschine als Mailserver verwende.
Natürlich könnte ich auch die Mail-Dienste auf dem Linux server laufen lassen, allerdings habe ich bisher keine vernünftige All-In-One Mailserver Software gefunden, die so leicht zu administrieren wäre wie der hMailServer.
Dafür gibt es einen recht guten Admin-Client, mit dem man alles sehr leicht verwalten kann. Ich möchte grundsätzlich die Administration (Mail-Konten, Gruppen, Aliases) auch Usern überlassen können, die kein Linux-KnowHow haben.

Zimbra war z.B. ein Kandidat, da bin ich mir aber nicht sicher ob damit die potenziellen Mail-Administratoren zurecht kommen. Vielleicht werde ich das noch testen bzw. einen neue Thread diesem Thema im Linux Forum starten

Einen Windows Server in der DMZ werde ich vermutlich aber trotzdem brauchen.

Re: Firewall ports zwischen Haupt- und DMZ-Subnet

Desolationrob — Sun, 30 Oct 2011 18:54:03 GMT

Hast du evtl auf der FW die Möglichekit zu capturen ? Weil MS weiß zeitweise selber nicht welche Ports sie eigentlich brauchen Gerade die AD Kommunikation ist da immer ein Rätselraten,kerberos und/oder ldap/s ?

Ansonsten, soweit ich das verstanden habe was du da machst schaut für mich nciht soo problematisch aus als für den Vorposter, kommt halt darauf an was der Server nach draussen anbietet.

Re: Firewall ports zwischen Haupt- und DMZ-Subnet

Glockman — Sat, 29 Oct 2011 00:17:38 GMT

Hi!

Ich würde explizit nicht mit einem Domain-Admin User auf einem vom Internet aus erreichbaren Server arbeiten, geschweige denn den Server in der DMZ überhaupt in die Domäne hängen. Damit hast Du nämlich schon die DMZ ad absurdum geführt.

Falls Du dennoch die Türe ins Hauptnetz noch ein Stück weiter aufmachen willst (DMZ -> LAN):
- TCP/UDP Ports 135 und 137 (RPC und NetBIOS)
- UDP Port 138 (NetBIOS)
- TCP Port 139 (NetBIOS)
- TCP/UDP Port 389 (LDAP)
- TCP/UDP Port 445 (SMB)
- TCP/UDP Ports 3268 und 3269 (Global Catalog [mit LDAP/SSL])

In die DMZ raus müssten in jedem Fall die RPC/NetBIOS und SMB Ports für den Filezugriff offen sein.

Eine komplette List der Services und deren Ports findest Du auch unter
Service overview and network port requirements for the Windows Server system
http://support.microsoft.com/kb/832017

Aber nochmal: ein Server, der vom Internet aus erreichbar ist und vollen Zugriff auf die Domäne hat, muss nicht in einer DMZ stehen. Das LAN ist schon im Internet.
Oder anders gesagt: ein Server steht in einer DMZ, damit er vom restlichen LAN so gut es geht entkoppelt ist. Und der ist dann bitte auch kein Memberserver...

hth,

Firewall ports zwischen Haupt- und DMZ-Subnet

codeslayer — Fri, 28 Oct 2011 23:18:32 GMT

Ich hab ein Netzwerk aus 2 Subnetzen (Hauptnetz und DMZ) aufgebaut, die beide über eine Gateway miteinander gekoppelt sind. Es gibt zwar auch noch andere Subnetze, aber die sind jetzt mal nicht relevant.

Im Hauptnetz steht ein Windows 2008 Server der als PDC konfiguriert ist und im DMZ steht ein anderer Windows 2008 Server (nennen wir ihn DMZ Server), der über bestimmte Ports aus dem Internet zugänglich ist und auch als Member and die Domäne des PDCs gekoppelt ist. Grundsätzlich läuft die Konfiguration einwanfrei, allerdings würde ich natürlich gerne die Anzahl der Ports beschränken, die zwischen beiden Subnetzen offen sind.

1. Den Port 3389 für RDP vom Hauptnetz in die DMZ habe ich bereits geöffnet um die Maschine grundsätzlich administrieren zu können.
2. Auch den DNS Port vom Subnetz ins Hauptnetz habe ich geöffnet, damit der DMZ Server DNS requests an den PDC senden kann.

Welche Ports in welche Richtung müßten noch offen sein damit...

a.) Ich mich am DMZ Server korrekt als Domain Admin (und nicht nur als lokaler User des DMZ Servers anmelden kann? Da muss ja sicher ein Authentifizierungs-Request and den PDC geschickt werden damit das korrekt geht.

b.) Ich auf die Filesystem-Freigaben des DMZ Servers vom Hauptnetz zugreifen kann (um zB. direkt Log-Files ansehen zu können und evtl. Files hinkopieren zu können)?