Firewall ports zwischen Haupt- und DMZ-Subnet

Firewall ports zwischen Haupt- und DMZ-Subnet (21 Beiträge, 612 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Ich hab ein Netzwerk aus 2 Subnetzen (Hauptnetz und DMZ) aufgebaut, die beide über eine Gateway miteinander gekoppelt sind. Es gibt zwar auch noch andere Subnetze, aber die sind jetzt mal nicht relevant.

Im Hauptnetz steht ein Windows 2008 Server der als PDC konfiguriert ist und im DMZ steht ein anderer Windows 2008 Server (nennen wir ihn DMZ Server), der über bestimmte Ports aus dem Internet zugänglich ist und auch als Member and die Domäne des PDCs gekoppelt ist. Grundsätzlich läuft die Konfiguration einwanfrei, allerdings würde ich natürlich gerne die Anzahl der Ports beschränken, die zwischen beiden Subnetzen offen sind.

1. Den Port 3389 für RDP vom Hauptnetz in die DMZ habe ich bereits geöffnet um die Maschine grundsätzlich administrieren zu können.
2. Auch den DNS Port vom Subnetz ins Hauptnetz habe ich geöffnet, damit der DMZ Server DNS requests an den PDC senden kann.

Welche Ports in welche Richtung müßten noch offen sein damit...

a.) Ich mich am DMZ Server korrekt als Domain Admin (und nicht nur als lokaler User des DMZ Servers anmelden kann? Da muss ja sicher ein Authentifizierungs-Request and den PDC geschickt werden damit das korrekt geht.

b.) Ich auf die Filesystem-Freigaben des DMZ Servers vom Hauptnetz zugreifen kann (um zB. direkt Log-Files ansehen zu können und evtl. Files hinkopieren zu können)?

Hi!

Ich würde explizit nicht mit einem Domain-Admin User auf einem vom Internet aus erreichbaren Server arbeiten, geschweige denn den Server in der DMZ überhaupt in die Domäne hängen. Damit hast Du nämlich schon die DMZ ad absurdum geführt.

Falls Du dennoch die Türe ins Hauptnetz noch ein Stück weiter aufmachen willst (DMZ -> LAN):
- TCP/UDP Ports 135 und 137 (RPC und NetBIOS)
- UDP Port 138 (NetBIOS)
- TCP Port 139 (NetBIOS)
- TCP/UDP Port 389 (LDAP)
- TCP/UDP Port 445 (SMB)
- TCP/UDP Ports 3268 und 3269 (Global Catalog [mit LDAP/SSL])

In die DMZ raus müssten in jedem Fall die RPC/NetBIOS und SMB Ports für den Filezugriff offen sein.

Eine komplette List der Services und deren Ports findest Du auch unter
Service overview and network port requirements for the Windows Server system
http://support.microsoft.com/kb/832017

Aber nochmal: ein Server, der vom Internet aus erreichbar ist und vollen Zugriff auf die Domäne hat, muss nicht in einer DMZ stehen. Das LAN ist schon im Internet.
Oder anders gesagt: ein Server steht in einer DMZ, damit er vom restlichen LAN so gut es geht entkoppelt ist. Und der ist dann bitte auch kein Memberserver...

hth,

greetz

glockman

- There's no replacement for displacement. Not even Diesel. -

vs.

Hast du evtl auf der FW die Möglichekit zu capturen ? Weil MS weiß zeitweise selber nicht welche Ports sie eigentlich brauchen

Gerade die AD Kommunikation ist da immer ein Rätselraten,kerberos und/oder ldap/s ?

Ansonsten, soweit ich das verstanden habe was du da machst schaut für mich nciht soo problematisch aus als für den Vorposter, kommt halt darauf an was der Server nach draussen anbietet.
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Ja, ich kann live mitschauen was passiert. Das war eigentlich ursprünglich meine Notlösung mal zu sehen was der DMZ Server möchte, dann nachzulesen wofür die Ports dann eigentlich sind und schließlich zu entscheiden ob er das dann wirklich braucht um es minimal zu halten.
Ich habe bisher meist nur Linux Server in die DMZ gestellt und diese dann nur via SSH ge-managed. Da ist die Konfiguration der Firewall etwas einfacher.

Der DMZ Server hat momentan nur SMTP/POP3/IMAP Dienste (also Mailservices). Eventuell würden dann später noch andere Dienste hinzukommen.
Als Software verwende ich hier hMailServer.

Ich habe übrigens noch einen zweiten DMZ Server der unter Linux läuft auf dem HTTP und FTP Dienste laufen.

Jetzt mögen vielleicht manche als fragwürdig finden, warum ich gerade eine Windows Maschine als Mailserver verwende.
Natürlich könnte ich auch die Mail-Dienste auf dem Linux server laufen lassen, allerdings habe ich bisher keine vernünftige All-In-One Mailserver Software gefunden, die so leicht zu administrieren wäre wie der hMailServer.
Dafür gibt es einen recht guten Admin-Client, mit dem man alles sehr leicht verwalten kann. Ich möchte grundsätzlich die Administration (Mail-Konten, Gruppen, Aliases) auch Usern überlassen können, die kein Linux-KnowHow haben.

Zimbra war z.B. ein Kandidat, da bin ich mir aber nicht sicher ob damit die potenziellen Mail-Administratoren zurecht kommen. Vielleicht werde ich das noch testen bzw. einen neue Thread diesem Thema im Linux Forum starten

Einen Windows Server in der DMZ werde ich vermutlich aber trotzdem brauchen.

Warum sollte man das dich fragen ? Es gibt Millionen Windowsmaschinen die Dienste via Internet anbieten, allein schon alle Windows basierten hostingkisten, exchanges die via active sync und owa ansüprechbar sind,Sharepointgeschichten usw usf. Also soooo abwegig sind Windows Server nun wirklich nicht mehr.

Man muss halt abwiegen wie unsicher die Anwendungen sind, was würde passieren wenn die jemand aufmacht, was ist wenn derjenige wirklich bis aufs OS runterkommt, was kann er von da aus machen. Klar, er könnte schon mal per IP direkt mit dem Linuxhobel kommunizieren, er könnte versuchen auf das interne Netz oder die anderen erwähnten Zonen zu kommen oder rauszufinden was dein Windowsserver so tut. Das sind aber allesamt keine Kriterien die einen Windows in der DMZ per se verbieten.

Jeder der meint Windowsserver (bzw die Applikation drauf) dürfen nicht ins Internet gestellt werden hat einfach keine Ahnung, ist ein Linuxverfechter oder hat sonst irgendeinen Dachschaden, solche "Tipps" kann man gleich mal ignorieren
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

31.10.2011, 08:50 Uhr - Editiert von Desolationrob, alte Version: hier

Bin ganz deiner Meinung

auch als Member and die Domäne des PDCs gekoppelt ist.

damit schließt du denn sinn der DMZ schon mal aus... sinn der DMZ ist es sowenig möglichkeiten zu bieten um ins produktivLAN vorzudringen!

wenn du natürlich einen member-server der domäne in der DMZ stehen hast und dich noch dazu mit einem DA anmelden willst dann machst es für einen angreifer zum kinderspiel in dein produktivLAN vorzudringen!
____________________________________________________________________

Only the Dead have seen the end of the War

(Plato)

Was macht man dann bei z.B. einem Exchange Server?
ok...da muss man sich vielleicht nicht unbedingt mit einem Domain Admin anmelden, aber der braucht ja auch etliche Ports damit er sauber mit dem PDC kommunizieren kann.
Bei einem MS Small Business Server ist es sogar noch schlimmer, da läuft der Exchange ja in der Minimalumgebung auf dem PDC direkt.

Kannst du mal erklären warum das Anmelden mit einem Domain Admin an einem DMZ Server ein Sicherheitsproblem darstellt? Ich würde gerne mal den Hintergrund verstehen. Rein theoretisch wäre es vielleicht sogar sicherer sich mit einem User anzumelden (muss nicht unbeding DA sein), dessen Authentifizierung von einem anderen Server (z.B. PDC) gemacht wird. Wenn jemmand die Windows DMZ Maschine hacken sollte, dann wird er ja vermutlich die lokalen Useraccount als erstes kompromitieren. Deswegen will ich eigentlich dem DMZ Server nur die Authentifizierungsmöglichkeit am PDC geben (aus der DMZ aus gesehen).

wenn ein exchange server in der DMZ steht dann ist das der Front-End!

Ansonsten wüsste ich keinen Grund einen Exchange in die DMZ stellen - Zugriff von aussen erfolgt ja eh über OWA/OMA

ich schreib dir in ca 2 stunden eine erklärung zu deiner frage...bin noch ein wenig im stress

____________________________________________________________________

Only the Dead have seen the end of the War

(Plato)

Rein theoretisch wäre es vielleicht sogar sicherer sich mit einem User anzumelden (muss nicht unbeding DA sein), dessen Authentifizierung von einem anderen Server (z.B. PDC) gemacht wird. Wenn jemmand die Windows DMZ Maschine hacken sollte, dann wird er ja vermutlich die lokalen Useraccount als erstes kompromitieren. Deswegen will ich eigentlich dem DMZ Server nur die Authentifizierungsmöglichkeit am PDC geben (aus der DMZ aus gesehen).

Und genau DA lieget der Denkfehler.

Wenn man auf der Maschine in der DMZ schon mal ist, und die ist IN der Domäne, dann ist auch der Angreifer IN der Domäne. Dazu muss er auch nichtmal das Konto vom Domänen-User hacken. Er wird vielleicht mit dem lokalen User keine Rechte haben, aber er kann sich im gesamten Netzwerk zumindest umschauen.
Und denk dran: auch die Maschinen haben Konten in der Domäne, und damit in jedem Fall auch Leserechte im AD.

Ist der Server jetzt ein echtes stand-alone Gerät, dann schaut es schon viel besser aus. Ist der gekapert, ist zwar ist diese Maschine dann nicht mehr "Deine", aber in der Domäne kann der Angreifer erst mal nix machen. Wenn dann noch alle Ports außer den wirklich benötigten nach innen zu sind muss man schon einiges an Mehraufwand betreiben, um Informationen über das Netz hinter der FW herauszufinden (eine korrekte/vernünftige Konfiguration vorausgesetzt).

greetz

glockman

- There's no replacement for displacement. Not even Diesel. -

vs.

Also am besten den Server wieder aus der Domain entfernen und nur mit lokalen konten arbeiten. Gegen RDP (mit lokalem Admin account) vom Hauptnetz in die DMZ dürfte ja wohl nichts einzuwenden sein, oder? Darf er wenigstens auf den PDC mit DNS zugreifen oder soll ich die DNS Abfragen nur nach außen schicken?
Spricht noch etwas gegen die Aktivierung der NETBIOS ports fürs Filesharing vom Hauptnetz in die DMZ?

Also am besten den Server wieder aus der Domain entfernen und nur mit lokalen konten arbeiten

Würde ich so machen, ja.
Und: lokalen Admin-Account umbenennen (also KEINEN "Administrator" als Benutzer haben) und das Kennwort NICHT gleich dem irgendeines Domänen-Kontos geben.
Ach ja: Der Name der Arbeitsgruppe sollte auch nicht unbedingt der NetBIOS Name der Domäne sein

Gegen RDP (mit lokalem Admin account) vom Hauptnetz in die DMZ dürfte ja wohl nichts einzuwenden sein, oder?

IN die DMZ rein ist prinzipiell weniger kritisch als raus. RDP ist kein Problem (aber wenn möglich den Standardport von 3389 auf irgendeinen anderen legen -> http://support.microsoft.com/kb/306759 und am Client dann den Port in der Form Hostname:Port bzw. IP-Addresse:Port mitgeben)

Darf er wenigstens auf den PDC mit DNS zugreifen oder soll ich die DNS Abfragen nur nach außen schicken?

Eine DNS-Auflösung für interne Adressen sollte in der DMZ eigentlich nicht nötig sein -> arbeite für die paar Dienste lieber nur mit den IP-Adressen.
DNS Anfragen für externe Internet-Adressen an den DNS-Server des Providers leiten.

Spricht noch etwas gegen die Aktivierung der NETBIOS ports fürs Filesharing vom Hauptnetz in die DMZ?

Wie gesagt, raus ist zwar immer weniger kritisch, aber ich würde in dem Fall einfach die Laufwerke des Clients über den RDP-Client mitnehmen und den Dateiaustausch so machen. Damit kann auch nicht jeder x-beliebige Rechner aus dem LAN drauf zugreifen.

greetz

glockman

- There's no replacement for displacement. Not even Diesel. -

vs.

Danke für deine Tipps. Werde es so implementieren.

Was macht man dann bei z.B. einem Exchange Server?

ins DMZ kommt der Edge Transport Server, der kein Domänen-Mitglied ist und nur DNS, SMTP und SLDAP-Verbindung ins Internal hat!

Verkaufe Windows 2008 Std. x64 inkl. 5 CALs, bei Interesse einfach melden!

Ja, stimmt...ich kann mich noch düster daran erinnern.

Irgendwie finde ich das extrem krank, dass man - um Exchange sicher zu betrieben (also DMZ usw.) - man eigentlich gleich 2 Lizenzen davon kaufen muss.

Man bich ich froh nicht mehr mit diesem Exchange-Kack arbeiten zu müssen

jaein ... das muss man relativ sehen! ab ca. 15 Zugriffslizenzen zahlst eh schon mehr pro Zugriffslizenz als für den Server selbst (Exchange 2010 Std.)

Verkaufe Windows 2008 Std. x64 inkl. 5 CALs, bei Interesse einfach melden!

09.11.2011, 19:58 Uhr - Editiert von -Transformer2K-, alte Version: hier

in jedem grösserem environment ist es gang und gebe das man sich an JEDEM Server über ein zentralisiertes System anmeldet

_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

eh...

darum kommen auch in letzter zeit dauernd meldungen im fernsehen, dass gruppen von kindern, die ohne eltern noch nicht mal nasenbohren dürfen, kritische daten kopieren konnten.

btw:

gang und gebe

http://www.korrekturen.de/beliebte_fehler/gang_und_gebe.shtml

s c h ö n e s c h e i s s e, d a u e r n d d a s s e l b e

Viele Menschen sind zu gut erzogen, um mit vollem Mund zu sprechen,
aber sie haben keinerlei Bedenken, es mit leerem Kopf zu tun!

das passiert aber fast immer über schwache Applikationen und DBs, dumme Fehler bei der Konfiguration etc. Da hilft einem das beste Zoning nix wenn es bei vielen Leuten schon an absoluten Basics mangelt
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung