Re(3): Firewall ports zwischen Haupt- und DMZ-Subnet

Firewall ports zwischen Haupt- und DMZ-Subnet (21 Beiträge, 628 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Ich hab ein Netzwerk aus 2 Subnetzen (Hauptnetz und DMZ) aufgebaut, die beide über eine Gateway miteinander gekoppelt sind. Es gibt zwar auch noch andere Subnetze, aber die sind jetzt mal nicht relevant.

Im Hauptnetz steht ein Windows 2008 Server der als PDC konfiguriert ist und im DMZ steht ein anderer Windows 2008 Server (nennen wir ihn DMZ Server), der über bestimmte Ports aus dem Internet zugänglich ist und auch als Member and die Domäne des PDCs gekoppelt ist. Grundsätzlich läuft die Konfiguration einwanfrei, allerdings würde ich natürlich gerne die Anzahl der Ports beschränken, die zwischen beiden Subnetzen offen sind.

1. Den Port 3389 für RDP vom Hauptnetz in die DMZ habe ich bereits geöffnet um die Maschine grundsätzlich administrieren zu können.
2. Auch den DNS Port vom Subnetz ins Hauptnetz habe ich geöffnet, damit der DMZ Server DNS requests an den PDC senden kann.

Welche Ports in welche Richtung müßten noch offen sein damit...

a.) Ich mich am DMZ Server korrekt als Domain Admin (und nicht nur als lokaler User des DMZ Servers anmelden kann? Da muss ja sicher ein Authentifizierungs-Request and den PDC geschickt werden damit das korrekt geht.

b.) Ich auf die Filesystem-Freigaben des DMZ Servers vom Hauptnetz zugreifen kann (um zB. direkt Log-Files ansehen zu können und evtl. Files hinkopieren zu können)?

Re: Firewall ports zwischen Haupt- und DMZ-Subnet (Glockman am 29.10.2011, 02:17:38)

Re: Firewall ports zwischen Haupt- und DMZ-Subnet (Desolationrob am 30.10.2011, 19:54:03)

Re(2): Firewall ports zwischen Haupt- und DMZ-Subnet (codeslayer am 31.10.2011, 04:08:02)

Re(3): Firewall ports zwischen Haupt- und DMZ-Subnet (Desolationrob am 31.10.2011, 08:48:45)

Re(4): Firewall ports zwischen Haupt- und DMZ-Subnet (codeslayer am 31.10.2011, 10:39:10)

Re: Firewall ports zwischen Haupt- und DMZ-Subnet (bigboss007 am 31.10.2011, 10:05:58)

Re(2): Firewall ports zwischen Haupt- und DMZ-Subnet (codeslayer am 31.10.2011, 10:58:36)

Re(3): Firewall ports zwischen Haupt- und DMZ-Subnet (bigboss007 am 31.10.2011, 11:44:20)

Rein theoretisch wäre es vielleicht sogar sicherer sich mit einem User anzumelden (muss nicht unbeding DA sein), dessen Authentifizierung von einem anderen Server (z.B. PDC) gemacht wird. Wenn jemmand die Windows DMZ Maschine hacken sollte, dann wird er ja vermutlich die lokalen Useraccount als erstes kompromitieren. Deswegen will ich eigentlich dem DMZ Server nur die Authentifizierungsmöglichkeit am PDC geben (aus der DMZ aus gesehen).

Und genau DA lieget der Denkfehler.

Wenn man auf der Maschine in der DMZ schon mal ist, und die ist IN der Domäne, dann ist auch der Angreifer IN der Domäne. Dazu muss er auch nichtmal das Konto vom Domänen-User hacken. Er wird vielleicht mit dem lokalen User keine Rechte haben, aber er kann sich im gesamten Netzwerk zumindest umschauen.
Und denk dran: auch die Maschinen haben Konten in der Domäne, und damit in jedem Fall auch Leserechte im AD.

Ist der Server jetzt ein echtes stand-alone Gerät, dann schaut es schon viel besser aus. Ist der gekapert, ist zwar ist diese Maschine dann nicht mehr "Deine", aber in der Domäne kann der Angreifer erst mal nix machen. Wenn dann noch alle Ports außer den wirklich benötigten nach innen zu sind muss man schon einiges an Mehraufwand betreiben, um Informationen über das Netz hinter der FW herauszufinden (eine korrekte/vernünftige Konfiguration vorausgesetzt).

greetz

glockman

- There's no replacement for displacement. Not even Diesel. -

vs.

Re(4): Firewall ports zwischen Haupt- und DMZ-Subnet (codeslayer am 31.10.2011, 23:32:46)

Re(5): Firewall ports zwischen Haupt- und DMZ-Subnet (Glockman am 01.11.2011, 02:31:03)

Re(6): Firewall ports zwischen Haupt- und DMZ-Subnet (codeslayer am 01.11.2011, 03:08:18)

Re(3): Firewall ports zwischen Haupt- und DMZ-Subnet (-Transformer2K- am 01.11.2011, 13:53:19)

Re(4): Firewall ports zwischen Haupt- und DMZ-Subnet (codeslayer am 09.11.2011, 16:28:37)

Re(5): Firewall ports zwischen Haupt- und DMZ-Subnet (-Transformer2K- am 09.11.2011, 19:55:47)

Re(2): Firewall ports zwischen Haupt- und DMZ-Subnet (Desolationrob am 31.10.2011, 11:43:32)

Re(3): Firewall ports zwischen Haupt- und DMZ-Subnet (athis am 10.11.2011, 01:42:23)

Re(4): Firewall ports zwischen Haupt- und DMZ-Subnet (Desolationrob am 10.11.2011, 09:04:08)

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung