Re(5): Firewall ports zwischen Haupt- und DMZ-Subnet

Firewall ports zwischen Haupt- und DMZ-Subnet (21 Beiträge, 625 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Ich hab ein Netzwerk aus 2 Subnetzen (Hauptnetz und DMZ) aufgebaut, die beide über eine Gateway miteinander gekoppelt sind. Es gibt zwar auch noch andere Subnetze, aber die sind jetzt mal nicht relevant.

Im Hauptnetz steht ein Windows 2008 Server der als PDC konfiguriert ist und im DMZ steht ein anderer Windows 2008 Server (nennen wir ihn DMZ Server), der über bestimmte Ports aus dem Internet zugänglich ist und auch als Member and die Domäne des PDCs gekoppelt ist. Grundsätzlich läuft die Konfiguration einwanfrei, allerdings würde ich natürlich gerne die Anzahl der Ports beschränken, die zwischen beiden Subnetzen offen sind.

1. Den Port 3389 für RDP vom Hauptnetz in die DMZ habe ich bereits geöffnet um die Maschine grundsätzlich administrieren zu können.
2. Auch den DNS Port vom Subnetz ins Hauptnetz habe ich geöffnet, damit der DMZ Server DNS requests an den PDC senden kann.

Welche Ports in welche Richtung müßten noch offen sein damit...

a.) Ich mich am DMZ Server korrekt als Domain Admin (und nicht nur als lokaler User des DMZ Servers anmelden kann? Da muss ja sicher ein Authentifizierungs-Request and den PDC geschickt werden damit das korrekt geht.

b.) Ich auf die Filesystem-Freigaben des DMZ Servers vom Hauptnetz zugreifen kann (um zB. direkt Log-Files ansehen zu können und evtl. Files hinkopieren zu können)?

Re: Firewall ports zwischen Haupt- und DMZ-Subnet (Glockman am 29.10.2011, 02:17:38)

Re: Firewall ports zwischen Haupt- und DMZ-Subnet (Desolationrob am 30.10.2011, 19:54:03)

Re(2): Firewall ports zwischen Haupt- und DMZ-Subnet (codeslayer am 31.10.2011, 04:08:02)

Re(3): Firewall ports zwischen Haupt- und DMZ-Subnet (Desolationrob am 31.10.2011, 08:48:45)

Re(4): Firewall ports zwischen Haupt- und DMZ-Subnet (codeslayer am 31.10.2011, 10:39:10)

Re: Firewall ports zwischen Haupt- und DMZ-Subnet (bigboss007 am 31.10.2011, 10:05:58)

Re(2): Firewall ports zwischen Haupt- und DMZ-Subnet (codeslayer am 31.10.2011, 10:58:36)

Re(3): Firewall ports zwischen Haupt- und DMZ-Subnet (bigboss007 am 31.10.2011, 11:44:20)

Re(3): Firewall ports zwischen Haupt- und DMZ-Subnet (Glockman am 31.10.2011, 23:11:32)

Re(4): Firewall ports zwischen Haupt- und DMZ-Subnet (codeslayer am 31.10.2011, 23:32:46)

Also am besten den Server wieder aus der Domain entfernen und nur mit lokalen konten arbeiten

Würde ich so machen, ja.
Und: lokalen Admin-Account umbenennen (also KEINEN "Administrator" als Benutzer haben) und das Kennwort NICHT gleich dem irgendeines Domänen-Kontos geben.
Ach ja: Der Name der Arbeitsgruppe sollte auch nicht unbedingt der NetBIOS Name der Domäne sein

Gegen RDP (mit lokalem Admin account) vom Hauptnetz in die DMZ dürfte ja wohl nichts einzuwenden sein, oder?

IN die DMZ rein ist prinzipiell weniger kritisch als raus. RDP ist kein Problem (aber wenn möglich den Standardport von 3389 auf irgendeinen anderen legen -> http://support.microsoft.com/kb/306759 und am Client dann den Port in der Form Hostname:Port bzw. IP-Addresse:Port mitgeben)

Darf er wenigstens auf den PDC mit DNS zugreifen oder soll ich die DNS Abfragen nur nach außen schicken?

Eine DNS-Auflösung für interne Adressen sollte in der DMZ eigentlich nicht nötig sein -> arbeite für die paar Dienste lieber nur mit den IP-Adressen.
DNS Anfragen für externe Internet-Adressen an den DNS-Server des Providers leiten.

Spricht noch etwas gegen die Aktivierung der NETBIOS ports fürs Filesharing vom Hauptnetz in die DMZ?

Wie gesagt, raus ist zwar immer weniger kritisch, aber ich würde in dem Fall einfach die Laufwerke des Clients über den RDP-Client mitnehmen und den Dateiaustausch so machen. Damit kann auch nicht jeder x-beliebige Rechner aus dem LAN drauf zugreifen.

greetz

glockman

- There's no replacement for displacement. Not even Diesel. -

vs.

Re(6): Firewall ports zwischen Haupt- und DMZ-Subnet (codeslayer am 01.11.2011, 03:08:18)

Re(3): Firewall ports zwischen Haupt- und DMZ-Subnet (-Transformer2K- am 01.11.2011, 13:53:19)

Re(4): Firewall ports zwischen Haupt- und DMZ-Subnet (codeslayer am 09.11.2011, 16:28:37)

Re(5): Firewall ports zwischen Haupt- und DMZ-Subnet (-Transformer2K- am 09.11.2011, 19:55:47)

Re(2): Firewall ports zwischen Haupt- und DMZ-Subnet (Desolationrob am 31.10.2011, 11:43:32)

Re(3): Firewall ports zwischen Haupt- und DMZ-Subnet (athis am 10.11.2011, 01:42:23)

Re(4): Firewall ports zwischen Haupt- und DMZ-Subnet (Desolationrob am 10.11.2011, 09:04:08)

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung