Wenn ich einen PC aus der DMZ der Domäne hinzufügen will, muss ich doch gewisse Ports offen haben, damit ich den PC überhaupt an der Domäne anmelden kann. Habe beim googeln aber nichts gefunden. Da hat sicher jemand einen Rat für mich.

Danke schon mal.

Gruss

ja du musst ein paar Ports offen haben, soviel ich weiss genügen die netbios ports (134-138). jedoch wäre dann die funktion der DMZ wieder sinnlos, denn die genannten ports sollten bei windows kisten umbedingt zu sein, anhand dieser ports kann nämlich der angreifer an die benutzer accounts gelangen.

Aber ein Angreifer kommt von Internet und die Verbindung wäre zwischen der DMZ und dem LAN (DMZ Schlupfloch).

Ich möchte die Domänen Konten für den FTP Zugang nutzen. Dazu müsste der FTP Server in die Domäne.

Du kannst ja den Weg vom Internet in die DMZ alle Ports blocken ausser 20 und 21 für den FTP - dann wäre es auch wieder sicher Dann kannst Du von der DMZ in Lan die gewünschten Ports öffnen.

Sollte nicht grundsätzlich kein Port von der DMZ nach LAN gemacht werden? Wenn es jemandem gelingt, einen oder mehrer PCs im DMZ zu knacken, dann kann er doch nachher einfacher aufs LAN zugreifen, nicht?

Warum? Grundsätzlich sollte nichts von aussen direkt ins LAN, sondern in die DMZ. Und den zufolge brauchst Du zwischen dem LAN und der DMZ Schlupflöcher. Nehmen wir als Beispiel einen Proxy. Wenn Du vom LAN her in ins Internet willst, gehst du per Proxy (in der DMZ) nach aussen. Damit Du aber den Proxy ansprechen kannst, brauchst Du einen offnen Port. Oder Du willst den Web- oder FTP Server ansprechen, welcher in der DMZ steht. Auch das brauchst Du offene Ports.

Ich möchte meine Domänen Accounts dazu benutzen, um auf der Website (per Anmeldung) einen geschützten Bereich anzusprechen und habe keine Lust, alle User nochmals zu generieren.

Sicherheit ist halt immer ein Kompromiss.
Ich würde auch sagen, dass zwischen DMZ und dem LAN diverse Ports offen sein sollten (oder sogar müssen!). Natürlich sollten so wenige Ports offen sein, wie nur irgendwie nötig. Beide Firewalls müssen auch ständig gewartet/überwacht werden. (Gilt natürlich auch für die Packetfilter.)
Heikel sind natürlich die Useraccounts: Kommt ein Angreiffer in die DMZ rein, hat er schon eine Übersicht über die Benutzerdaten. Ausserdem sind die zusätzlichen offenen Ports für ihn eine weitere Möglichkeit, die DMZ zu überwinden.
Es gibt doch sicher eine Möglichkeit, die Useraccounts zu exportieren, um sie danach in die DMZ zu importieren?

http://de.wikipedia.org/wiki/DMZ

bis bald
Kermit

Ich glaube ich habe mich nicht sauber ausgedrückt, sorry. Ich meinte explizit Ports von der DMZ ins LAN. Damit Du vom LAN in die DMZ kommst, ist es schon klar, dass Du offene Ports brauchst.
Ich werde unseren Webserver in der DMZ laufen lassen, da wir kein AD haben sollte das kein Problem sein. Wenn einer den Webserver übernehmen sollte, dann muss er immerhin nochmals eine Hürde nehmen um zu den Daten zu kommen.

Also ich hatte heute wieder mal das Bedürfnis, mich diesem Problem anzunehmen.

Nochmals eine kleine Zusammenfassung:

Ich möchte den Webserver in die Domäne aufnehmen. Der Webserver seht in einer DMZ. Als Firewall setze ich IPCOP 1.4 ein. Domänenreplikation läuft, soviel ich rausgefunden habe, über Port 1024 bis .... . Gibt es eine Möglichkeit, diese Port bei einem Windows 2003 Server einzuschränken? Also z.B. nur Port 1080 bis 1120.

Ich will den Webserver in der Domäne haben, da ich die vorhandenen Benutzerkonten nutzen kann.

Habe zwei Links gefunden, die mir eventuell weiterhelfen. Schau das heute abend mal an.

Von wichtigen Microsoft-Serverprodukten verwendete Netzwerkports
http://www.microsoft.com/germany/kle...werkports.mspx

Active Directory-Replikation über Firewalls
http://www.microsoft.com/germany/tec...es/392763.mspx

Hi Schubo

Wenn ich Dich richtig verstanden habe, willst Du firmeninterne Ad-Informationen auf einen DC in die DMZ replizieren? Das würde ich an deiner Stelle lieber bleiben lassen . Ein DC in der DMZ ist mitunter das schlimmste was Du deinem Netzwekr antun kannst.

Eine Authentifizierung durch die Firewall benötigt ca. 12-15 offene Ports, davon LDAP, DNS, Kerberos usw., genau das, was Du sicher nicht offen haben möchtest, weil dadurch das Netzwerk einem massiv erhöhten Risiko ausgesetzt wird. Auch das ist keine optimale Lösung.

Andere Frage dazu: Warum müssen sich Benutzer eigentlich authentifizieren? Handelt es sich ausschliesslich um interne Benutzer die eine Verbindung zum firmeninternen Webserver aufbauen müssen? Dann würde ich in jedem Fall eine VPN-Lösung vorschlagen. Ist zwar ein bisschen aufwendiger, aber dafür kannst Du Nachts besser schlafen

Gruss Marcel

@ITnetX

Ne, so ist das nicht ganz richtig.

Das ganze spielt sich bei mit zuhause in meinem privaten Netz ab.

Ich will in der DMZ keinen DC, sondern den Webserver in die Domäne aufnehmen.

Kleiner Überblick:

LAN:
Server 1 mit AD, DNS, File, Print, DHCP, Exchange, etc
Server 2 mit Terminal
div Clients

DMZ:
Webserver mit WWW, FTP, OWA, TSWeb, sekundärer DNS (ohne AD info)

Warum will ich das?
Wenn der Webserver Mitglied der Domäne ist, dann muss ich z.B. für den FTP nicht alle Accounts zusätzlich erstellen. Mein Problem ist, dass ich nicht genau weiss, welche DMZ Schlupflöcher ich konfigurieren muss, damit ich den Webserver in die Domäne aufnehmen kann.

Ist eine DMZ mit Schlupflöchern denn noch eine DMZ? Wie definierst du DMZ?

Eine DMZ hat immer Schlupflöchern. Zum Beispiel hast in der DMZ ein Webserver der auf eine SQL-Datenbank im LAN zugreift. Da musst du halt den Port aufmachen oder auf dem Firewall Rules definieren. Ist aber immer noch sicher als den SQL Server direkt in die DMZ zu stellen. Ist halt immer so Art kompromiss!!

Du sagst es, es ist immer ein Kompromiss!

Auszug aus der Wikipedia: "Der Sinn des ganzen Aufwandes ist es, möglichst auf sicherer Basis Dienste des Rechnerverbundes sowohl dem einem als auch dem anderem Netz zur Verfügung zu stellen."

Solange nicht mehr als eine Handvoll Ports offen sind, ist das sicher noch eine DMZ, aber ab wann sind zu viele Ports offen, dass man es wirklich noch als DMZ bezeichnen kann?
Beim Thema Sicherheit gehe ich lieber einen Kompromiss weniger ein.