Zum Inhalt wechseln


Foto

DirectAccess - Beide NICs in DMZ - Welche Ports öffnen?


  • Bitte melde dich an um zu Antworten
19 Antworten in diesem Thema

#1 Alsion

Alsion

    Newbie

  • 49 Beiträge

 

Geschrieben 01. März 2017 - 08:28

Hallo zusammen,

 

ich bin ins kalte Wasser geworfen worden und darf mich mit DirectAccess auf Server 2016 befassen.

Meine Installation funktioniert soweit auch. Aktuell habe ich eine NIC in der public DMZ hinter einem NAT-Device (Port-Weiterleitung 443) und eine NIC im internen Netz.

 

Letzteres soll nun geändert werden und die zweite NIC für mehr Sicherheit und Kontrolle in die private DMZ. Der Server stünde damit dann zwischen zwei Firewalls. Einmal der, die externen Verkehr regelt, einmal der Internen, die die private DMZ vom internen Netz trennt.

 

Nun stellt sich für mich die Frage: Bevor ich meinen Firewall-Kollegen ins Boot hole würde ich gerne wissen, welche Ports auf jeden Fall ins interne Netz geöffnet werden müssen. Sind das nur bestimmte und dadurch wird alles getunnelt? Wenn ja, welche?

Oder brauche ich für jede Anwendung im internen Netz ein eigenes Löchlein in der Firewall zum internen Netz? (RDP, Sharepoint, IIS, SQL, File Services, Print, SAP etc. pp.).

 

Kann mir hier jemand mit Erfahrungswerten weiterhelfen?



#2 testperson

testperson

    Board Veteran

  • 4.510 Beiträge

 

Geschrieben 01. März 2017 - 08:54

Hi,

 

AFAIK gilt da https://technet.micr...y/jj574101.aspx

When using additional firewalls, apply the following internal network firewall exceptions for Remote Access traffic:

  • ISATAP—Protocol 41 inbound and outbound

  • TCP/UDP for all IPv4/IPv6 traffic

 

Ansonsten eben für alle benötigten Ressourcen / Applikationen die entsprechenden Regeln ;)

 

Gruß

Jan


Good morning, that's a nice TNETENNBA!

#3 Alsion

Alsion

    Newbie

  • 49 Beiträge

 

Geschrieben 01. März 2017 - 08:56

 

Ansonsten eben für alle benötigten Ressourcen / Applikationen die entsprechenden Regeln ;)

 

Danke für Deine Antwort! Was in unserem Fall dann wahrscheinlich bedeuten würde die interne FW ordentlich zu durchlöchern...



#4 NorbertFe

NorbertFe

    Expert Member

  • 30.595 Beiträge

 

Geschrieben 01. März 2017 - 09:34

ist ja irgendwie auch logisch, dass auf der anderen Seite des VPN Tunnels eben alle Protokolle irgendwann "raus müssen", die auf der Startseite in den Tunnel reinkippe oder? ;)

Make something i***-proof and they will build a better i***.


#5 magheinz

magheinz

    Newbie

  • 1.318 Beiträge

 

Geschrieben 01. März 2017 - 16:33

Das Anbinden eines Gerätes in mehrere Netzwerkbereiche ist nur für Virtualisierungshosts erlaubt. Das was du machst und weiter vorhast ist ein nogo. Da kann man die Firewall auch gleich weg lassen.

#6 Alsion

Alsion

    Newbie

  • 49 Beiträge

 

Geschrieben 02. März 2017 - 06:57

Das Anbinden eines Gerätes in mehrere Netzwerkbereiche ist nur für Virtualisierungshosts erlaubt. Das was du machst und weiter vorhast ist ein nogo. Da kann man die Firewall auch gleich weg lassen.

Vielleicht verstehe ich Deinen Einwand falsch, aber genau das macht MS mit DirectAccess doch sowieso. Normalerweise halt mit einer Karte in der DMZ mit der anderen im internen Netz. Ich versuche die zweite Karte auch in der DMZ (wenn auch in einem eigenen Bereich) zu lassen. In beiden Fällen sind das aber zwei Netzbereiche. In meinem Fall versuche ich ja gerade die zweite Firewall einzubeziehen. Deshalb die Frage.

In der von MS favorisierten Variante würde ich in der Tat die zweite Firewall umgehen.

 

Sollte meine angedachte Lösung funktionieren, hätte ich zwei Firewalls! Internet/Client => FW => public DMZ => DA Server => private DMZ => FW => internes Netz.


Bearbeitet von Alsion, 02. März 2017 - 06:58.


#7 NorbertFe

NorbertFe

    Expert Member

  • 30.595 Beiträge

 

Geschrieben 02. März 2017 - 07:15

Und wie kommst du von privater Dmz ins LAN? Das ist bei von Zugängen irgendwie hinderlich, oder verstehe ich da was falsch?

Make something i***-proof and they will build a better i***.


#8 Alsion

Alsion

    Newbie

  • 49 Beiträge

 

Geschrieben 02. März 2017 - 07:19

Und wie kommst du von privater Dmz ins LAN? Das ist bei von Zugängen irgendwie hinderlich, oder verstehe ich da was falsch?

Da gibt es (wenn ich meinen FW-Kollegen richtig verstanden habe!) statische Routen auf dem Gateway der an der 2 NIC des DA-Servers eingetragen ist. Durch die FW durch sofern die Ports offen sind. Ich will jetzt eben testen welche Ports da geöffnet werden müssten.



#9 NorbertFe

NorbertFe

    Expert Member

  • 30.595 Beiträge

 

Geschrieben 02. März 2017 - 07:46

Na alle die du brauchst im allgemeinen steuert man sowas am vpn Gateway aber direct access wird so nicht funktionieren.

Make something i***-proof and they will build a better i***.


#10 Alsion

Alsion

    Newbie

  • 49 Beiträge

 

Geschrieben 02. März 2017 - 07:48

Na alle die du brauchst im allgemeinen steuert man sowas am vpn Gateway aber direct access wird so nicht funktionieren.

Das befürchte ich auch ;-) Aber wenn "ein paar Etagen höher" möchten dass das getestet wird...



#11 NorbertFe

NorbertFe

    Expert Member

  • 30.595 Beiträge

 

Geschrieben 02. März 2017 - 08:37

Dann würd ich erstmal bei MS nachschauen, welches Support-Statement die für so ein Design abgeben.

Make something i***-proof and they will build a better i***.


#12 magheinz

magheinz

    Newbie

  • 1.318 Beiträge

 

Geschrieben 02. März 2017 - 08:52

Vielleicht verstehe ich Deinen Einwand falsch, aber genau das macht MS mit DirectAccess doch sowieso. Normalerweise halt mit einer Karte in der DMZ mit der anderen im internen Netz.

Das wäre für mich ein klarer Grund das Produkt nicht einzusetzen.

Ich stell mit doch nicht eine sündhaft teure Firewall hin um unter anderem die internen Netze vor den anderen Netzen zu schützen, und nehme dann einen Server und hänge den in mehrere Netze.

Traffic der an der Firewall vorbei Netzwerkübergreifend läuft ist ein Nogo. Da kann man sich die Netztrennung gleich sparen.

Egal ob Microsoft das toll findet oder nicht.



#13 Alsion

Alsion

    Newbie

  • 49 Beiträge

 

Geschrieben 02. März 2017 - 08:55

Traffic der an der Firewall vorbei Netzwerkübergreifend läuft ist ein Nogo. Da kann man sich die Netztrennung gleich sparen.

 

Deshalb ja die Idee, die zweite NIC auch vor einer Firewall zu haben. Wie im Eingangsposting bereits geschrieben.



#14 NorbertFe

NorbertFe

    Expert Member

  • 30.595 Beiträge

 

Geschrieben 02. März 2017 - 08:57

Das wäre für mich ein klarer Grund das Produkt nicht einzusetzen.
Ich stell mit doch nicht eine sündhaft teure Firewall hin um unter anderem die internen Netze vor den anderen Netzen zu schützen, und nehme dann einen Server und hänge den in mehrere Netze.
Traffic der an der Firewall vorbei Netzwerkübergreifend läuft ist ein Nogo. Da kann man sich die Netztrennung gleich sparen.
Egal ob Microsoft das toll findet oder nicht.


Was hat denn MS in dem Fall damit zu tun? Die Empfehlung ist afair immer noch Simple NAT auf den DA Server. Der steht dann natürlich im LAN.

Make something i***-proof and they will build a better i***.


#15 magheinz

magheinz

    Newbie

  • 1.318 Beiträge

 

Geschrieben 02. März 2017 - 09:03

Ich hab keine Ahnung was MS da sagt, ich nutze dieses Produkt nicht. Weiter oben stand aber:

 

Normalerweise halt mit einer Karte in der DMZ mit der anderen im internen Netz.

Und das ist das Nogo...