AD (intern) & LDAP (DMZ) Sync

[gn0x 0]

Guten Tag,

 

ich habe ein AD in unserem internen Netz in dem unsere User angelegt sind..
 

Ich habe zusätzlich eine DMZ auf dem organisatorische Webdienste laufen. 
Die User können aus dem Internet darauf zugreifen. Anmelden tun sie sich jedoch nicht mit dem AD-Konto, sondern mit einem extra Konto (welche Credentials in einem LDAP hinterlegt werden).
 

1.Konto für internes AD

2.Konto für DMZ LDAP
 

Ich möchte einen Weg finden, dass die User sich mit dem internen AD Konto am LDAP (in der DMZ) anmelden können.
 

Sicherheitsrisiko:

Aus der DMZ darf nicht aufs interne Netz zugegriffen werden, aller höchstens ist es möglich, dass man vom internen AD die Daten (user,passwort,metadaten) in die DMZ schiebt.

 

Ich suche gerade selbst nach Lösungsvorschlägen und bin bisher schon auf die LDAP-Branch "389-DS" gestoßen, die vorgibt eine AD zu sein, damit könnte man eventuell einen AD export in die DMZ senden - Allerdings scheint mir das nicht optimal zu sein.

 

Ich bin mir sicher, dass ich nicht der einzige mit diesem Problem bin und hoffe auf eure Mithilfe.

 

Ich bin neu hier und hoffe auf reichlich Feedback. Sollte etwas unklar sein, fragt bitte nach.

 

Gruß

 

gn0x

[NorbertFe 2.010]

Und die Passworte der internen Nutzer in der DMZ zu haben ist sicher? Also ich würde mir über die Anforderung "kein Zugriff ins Interne Netz" nochmal Gedanken machen. Im Endeffekt sind aber die ADFS wahrscheinlich genau das, was dein Problem lösen kann.

 

Bye

Norbert

[gn0x 0]

Das wäre natürlich verschlüsselt und es müssten Zertifikate á la publickeys ausgetauscht werden.

Also ich möchte meine Firewall auf garkeinen Fall aufmachen. Ich möchte das ganze über "pushs" oder "pulls" aus dem intern Netz steuern.

Danke für den Tipp "ADFS", ich werde mir das heute nach der Arbeit einmal genauer anschauen.

 

Gruß

[NorbertFe 2.010]

Also ich möchte meine Firewall auf garkeinen Fall aufmachen.

Aha, ich dachte schon es gibt technische Anforderungen. Danke für die Bestätigung. ;)

 

 

Bye und schönes WE

Norbert

[Doso 77]

Read Only Domain Controller in die DMZ, Sync ports öffnen.

[gn0x 0]

Read Only Domain Controller in die DMZ, Sync ports öffnen.

Ich möchte definitv kein Loch in die Firewall bohren. Es soll auf keinen Fall Zugriff aus der DMZ ins Interne Netz erfolgen (ausgeschlossen ist natürlich ein handshake). Die Lösung ADFS beinhaltet leider genau das: Ein Zugriff aus der DMZ ins interne Netz. (Zwar verschlüsselt jedoch trotzdem unsicher).

Es muss doch eine Möglichkeit geben, ich denke mir es müssten doch tausende dieses Problem (oder eine Lösung) haben. Vielen Dank für die zahlreiche Unterstützung.

 

Gruß

[Doso 77]

Du möchtest nicht aus der DMZ auf das interne Netz zugreifen, du willst aber Daten aus dem internen Netz verwenden, und das mit einer Netzwerkanwendung. Finde den Fehler :)

[NorbertFe 2.010]

:) Sagte ich ja bereits, dass das irgendwie eine merkwürdige Sicherheitsvorstellung ist. ;)

[gn0x 0]

ich hatte das falsch aufgenommen.

Natürlich müssen Ports geöffnet werden, da sonst ja keine Verbindung zustande kommen könnte. Allerdings wird der Port nur von innen nach außen geöffnet. Die DMZ darf nicht den Request stellen.

Wie läuft das beim RODC ? Fragt er die interne AD an oder wird manuell oder nach Zeitplan (zb alle 3 std) in die DMZ synchronisiert?

[zahni 549]

Du wirst  nicht  drum herumkommen, für das  AD eine 2-Wege Kommunikation einzurichten. Ein RODC ist zwar read only, es  gibt aber weinige  Ausnahmen.

Siehe dazu http://technet.microsoft.com/en-us/library/cc770854(v=ws.10).aspx

[Daniel -MSFT- 129]

Hi gn0x,

 

Du könntest Dir mal AD LDS ansehen: http://technet.microsoft.com/de-de/library/cc754361(v=ws.10).aspx. Stichwort: Bereitstellen eines Extranet-Authentifizierungsspeichers.

 

Allerdings halte ich Deine Anforderung für ziemlich hoch. Du willst einen Zugriff aus der DMZ in das interne Netzwerk unter allen Umständen verhindern. Dafür nimmst Du in Kauf, dass alle (!) Benutzerdaten und Kennworte (!) in die DMZ gepushed werden sollen. Verschlüsselung hin, Verschlüsselung her, in der DMZ müssen die Kennworte irgendwie entschlüselt werden, damit eine Authentifizierung stattfinden kann.

 

Die einzige Variante, die ich hier sehe, wäre Forefront Identity Manager. Du müsstest einen separaten Kennworthash bei jedem Passwortwechsel intern erzeugen und diesen in die DMZ pushen: http://technet.microsoft.com/en-us/library/jj590203(v=ws.10).aspx. Dann kann eine Anmeldung in der DMZ gegen diesen separaten Hash geprüft werden und der Hash kann nicht verwendet werden gegen das interne System. Das ist so hochgradig paranoid, dass wir das genau so bei dem Office 365 Password Sync Tool für 'Same Sign On' machen ;-)

 

Technisch einfacher ist es aber, den NPS als Radius Server im LAN zu implementieren und in der DMZ einen NPS-Proxy zu installieren. Der braucht dann nicht Mitglied der Domäne sein und Du erlaubst nur die RADIUS-Kommunikation zwischen NPS-Proxy und NPS-Server intern: http://technet.microsoft.com/en-us/library/dd197525(v=ws.10).aspx. Du hast doch sicher eine Application Layer Firewall, die das RADIUS-Protokoll versteht und mit RADIUS-Inspection das entsprechend filtern kann?

 

Have fun!
Daniel