locked
Designfrage TMG - RODC RRS feed

  • Frage

  • Hallo zusammen,

    wir planen in einer DMZ-1 einen Read Only Domain Controller zu installieren, der in der DMZ-2 User und evtl. Computer authetifizieren soll.
    In der weiteren vorgeschalteten DMZ-2 (Untrusted) soll vor dem RODC ein TMG 2010 installiert werden.

    Im Artikel http://technet.microsoft.com/en-us/library/dd772723(WS.10,printer).aspx sind die Dienste und zugehörigen Ports detailiert aufgezählt.

    Meine Frage ist, ob das TMG 2010 eigene "Intelligenz" mitbringt, um Angriffsversuche auf die typischen ADS-Ports, die ich öffnen muß zu erkennen?

    Gefunden habe ich hier schon DNS und RPC Filter im IDS System, allerdings nichts konkretes bezüglich ADS Ports.

    Vielen Dank vorab für Eure Mühen.

    Christopher

    Dienstag, 17. August 2010 06:17

Antworten

  • Hi,

    wenn Authentifizierung erfolgen muss, bleibt aus meiner Sicht nur:
    1) separate DMZ Domain mit one way Trust
    2) Alle benotigten Ports zur AD Kommunikation freigeben und ggfs. die High Ports beschraenken
    3) AD Kommunikation ueber einen IPSEC Tunnel laufen lassen
    4) Verwendung von RADIUS oder LDAP mit gewissen Einschraenkungen
    5) Genial waere, wenn man sowas wie EdgeSync von Exchange Server nutzen koennte um sein AD in eine AD-LDS DB zu mirroren und da nur die wichtigsten UserParameter, aber das ist leider so nicht moeglich

    Also wuerde ich zu 3 tendieren, 4 LDAP geht nur bei Veroeffentlichungsregeln und bei RADIUS kannst Du keine Benutzergruppen direkt am TMG interlegen und musst mit NPS AUthentifizierungsgruppen arbeiten.


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Dienstag, 17. August 2010 11:30

Alle Antworten

  • Hi,

    nein, gegen ADS ANgriffe, sprich LDAP, Kerberos, etc. hat TMG nichts zu bieten. Du kannst aber AD seitig einiges einrichten wie AD Quotas, LDAP Signing usw.
    Also in die DMZ soll ein DC aus der internen Domaene? Hmm, halte ich nicht fuer das optimale Design. Wenn Ihr das plant, solltet Ihr lieber statt die ganzen Ports zu oeffnen mit IPSEC arbeiten und die DC zu DC Kommunikation darueber zu steuern.


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Dienstag, 17. August 2010 06:52
  • Hi,

    nein, gegen ADS ANgriffe, sprich LDAP, Kerberos, etc. hat TMG nichts zu bieten. Du kannst aber AD seitig einiges einrichten wie AD Quotas, LDAP Signing usw.
    Also in die DMZ soll ein DC aus der internen Domaene? Hmm, halte ich nicht fuer das optimale Design. Wenn Ihr das plant, solltet Ihr lieber statt die ganzen Ports zu oeffnen mit IPSEC arbeiten und die DC zu DC Kommunikation darueber zu steuern.


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de

    Hi,

    vielen Dank für Deine Antwort.

    Wie gesagt, in der DMZ-1 soll ein Read Only Domain Controller installiert werden. Genau für diesen Einsatzbereich ist dieses Produkt lt. MS doch gedacht?!

    Es geht auch weniger um die Absicherung der Kommunikation zwischen internem DC und DMZ-1 RODC sondern um die Absicherung zwischen DMZ-2 <-> TMG <-> RODC

    Ich hoffe ich habe das ganze jetzt nicht zu verwirrt dargestellt, ich hatte erst einen Kaffe :)

    Viele Grüße

    Christopher

    Dienstag, 17. August 2010 07:11
  • Hi,

    nein, ein RODC ist nicht fuer den Einsatz in einer DMZ gedacht, sondern eher fuer den Einsatz in Zweigestellen, wo fuer keine physikalische Server Sicherheit garantiert wreden kann. Sollte der RODC also gestohlen werden, reduziert sich der Schaden etwas, da ja, nur wenige Accounts in der lokalen ADS auf dem Datentraeger liegen usw.
    http://technet.microsoft.com/en-us/library/cc732801(WS.10).aspx

    Mit einem RODC hast Du aber weiterhin einen AD Zugriff aus der DMZ in das interne Netzwerk. Es gibt da verschiedenste Ansaetze. Du koenntest, wenn es sich um viele Acocunts handelt, eine eigene One way Trust DMZ DOmaene aufsetzen, mit LDAP / RADIUS arbeiten usw.

    Wofuer moechtest Du denn die Windows Authentifizierung machen?


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Dienstag, 17. August 2010 07:26
  • Hi,

    im Artikel http://technet.microsoft.com/en-us/library/dd728034(WS.10).aspx wird explizit der Einsatz in DMZs beschrieben, von daher ging ich davon aus, dass dies ein Einsatzszenario wäre. Ich kann ja granular steuern, welche Informationen auf meinem RODC gespeichert werden....

    Einsatzzweck ist Atuhentifizierung von User und Computeraccounts in der DMZ. Eine One Way Trust Domäne scheint mir für diesen Einsatzzweck bei ca. 200 Usern etwas oversized.

    Wie gesagt, die DMZ in der der RODC stehen soll, ist nicht direkt Internet-faced sondern soll durch den TMG von einer weiteren DMZ (Internet faced) getrennt werden.

    Dienstag, 17. August 2010 07:44
  • Hi,

    OK, dann bleibst Du bei dem Design. Einen Tod muss man(n) immer sterben :-)


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Dienstag, 17. August 2010 10:31
  • Hi,

    ich möchte aber nicht unbedingt einen Tod sterben ;-)

    Könnte ich für die Clients in der Internet-faced DMZ die Authentifizierung irgendwie über das TMG anbieten, sodass der RODC in der anderen DMZ verhältnismäßig gut geschützt ist ?

     

    Dienstag, 17. August 2010 11:21
  • Hi,

    wenn Authentifizierung erfolgen muss, bleibt aus meiner Sicht nur:
    1) separate DMZ Domain mit one way Trust
    2) Alle benotigten Ports zur AD Kommunikation freigeben und ggfs. die High Ports beschraenken
    3) AD Kommunikation ueber einen IPSEC Tunnel laufen lassen
    4) Verwendung von RADIUS oder LDAP mit gewissen Einschraenkungen
    5) Genial waere, wenn man sowas wie EdgeSync von Exchange Server nutzen koennte um sein AD in eine AD-LDS DB zu mirroren und da nur die wichtigsten UserParameter, aber das ist leider so nicht moeglich

    Also wuerde ich zu 3 tendieren, 4 LDAP geht nur bei Veroeffentlichungsregeln und bei RADIUS kannst Du keine Benutzergruppen direkt am TMG interlegen und musst mit NPS AUthentifizierungsgruppen arbeiten.


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Dienstag, 17. August 2010 11:30
  • Hi nochmal,

    vielen Dank für Deine Infos.

    Ein eifriger Blogleser ;-)

    VG Christopher

    Mittwoch, 18. August 2010 08:36