Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!

Paranoia oder DC in DMZ

Anything goes ;)

Moderatoren: irix, Dayworker

Experte
Beiträge: 1362
Registriert: 30.03.2009, 17:13

Paranoia oder DC in DMZ

Beitragvon UrsDerBär » 04.03.2015, 17:17

Hallo Leute,

Welches Design wählt man am besten für die Authentifizierung ins und vom Internet?

- ChildDomain mit RODC in der DMZ
- One Way Domain Trust mit eigener Domäne in der DMZ

Icht tendiere eigentlich nach wie vor stark dazu, das interne vom externen Netzwerk komplett zu trennen wenn die entsprechenden Ressourcen vorhanden sind.

Mit dem ganzen modernen Geraffel wie Office 365 wird das aber immer mühsamer zu managen. Also irgendwann ist es wahrscheinlich so weit, das man resigniert und man einen RODC in die DMZ steckt.

NUR: Was ist Sicherheitstechnisch dazu zu sagen? So richtig doll finde ich das irgendwie nicht.

Grüsse und Danke

Guru
Beiträge: 3106
Registriert: 27.12.2004, 22:17

Re: Paranoia oder DC in DMZ

Beitragvon rprengel » 04.03.2015, 21:46

UrsDerBär hat geschrieben:Hallo Leute,

Welches Design wählt man am besten für die Authentifizierung ins und vom Internet?

- ChildDomain mit RODC in der DMZ
- One Way Domain Trust mit eigener Domäne in der DMZ

Icht tendiere eigentlich nach wie vor stark dazu, das interne vom externen Netzwerk komplett zu trennen wenn die entsprechenden Ressourcen vorhanden sind.

Mit dem ganzen modernen Geraffel wie Office 365 wird das aber immer mühsamer zu managen. Also irgendwann ist es wahrscheinlich so weit, das man resigniert und man einen RODC in die DMZ steckt.

NUR: Was ist Sicherheitstechnisch dazu zu sagen? So richtig doll finde ich das irgendwie nicht.

Grüsse und Danke


Hallo,
Z.B. Ein VPN Gateway wie Astaro das gegen das zentrale Benutzermanagment arbeitet.
Von aussen kommst du dann sauber mit einem VPN Client geschützt im Netz an und alles ist gut soweit man in den heutigen Zeiten noch von gut reden kann.

Gruss

Member
Beiträge: 104
Registriert: 18.10.2015, 18:15

Re: Paranoia oder DC in DMZ

Beitragvon Whitemoon » 18.10.2015, 23:41

Moin,
ich stehe gerade an einem ähnlichen Punkt für eine Anwendung welche extern gehostet wird. Diese kann mit ADFS nichts anfangen. Ich hab ebenfalls kein gutes Gefühl, einen RODC in die DMZ zustellen. Grundsätzlich habe ich gedacht, die Verbindung ins LAN via IPSec und Zertifikaten zu sichern. Aber es trotzdem alle Gruppen, Benutzer, etc... jederzeit abfragbar. Mir wäre es lieber, ich könnte nur Mitglieder bestimmten Gruppen replizieren (LAN -> DMZ), um im Worstcase den Schaden gering zu halten.Bist du mit deinen Überlegungen inzwischen weitergekommen?

UrsDerBär hat geschrieben: Welches Design wählt man am besten für die Authentifizierung ins und vom Internet?

Ich würde sagen, das hängt von der betroffenen Anwendung(sfall) ab. Viele Authentifizierungen (Sharepoint, Office365, OWA) lassen sich mit Microsoft WAP (früher ADFS-Proxy) in der DMZ in Verbindung mit ADFS-Server im LAN erledigen. Um welche Anwendungen geht es bei dir?


Gruß,
Dani

Experte
Beiträge: 1362
Registriert: 30.03.2009, 17:13

Beitragvon UrsDerBär » 19.10.2015, 17:03

Puuh, ich weiss eigentlich nur, dass mir der ganze Cloud-Kram immer noch nicht bzw. je länger je weniger geheuer ist. Dies obwohl oder gerade weil ich mit IT zu tun habe...

Da heute immer mehr auch die Hersteller von Software einfach völlig intransparent Daten sammeln, wäre mir ein Offline-Konzept mit einigermassen einfachem Datenaustausch zwecks E-Mail-Verkehr mittlerweile am liebsten. Aber noch keine Ahnung ob und wie das zu realisieren ist.

Also quasi zwei VM's, eine zum Arbeiten im Firmennetz, eine mit Internetzugriff. Irgendwas zum hin und herswitchen, zum Beispiel ein Fernwartungstool/Protokoll ohne viel Funktionen.


Zurück zu „Allgemeines, Feedback & Smalltalk“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste