4
Active Directory (LDAP) Port in Internet Veröffendlichen -Starke Sicherheitsbedencken!
Ich habe eine eigene Homepage in ASP.NET, diese nutzt den Standart Membership Provider der ersetzt werden soll durch Active Directory.
Hallo,
Der Folgende Link hat mich Inspiriert meine Homepage komplett über Active Direcotry zu verwalten, klar. Die Vorteile liegen klar auf der Hand. Man hat einen User nur einmal im System. Und man hat ein Zentrales Login und seine Sicherehits Gruppen, das System ist durch mehrere DC,s ausfall sicher. (Beim FSMO wirds kritisch nach 60 Tagen, Stichwort Tombstone Replication^^) aber sonst ist es eigendlich recht vorteilhaft.
http://msdn.microsoft.com/de-de/library/system.web.security.activedirec ...
Jetzt habe ich mir natürlich noch Gedancken wegen der Sicherheit gemacht, was passiert wen jemand es schaft in den LDAP-Server einzudrngen und die Microsoft Jet-Datenbanck mit allen Benutzer und Systemobjecten auslesen kann?
Als Schutzmaßname habe ich mir überlegt in meinen Router erstmal alle Ports nachaußen hin zu öffnen und auf einen ISA-Server Weiterzuleiten. Dieser kann ja anhand der IP-Adresse bestimmen ob die Anfrage legetim ist oder nicht?
Da kann ich dann auch noch mittels Reverse Proxy mein Exchange OWA bereit stellen und mine anderen Internetseiten (wie auch Sharepoint) veröffendlichen.
Zusätzlich habe ich mir ja auch noch mal überlegt, giebt es sowas wie LDAPS, was dann mit TLS/SSL Verschlüßelung Arbeitet, damit man die Daten die ins Active Directory gehen sollen und wieder zum Server hin nicht Abfangen kann, es währe für mich ein leichtes einen 16.000Bit Schlüßel mit meiner Hauseigenen Windows-CA (Herbrich Corporation) zu generieren und damit die LDAP Verbindung zu Verschlüeln.
Dann habe ich mir noch überlegt fals es Technisch nicht möglich sein sollte, dass ich ein Zweites Foest aufmache mit einer Vertrauens Stellung. Aber das währe irgendwie so als würde ich ein zweiten MSSQL-Server aufsetzten und den alten Membership (Standart Membership) weiterlaufen lassen. Also irgendwie total am Ziel Vorbei.
Ich habe auch im netz gelesen dass ich die Server (wen ich ein Webspace dort habe) von CwCity (sind Apache Server) auch ganz leicht mit einer .hataccess Datei in Root Verzeichniss ebenfals ganz leicht umkonfigurieren kann das LDAP als autentfizierung genutzt wird. Deswegen finde ich es schon sehr Cool mein Internes Active Directory auch auf allen meinen Websites nutzen zu können.
Nur wiegesagt, ich habe da doch sehr viel Bedencken wegen der Sicherheit, auf den Server zuhause liegen auch teilweise hochsensible Daten die nicht ins Internet rausdürfen. V-Lans und mehrere vollständig Getrente Domänen sind da auch keine Lösung. Da ich diese besagten Daten auf allen meinen Systemem jederzeit Abrufbereit brauch!
Mit Freundlichen Grüßen
-Herbrich
PS: Die Server um die es hier eigendlich geht sind
www.herbrich.org und www.szagarus-maynard.net (Befindet sich zurzeit noch in der Planungsphase), die Domains werden alle von mir zuhause aus von meinen eigenen DNS-Servern verwaltet, den ich habe eine Static-IP. Also auch beste Vorraussetzungen für mein LDAP-Autentifikation Project.
Der Folgende Link hat mich Inspiriert meine Homepage komplett über Active Direcotry zu verwalten, klar. Die Vorteile liegen klar auf der Hand. Man hat einen User nur einmal im System. Und man hat ein Zentrales Login und seine Sicherehits Gruppen, das System ist durch mehrere DC,s ausfall sicher. (Beim FSMO wirds kritisch nach 60 Tagen, Stichwort Tombstone Replication^^) aber sonst ist es eigendlich recht vorteilhaft.
http://msdn.microsoft.com/de-de/library/system.web.security.activedirec ...
Jetzt habe ich mir natürlich noch Gedancken wegen der Sicherheit gemacht, was passiert wen jemand es schaft in den LDAP-Server einzudrngen und die Microsoft Jet-Datenbanck mit allen Benutzer und Systemobjecten auslesen kann?
Als Schutzmaßname habe ich mir überlegt in meinen Router erstmal alle Ports nachaußen hin zu öffnen und auf einen ISA-Server Weiterzuleiten. Dieser kann ja anhand der IP-Adresse bestimmen ob die Anfrage legetim ist oder nicht?
Da kann ich dann auch noch mittels Reverse Proxy mein Exchange OWA bereit stellen und mine anderen Internetseiten (wie auch Sharepoint) veröffendlichen.
Zusätzlich habe ich mir ja auch noch mal überlegt, giebt es sowas wie LDAPS, was dann mit TLS/SSL Verschlüßelung Arbeitet, damit man die Daten die ins Active Directory gehen sollen und wieder zum Server hin nicht Abfangen kann, es währe für mich ein leichtes einen 16.000Bit Schlüßel mit meiner Hauseigenen Windows-CA (Herbrich Corporation) zu generieren und damit die LDAP Verbindung zu Verschlüeln.
Dann habe ich mir noch überlegt fals es Technisch nicht möglich sein sollte, dass ich ein Zweites Foest aufmache mit einer Vertrauens Stellung. Aber das währe irgendwie so als würde ich ein zweiten MSSQL-Server aufsetzten und den alten Membership (Standart Membership) weiterlaufen lassen. Also irgendwie total am Ziel Vorbei.
Ich habe auch im netz gelesen dass ich die Server (wen ich ein Webspace dort habe) von CwCity (sind Apache Server) auch ganz leicht mit einer .hataccess Datei in Root Verzeichniss ebenfals ganz leicht umkonfigurieren kann das LDAP als autentfizierung genutzt wird. Deswegen finde ich es schon sehr Cool mein Internes Active Directory auch auf allen meinen Websites nutzen zu können.
Nur wiegesagt, ich habe da doch sehr viel Bedencken wegen der Sicherheit, auf den Server zuhause liegen auch teilweise hochsensible Daten die nicht ins Internet rausdürfen. V-Lans und mehrere vollständig Getrente Domänen sind da auch keine Lösung. Da ich diese besagten Daten auf allen meinen Systemem jederzeit Abrufbereit brauch!
Mit Freundlichen Grüßen
-Herbrich
PS: Die Server um die es hier eigendlich geht sind
www.herbrich.org und www.szagarus-maynard.net (Befindet sich zurzeit noch in der Planungsphase), die Domains werden alle von mir zuhause aus von meinen eigenen DNS-Servern verwaltet, den ich habe eine Static-IP. Also auch beste Vorraussetzungen für mein LDAP-Autentifikation Project.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 192595
Url: https://administrator.de/contentid/192595
Printed on: April 23, 2024 at 20:04 o'clock
4 Comments
Latest comment
Moin,
sehr ausführlich Beschrieben - Vorbildlich!
Warum baust Du kein VPN zwischen dem Webserver(n) und deiner Domäne auf?
lg,
Slainte
sehr ausführlich Beschrieben - Vorbildlich!
Warum baust Du kein VPN zwischen dem Webserver(n) und deiner Domäne auf?
lg,
Slainte
Hallo,
Das hätte ich gerne gemacht wen es den Möglich währe, es handelt sich bei den Webserver um ein Shared Hosting angebot. (www.somee.com), selbsthosten möchte ich nicht weil ich meine Server nur als Betatier nutze, also zum Testen meiner Applicationen, diese werden dann aber nach Amerika ins Somme International DataCenter geschickt. V-Server kann ich mir in moment nicht leisten, und das geht auch nicht gut wegen der beschränkung keine Microsoft Produkte instalieren zu dürfen.
Ich kann ja mal bei Somee Fragen ob sie VPN freundlicherweise einrichten würden, aber auf einen Shared Hosting System könnte dann ja auch jeder andere (z.B. bößwillige Hacker) auf meine Active Directory Domäne zugreifen, bezihungsweise sogar auf das gesamte Forest. Und dass ist dann ebenfals nicht so gut. Den wer das Active Directory Forest Kontrolliert, der Kontrolliert die gesamten Rechner gleich mit. Deswegen muss man da verdammt vorsichtig sein.
LG, Herbrich
Das hätte ich gerne gemacht wen es den Möglich währe, es handelt sich bei den Webserver um ein Shared Hosting angebot. (www.somee.com), selbsthosten möchte ich nicht weil ich meine Server nur als Betatier nutze, also zum Testen meiner Applicationen, diese werden dann aber nach Amerika ins Somme International DataCenter geschickt. V-Server kann ich mir in moment nicht leisten, und das geht auch nicht gut wegen der beschränkung keine Microsoft Produkte instalieren zu dürfen.
Ich kann ja mal bei Somee Fragen ob sie VPN freundlicherweise einrichten würden, aber auf einen Shared Hosting System könnte dann ja auch jeder andere (z.B. bößwillige Hacker) auf meine Active Directory Domäne zugreifen, bezihungsweise sogar auf das gesamte Forest. Und dass ist dann ebenfals nicht so gut. Den wer das Active Directory Forest Kontrolliert, der Kontrolliert die gesamten Rechner gleich mit. Deswegen muss man da verdammt vorsichtig sein.
LG, Herbrich
Eine andere Möglichkeit wäre, das AD zu in deine Datenbank zu synchronisieren und von der Webseite aus nur auf die Datenbank zuzugreifen. Dadurch wird auch eine zentrale Nutzerpflege gewährleistet, aber das AD ist dennoch nicht zugänglich.
Hallo,
Erstmal Sry für die Späte Andwort, hatte noch ne menge zu tun.
Hmm, wie soll das Synconisieren mit der Datenbanck aussehen? Ich müßte doch die RID,s auslesen oder soll ich die LDAP Objecte direct in einer DB Speichern??
Sonst würde ich auch einfach über I-Frames Arbeiten und die Logingeschützten bereiche auf nen Haus Internen Webserver laufen lassen (Mit Reverse Proxy selbstverständlich).
Ein weiterer Ansatz ist auch ein Webdienst (Singe Sign In) zu Verwenden, (aber das ist wiederum eigendlich was ganz anderes. Da geht es ja darum das man wen man von intern auf ein Dienst zugreift das man dann mit den AD Acount Autentiufiziert wird). Aber das ganze hier soll eine Externe lösung werden.
Desweiteren muss man sich ja irgendwie auch neu Registrieren können, den Benutzern muss dann via GPO auch endsprechend "die laune vermiest werden", den sie dürfen dann ja keine berechtigungen für den Exchange bekommen, und auch nicht auf Lokale Anmeldung, Ordner und sonstige Objecte. Sondern halt nur für ihre Webapplicationen.
Am besten währe es LDAP SSL Verschlüelt laufen zu lassen, ich generiere einen Schönen 16K Bit Key in meiner eigenen CA, und dann kann es doch trotzdem nimmand knacken. Nur ich habe noch nie was von LDAPS gehört (vlt bin ich auch zu dumm und habe irgendwas übersehen).
Mir Freundlichen Grüßen.
-Herbrich
EDIT:
http://support.microsoft.com/kb/321051/de
Ich habe hier was gefunden was für mein Project nützlich sein drüfte, wen ich LDAPS über den SSL Port veröffendliche? Dann dürfte das Active Directory doch wietesgehend Sicher von Angriffen von außen sein oder nicht?
Wo bei man könnte ja immer noch Passwort Rate Attaken machen und so. Aber ich will mal hören was ihr dazu denkt.
Mit Freundlichen Grüßen
-Herbrich
Erstmal Sry für die Späte Andwort, hatte noch ne menge zu tun.
Hmm, wie soll das Synconisieren mit der Datenbanck aussehen? Ich müßte doch die RID,s auslesen oder soll ich die LDAP Objecte direct in einer DB Speichern??
Sonst würde ich auch einfach über I-Frames Arbeiten und die Logingeschützten bereiche auf nen Haus Internen Webserver laufen lassen (Mit Reverse Proxy selbstverständlich).
Ein weiterer Ansatz ist auch ein Webdienst (Singe Sign In) zu Verwenden, (aber das ist wiederum eigendlich was ganz anderes. Da geht es ja darum das man wen man von intern auf ein Dienst zugreift das man dann mit den AD Acount Autentiufiziert wird). Aber das ganze hier soll eine Externe lösung werden.
Desweiteren muss man sich ja irgendwie auch neu Registrieren können, den Benutzern muss dann via GPO auch endsprechend "die laune vermiest werden", den sie dürfen dann ja keine berechtigungen für den Exchange bekommen, und auch nicht auf Lokale Anmeldung, Ordner und sonstige Objecte. Sondern halt nur für ihre Webapplicationen.
Am besten währe es LDAP SSL Verschlüelt laufen zu lassen, ich generiere einen Schönen 16K Bit Key in meiner eigenen CA, und dann kann es doch trotzdem nimmand knacken. Nur ich habe noch nie was von LDAPS gehört (vlt bin ich auch zu dumm und habe irgendwas übersehen).
Mir Freundlichen Grüßen.
-Herbrich
EDIT:
http://support.microsoft.com/kb/321051/de
Ich habe hier was gefunden was für mein Project nützlich sein drüfte, wen ich LDAPS über den SSL Port veröffendliche? Dann dürfte das Active Directory doch wietesgehend Sicher von Angriffen von außen sein oder nicht?
Wo bei man könnte ja immer noch Passwort Rate Attaken machen und so. Aber ich will mal hören was ihr dazu denkt.
Mit Freundlichen Grüßen
-Herbrich
