Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Active Directory (LDAP) Port in Internet Veröffendlichen -Starke Sicherheitsbedencken!

Mitglied: Herbrich19

Herbrich19 (Level 2) - Jetzt verbinden

11.10.2012 um 06:54 Uhr, 4722 Aufrufe, 4 Kommentare, 1 Danke

Ich habe eine eigene Homepage in ASP.NET, diese nutzt den Standart Membership Provider der ersetzt werden soll durch Active Directory.

Hallo,

Der Folgende Link hat mich Inspiriert meine Homepage komplett über Active Direcotry zu verwalten, klar. Die Vorteile liegen klar auf der Hand. Man hat einen User nur einmal im System. Und man hat ein Zentrales Login und seine Sicherehits Gruppen, das System ist durch mehrere DC,s ausfall sicher. (Beim FSMO wirds kritisch nach 60 Tagen, Stichwort Tombstone Replication^^) aber sonst ist es eigendlich recht vorteilhaft.

http://msdn.microsoft.com/de-de/library/system.web.security.activedirec ...

Jetzt habe ich mir natürlich noch Gedancken wegen der Sicherheit gemacht, was passiert wen jemand es schaft in den LDAP-Server einzudrngen und die Microsoft Jet-Datenbanck mit allen Benutzer und Systemobjecten auslesen kann?

Als Schutzmaßname habe ich mir überlegt in meinen Router erstmal alle Ports nachaußen hin zu öffnen und auf einen ISA-Server Weiterzuleiten. Dieser kann ja anhand der IP-Adresse bestimmen ob die Anfrage legetim ist oder nicht?

Da kann ich dann auch noch mittels Reverse Proxy mein Exchange OWA bereit stellen und mine anderen Internetseiten (wie auch Sharepoint) veröffendlichen.

Zusätzlich habe ich mir ja auch noch mal überlegt, giebt es sowas wie LDAPS, was dann mit TLS/SSL Verschlüßelung Arbeitet, damit man die Daten die ins Active Directory gehen sollen und wieder zum Server hin nicht Abfangen kann, es währe für mich ein leichtes einen 16.000Bit Schlüßel mit meiner Hauseigenen Windows-CA (Herbrich Corporation) zu generieren und damit die LDAP Verbindung zu Verschlüeln.

Dann habe ich mir noch überlegt fals es Technisch nicht möglich sein sollte, dass ich ein Zweites Foest aufmache mit einer Vertrauens Stellung. Aber das währe irgendwie so als würde ich ein zweiten MSSQL-Server aufsetzten und den alten Membership (Standart Membership) weiterlaufen lassen. Also irgendwie total am Ziel Vorbei.

Ich habe auch im netz gelesen dass ich die Server (wen ich ein Webspace dort habe) von CwCity (sind Apache Server) auch ganz leicht mit einer .hataccess Datei in Root Verzeichniss ebenfals ganz leicht umkonfigurieren kann das LDAP als autentfizierung genutzt wird. Deswegen finde ich es schon sehr Cool mein Internes Active Directory auch auf allen meinen Websites nutzen zu können.

Nur wiegesagt, ich habe da doch sehr viel Bedencken wegen der Sicherheit, auf den Server zuhause liegen auch teilweise hochsensible Daten die nicht ins Internet rausdürfen. V-Lans und mehrere vollständig Getrente Domänen sind da auch keine Lösung. Da ich diese besagten Daten auf allen meinen Systemem jederzeit Abrufbereit brauch!

Mit Freundlichen Grüßen
-Herbrich

PS: Die Server um die es hier eigendlich geht sind
www.herbrich.org und www.szagarus-maynard.net (Befindet sich zurzeit noch in der Planungsphase), die Domains werden alle von mir zuhause aus von meinen eigenen DNS-Servern verwaltet, den ich habe eine Static-IP. Also auch beste Vorraussetzungen für mein LDAP-Autentifikation Project.
Mitglied: SlainteMhath
11.10.2012 um 08:51 Uhr
Moin,

sehr ausführlich Beschrieben - Vorbildlich!

Warum baust Du kein VPN zwischen dem Webserver(n) und deiner Domäne auf?

lg,
Slainte
Bitte warten ..
Mitglied: Herbrich19
11.10.2012 um 13:51 Uhr
Hallo,

Das hätte ich gerne gemacht wen es den Möglich währe, es handelt sich bei den Webserver um ein Shared Hosting angebot. (www.somee.com), selbsthosten möchte ich nicht weil ich meine Server nur als Betatier nutze, also zum Testen meiner Applicationen, diese werden dann aber nach Amerika ins Somme International DataCenter geschickt. V-Server kann ich mir in moment nicht leisten, und das geht auch nicht gut wegen der beschränkung keine Microsoft Produkte instalieren zu dürfen.

Ich kann ja mal bei Somee Fragen ob sie VPN freundlicherweise einrichten würden, aber auf einen Shared Hosting System könnte dann ja auch jeder andere (z.B. bößwillige Hacker) auf meine Active Directory Domäne zugreifen, bezihungsweise sogar auf das gesamte Forest. Und dass ist dann ebenfals nicht so gut. Den wer das Active Directory Forest Kontrolliert, der Kontrolliert die gesamten Rechner gleich mit. Deswegen muss man da verdammt vorsichtig sein.

LG, Herbrich
Bitte warten ..
Mitglied: MonoTone
12.10.2012 um 09:15 Uhr
Eine andere Möglichkeit wäre, das AD zu in deine Datenbank zu synchronisieren und von der Webseite aus nur auf die Datenbank zuzugreifen. Dadurch wird auch eine zentrale Nutzerpflege gewährleistet, aber das AD ist dennoch nicht zugänglich.
Bitte warten ..
Mitglied: Herbrich19
15.10.2012, aktualisiert um 08:49 Uhr
Hallo,

Erstmal Sry für die Späte Andwort, hatte noch ne menge zu tun.

Hmm, wie soll das Synconisieren mit der Datenbanck aussehen? Ich müßte doch die RID,s auslesen oder soll ich die LDAP Objecte direct in einer DB Speichern??

Sonst würde ich auch einfach über I-Frames Arbeiten und die Logingeschützten bereiche auf nen Haus Internen Webserver laufen lassen (Mit Reverse Proxy selbstverständlich).

Ein weiterer Ansatz ist auch ein Webdienst (Singe Sign In) zu Verwenden, (aber das ist wiederum eigendlich was ganz anderes. Da geht es ja darum das man wen man von intern auf ein Dienst zugreift das man dann mit den AD Acount Autentiufiziert wird). Aber das ganze hier soll eine Externe lösung werden.

Desweiteren muss man sich ja irgendwie auch neu Registrieren können, den Benutzern muss dann via GPO auch endsprechend "die laune vermiest werden", den sie dürfen dann ja keine berechtigungen für den Exchange bekommen, und auch nicht auf Lokale Anmeldung, Ordner und sonstige Objecte. Sondern halt nur für ihre Webapplicationen.

Am besten währe es LDAP SSL Verschlüelt laufen zu lassen, ich generiere einen Schönen 16K Bit Key in meiner eigenen CA, und dann kann es doch trotzdem nimmand knacken. Nur ich habe noch nie was von LDAPS gehört (vlt bin ich auch zu dumm und habe irgendwas übersehen
).

Mir Freundlichen Grüßen.
-Herbrich

EDIT:

http://support.microsoft.com/kb/321051/de

Ich habe hier was gefunden was für mein Project nützlich sein drüfte, wen ich LDAPS über den SSL Port veröffendliche? Dann dürfte das Active Directory doch wietesgehend Sicher von Angriffen von außen sein oder nicht?

Wo bei man könnte ja immer noch Passwort Rate Attaken machen und so. Aber ich will mal hören was ihr dazu denkt.

Mit Freundlichen Grüßen
-Herbrich
Bitte warten ..
Ähnliche Inhalte
Windows Server

Delegation LDAP für Active Directory

Frage von CoreknabeWindows Server3 Kommentare

Moin, ich möchte im AD (Server 2008) einen Benutzer erstellen, der LDAP-Abfragen machen kann (und am besten sonst nix). ...

Windows Server

Active Directory RPC feste Ports vergeben

Frage von BastolyWindows Server1 Kommentar

Hallo Community, folgendes Problem, unsere Notebooks an den Standorten melden sich brav in unserem zentralem Rechenzentrum beim DC, Fileserver ...

Windows Server

Active Directory Vertrauensstellung

Frage von ukulele-7Windows Server11 Kommentare

Ich muss sagen das ist meine erste Vertrauensstellung. Ich habe sie in unserer alten AD ads.domain.local Windows 2003 und ...

Windows Server

Mit Tastenkürzel im Active Directory navigieren?

gelöst Frage von Fish01Windows Server3 Kommentare

Hallo! Folgender Fall als Beispiel: Habe in einer OU ca. 100 User und möchte zB: bei jedem User kontrollieren, ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 1 TagWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 1 TagSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 2 TagenDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein Beitrag bei Heise (siehe Link folgend). Behörden ignorieren Sicherheitsbedenken gegenüber ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 2 TagenSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
DSL, VDSL
Mindestgeschwindigkeiten DSL Telekom
Frage von justlukasDSL, VDSL13 Kommentare

Hallo zusammen, Seit diesem Jahr habe ich Verständnisprobleme mit dem Verhalten der Telekom. Wir haben seit einem Jahr VDSL ...

Switche und Hubs
LANCOM-Switch: Probleme (no link) mit SFP-Modulen?
Frage von THETOBSwitche und Hubs10 Kommentare

Hi zusammen, ich habe folgendes Problem: Und zwar habe ich an einem Standort drei Switche verbaut - LANCOM GS-2326P+, ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall10 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)8 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...