Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Active Directory (LDAP) Port in Internet Veröffendlichen -Starke Sicherheitsbedencken!

Frage Entwicklung Visual Studio

Mitglied: Herbrich19

Herbrich19 (Level 2) - Jetzt verbinden

11.10.2012 um 06:54 Uhr, 4314 Aufrufe, 4 Kommentare, 1 Danke

Ich habe eine eigene Homepage in ASP.NET, diese nutzt den Standart Membership Provider der ersetzt werden soll durch Active Directory.

Hallo,

Der Folgende Link hat mich Inspiriert meine Homepage komplett über Active Direcotry zu verwalten, klar. Die Vorteile liegen klar auf der Hand. Man hat einen User nur einmal im System. Und man hat ein Zentrales Login und seine Sicherehits Gruppen, das System ist durch mehrere DC,s ausfall sicher. (Beim FSMO wirds kritisch nach 60 Tagen, Stichwort Tombstone Replication^^) aber sonst ist es eigendlich recht vorteilhaft.

http://msdn.microsoft.com/de-de/library/system.web.security.activedirec ...

Jetzt habe ich mir natürlich noch Gedancken wegen der Sicherheit gemacht, was passiert wen jemand es schaft in den LDAP-Server einzudrngen und die Microsoft Jet-Datenbanck mit allen Benutzer und Systemobjecten auslesen kann?

Als Schutzmaßname habe ich mir überlegt in meinen Router erstmal alle Ports nachaußen hin zu öffnen und auf einen ISA-Server Weiterzuleiten. Dieser kann ja anhand der IP-Adresse bestimmen ob die Anfrage legetim ist oder nicht?

Da kann ich dann auch noch mittels Reverse Proxy mein Exchange OWA bereit stellen und mine anderen Internetseiten (wie auch Sharepoint) veröffendlichen.

Zusätzlich habe ich mir ja auch noch mal überlegt, giebt es sowas wie LDAPS, was dann mit TLS/SSL Verschlüßelung Arbeitet, damit man die Daten die ins Active Directory gehen sollen und wieder zum Server hin nicht Abfangen kann, es währe für mich ein leichtes einen 16.000Bit Schlüßel mit meiner Hauseigenen Windows-CA (Herbrich Corporation) zu generieren und damit die LDAP Verbindung zu Verschlüeln.

Dann habe ich mir noch überlegt fals es Technisch nicht möglich sein sollte, dass ich ein Zweites Foest aufmache mit einer Vertrauens Stellung. Aber das währe irgendwie so als würde ich ein zweiten MSSQL-Server aufsetzten und den alten Membership (Standart Membership) weiterlaufen lassen. Also irgendwie total am Ziel Vorbei.

Ich habe auch im netz gelesen dass ich die Server (wen ich ein Webspace dort habe) von CwCity (sind Apache Server) auch ganz leicht mit einer .hataccess Datei in Root Verzeichniss ebenfals ganz leicht umkonfigurieren kann das LDAP als autentfizierung genutzt wird. Deswegen finde ich es schon sehr Cool mein Internes Active Directory auch auf allen meinen Websites nutzen zu können.

Nur wiegesagt, ich habe da doch sehr viel Bedencken wegen der Sicherheit, auf den Server zuhause liegen auch teilweise hochsensible Daten die nicht ins Internet rausdürfen. V-Lans und mehrere vollständig Getrente Domänen sind da auch keine Lösung. Da ich diese besagten Daten auf allen meinen Systemem jederzeit Abrufbereit brauch!

Mit Freundlichen Grüßen
-Herbrich

PS: Die Server um die es hier eigendlich geht sind
www.herbrich.org und www.szagarus-maynard.net (Befindet sich zurzeit noch in der Planungsphase), die Domains werden alle von mir zuhause aus von meinen eigenen DNS-Servern verwaltet, den ich habe eine Static-IP. Also auch beste Vorraussetzungen für mein LDAP-Autentifikation Project.
Mitglied: SlainteMhath
11.10.2012 um 08:51 Uhr
Moin,

sehr ausführlich Beschrieben - Vorbildlich!

Warum baust Du kein VPN zwischen dem Webserver(n) und deiner Domäne auf?

lg,
Slainte
Bitte warten ..
Mitglied: Herbrich19
11.10.2012 um 13:51 Uhr
Hallo,

Das hätte ich gerne gemacht wen es den Möglich währe, es handelt sich bei den Webserver um ein Shared Hosting angebot. (www.somee.com), selbsthosten möchte ich nicht weil ich meine Server nur als Betatier nutze, also zum Testen meiner Applicationen, diese werden dann aber nach Amerika ins Somme International DataCenter geschickt. V-Server kann ich mir in moment nicht leisten, und das geht auch nicht gut wegen der beschränkung keine Microsoft Produkte instalieren zu dürfen.

Ich kann ja mal bei Somee Fragen ob sie VPN freundlicherweise einrichten würden, aber auf einen Shared Hosting System könnte dann ja auch jeder andere (z.B. bößwillige Hacker) auf meine Active Directory Domäne zugreifen, bezihungsweise sogar auf das gesamte Forest. Und dass ist dann ebenfals nicht so gut. Den wer das Active Directory Forest Kontrolliert, der Kontrolliert die gesamten Rechner gleich mit. Deswegen muss man da verdammt vorsichtig sein.

LG, Herbrich
Bitte warten ..
Mitglied: MonoTone
12.10.2012 um 09:15 Uhr
Eine andere Möglichkeit wäre, das AD zu in deine Datenbank zu synchronisieren und von der Webseite aus nur auf die Datenbank zuzugreifen. Dadurch wird auch eine zentrale Nutzerpflege gewährleistet, aber das AD ist dennoch nicht zugänglich.
Bitte warten ..
Mitglied: Herbrich19
15.10.2012, aktualisiert um 08:49 Uhr
Hallo,

Erstmal Sry für die Späte Andwort, hatte noch ne menge zu tun.

Hmm, wie soll das Synconisieren mit der Datenbanck aussehen? Ich müßte doch die RID,s auslesen oder soll ich die LDAP Objecte direct in einer DB Speichern??

Sonst würde ich auch einfach über I-Frames Arbeiten und die Logingeschützten bereiche auf nen Haus Internen Webserver laufen lassen (Mit Reverse Proxy selbstverständlich).

Ein weiterer Ansatz ist auch ein Webdienst (Singe Sign In) zu Verwenden, (aber das ist wiederum eigendlich was ganz anderes. Da geht es ja darum das man wen man von intern auf ein Dienst zugreift das man dann mit den AD Acount Autentiufiziert wird). Aber das ganze hier soll eine Externe lösung werden.

Desweiteren muss man sich ja irgendwie auch neu Registrieren können, den Benutzern muss dann via GPO auch endsprechend "die laune vermiest werden", den sie dürfen dann ja keine berechtigungen für den Exchange bekommen, und auch nicht auf Lokale Anmeldung, Ordner und sonstige Objecte. Sondern halt nur für ihre Webapplicationen.

Am besten währe es LDAP SSL Verschlüelt laufen zu lassen, ich generiere einen Schönen 16K Bit Key in meiner eigenen CA, und dann kann es doch trotzdem nimmand knacken. Nur ich habe noch nie was von LDAPS gehört (vlt bin ich auch zu dumm und habe irgendwas übersehen
).

Mir Freundlichen Grüßen.
-Herbrich

EDIT:

http://support.microsoft.com/kb/321051/de

Ich habe hier was gefunden was für mein Project nützlich sein drüfte, wen ich LDAPS über den SSL Port veröffendliche? Dann dürfte das Active Directory doch wietesgehend Sicher von Angriffen von außen sein oder nicht?

Wo bei man könnte ja immer noch Passwort Rate Attaken machen und so. Aber ich will mal hören was ihr dazu denkt.

Mit Freundlichen Grüßen
-Herbrich
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
gelöst Active Directory CA öffentlich vertrauenswürdig machen, geht das? (2)

Frage von DeathangelCH zum Thema Windows Server ...

Windows Server
gelöst Active Directory File Extension - Associated Program (11)

Frage von adm2015 zum Thema Windows Server ...

Windows 8
gelöst Active Directory Default User.v2 Profile - Windows 8.1 Apps Error (4)

Frage von adm2015 zum Thema Windows 8 ...

Windows Server
Active Directory sinnvoll für kleine Firma (15)

Frage von WolfPeano zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...