Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Active Directory (LDAP) Port in Internet Veröffendlichen -Starke Sicherheitsbedencken!

Frage Entwicklung Visual Studio

Mitglied: Herbrich19

Herbrich19 (Level 2) - Jetzt verbinden

11.10.2012 um 06:54 Uhr, 4447 Aufrufe, 4 Kommentare, 1 Danke

Ich habe eine eigene Homepage in ASP.NET, diese nutzt den Standart Membership Provider der ersetzt werden soll durch Active Directory.

Hallo,

Der Folgende Link hat mich Inspiriert meine Homepage komplett über Active Direcotry zu verwalten, klar. Die Vorteile liegen klar auf der Hand. Man hat einen User nur einmal im System. Und man hat ein Zentrales Login und seine Sicherehits Gruppen, das System ist durch mehrere DC,s ausfall sicher. (Beim FSMO wirds kritisch nach 60 Tagen, Stichwort Tombstone Replication^^) aber sonst ist es eigendlich recht vorteilhaft.

http://msdn.microsoft.com/de-de/library/system.web.security.activedirec ...

Jetzt habe ich mir natürlich noch Gedancken wegen der Sicherheit gemacht, was passiert wen jemand es schaft in den LDAP-Server einzudrngen und die Microsoft Jet-Datenbanck mit allen Benutzer und Systemobjecten auslesen kann?

Als Schutzmaßname habe ich mir überlegt in meinen Router erstmal alle Ports nachaußen hin zu öffnen und auf einen ISA-Server Weiterzuleiten. Dieser kann ja anhand der IP-Adresse bestimmen ob die Anfrage legetim ist oder nicht?

Da kann ich dann auch noch mittels Reverse Proxy mein Exchange OWA bereit stellen und mine anderen Internetseiten (wie auch Sharepoint) veröffendlichen.

Zusätzlich habe ich mir ja auch noch mal überlegt, giebt es sowas wie LDAPS, was dann mit TLS/SSL Verschlüßelung Arbeitet, damit man die Daten die ins Active Directory gehen sollen und wieder zum Server hin nicht Abfangen kann, es währe für mich ein leichtes einen 16.000Bit Schlüßel mit meiner Hauseigenen Windows-CA (Herbrich Corporation) zu generieren und damit die LDAP Verbindung zu Verschlüeln.

Dann habe ich mir noch überlegt fals es Technisch nicht möglich sein sollte, dass ich ein Zweites Foest aufmache mit einer Vertrauens Stellung. Aber das währe irgendwie so als würde ich ein zweiten MSSQL-Server aufsetzten und den alten Membership (Standart Membership) weiterlaufen lassen. Also irgendwie total am Ziel Vorbei.

Ich habe auch im netz gelesen dass ich die Server (wen ich ein Webspace dort habe) von CwCity (sind Apache Server) auch ganz leicht mit einer .hataccess Datei in Root Verzeichniss ebenfals ganz leicht umkonfigurieren kann das LDAP als autentfizierung genutzt wird. Deswegen finde ich es schon sehr Cool mein Internes Active Directory auch auf allen meinen Websites nutzen zu können.

Nur wiegesagt, ich habe da doch sehr viel Bedencken wegen der Sicherheit, auf den Server zuhause liegen auch teilweise hochsensible Daten die nicht ins Internet rausdürfen. V-Lans und mehrere vollständig Getrente Domänen sind da auch keine Lösung. Da ich diese besagten Daten auf allen meinen Systemem jederzeit Abrufbereit brauch!

Mit Freundlichen Grüßen
-Herbrich

PS: Die Server um die es hier eigendlich geht sind
www.herbrich.org und www.szagarus-maynard.net (Befindet sich zurzeit noch in der Planungsphase), die Domains werden alle von mir zuhause aus von meinen eigenen DNS-Servern verwaltet, den ich habe eine Static-IP. Also auch beste Vorraussetzungen für mein LDAP-Autentifikation Project.
Mitglied: SlainteMhath
11.10.2012 um 08:51 Uhr
Moin,

sehr ausführlich Beschrieben - Vorbildlich!

Warum baust Du kein VPN zwischen dem Webserver(n) und deiner Domäne auf?

lg,
Slainte
Bitte warten ..
Mitglied: Herbrich19
11.10.2012 um 13:51 Uhr
Hallo,

Das hätte ich gerne gemacht wen es den Möglich währe, es handelt sich bei den Webserver um ein Shared Hosting angebot. (www.somee.com), selbsthosten möchte ich nicht weil ich meine Server nur als Betatier nutze, also zum Testen meiner Applicationen, diese werden dann aber nach Amerika ins Somme International DataCenter geschickt. V-Server kann ich mir in moment nicht leisten, und das geht auch nicht gut wegen der beschränkung keine Microsoft Produkte instalieren zu dürfen.

Ich kann ja mal bei Somee Fragen ob sie VPN freundlicherweise einrichten würden, aber auf einen Shared Hosting System könnte dann ja auch jeder andere (z.B. bößwillige Hacker) auf meine Active Directory Domäne zugreifen, bezihungsweise sogar auf das gesamte Forest. Und dass ist dann ebenfals nicht so gut. Den wer das Active Directory Forest Kontrolliert, der Kontrolliert die gesamten Rechner gleich mit. Deswegen muss man da verdammt vorsichtig sein.

LG, Herbrich
Bitte warten ..
Mitglied: MonoTone
12.10.2012 um 09:15 Uhr
Eine andere Möglichkeit wäre, das AD zu in deine Datenbank zu synchronisieren und von der Webseite aus nur auf die Datenbank zuzugreifen. Dadurch wird auch eine zentrale Nutzerpflege gewährleistet, aber das AD ist dennoch nicht zugänglich.
Bitte warten ..
Mitglied: Herbrich19
15.10.2012, aktualisiert um 08:49 Uhr
Hallo,

Erstmal Sry für die Späte Andwort, hatte noch ne menge zu tun.

Hmm, wie soll das Synconisieren mit der Datenbanck aussehen? Ich müßte doch die RID,s auslesen oder soll ich die LDAP Objecte direct in einer DB Speichern??

Sonst würde ich auch einfach über I-Frames Arbeiten und die Logingeschützten bereiche auf nen Haus Internen Webserver laufen lassen (Mit Reverse Proxy selbstverständlich).

Ein weiterer Ansatz ist auch ein Webdienst (Singe Sign In) zu Verwenden, (aber das ist wiederum eigendlich was ganz anderes. Da geht es ja darum das man wen man von intern auf ein Dienst zugreift das man dann mit den AD Acount Autentiufiziert wird). Aber das ganze hier soll eine Externe lösung werden.

Desweiteren muss man sich ja irgendwie auch neu Registrieren können, den Benutzern muss dann via GPO auch endsprechend "die laune vermiest werden", den sie dürfen dann ja keine berechtigungen für den Exchange bekommen, und auch nicht auf Lokale Anmeldung, Ordner und sonstige Objecte. Sondern halt nur für ihre Webapplicationen.

Am besten währe es LDAP SSL Verschlüelt laufen zu lassen, ich generiere einen Schönen 16K Bit Key in meiner eigenen CA, und dann kann es doch trotzdem nimmand knacken. Nur ich habe noch nie was von LDAPS gehört (vlt bin ich auch zu dumm und habe irgendwas übersehen
).

Mir Freundlichen Grüßen.
-Herbrich

EDIT:

http://support.microsoft.com/kb/321051/de

Ich habe hier was gefunden was für mein Project nützlich sein drüfte, wen ich LDAPS über den SSL Port veröffendliche? Dann dürfte das Active Directory doch wietesgehend Sicher von Angriffen von außen sein oder nicht?

Wo bei man könnte ja immer noch Passwort Rate Attaken machen und so. Aber ich will mal hören was ihr dazu denkt.

Mit Freundlichen Grüßen
-Herbrich
Bitte warten ..
Ähnliche Inhalte
Windows Server
gelöst Active Directory Zertifikatdienste - Dienst kann nicht gestartet werden (1)

Frage von chb1982 zum Thema Windows Server ...

Windows Userverwaltung
Active Directory - OU Anordnung und Aufbau (9)

Frage von nightwishler zum Thema Windows Userverwaltung ...

Batch & Shell
gelöst Powershell Vergleichen Name u Vorname mit Active Directory (5)

Frage von pixel0815 zum Thema Batch & Shell ...

Neue Wissensbeiträge
Google Android

Cyanogenmod alternative Downloadquelle

(5)

Tipp von Lochkartenstanzer zum Thema Google Android ...

Batch & Shell

Batch als Dienst bei Systemstart ohne Anmeldung ausführen

(5)

Tipp von tralveller zum Thema Batch & Shell ...

Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Heiß diskutierte Inhalte
Windows Server
gelöst Exchange HyperV Prozessorlast (19)

Frage von theoberlin zum Thema Windows Server ...

Hardware
16-20 Port POE Switch mit VLAN (19)

Frage von thomasreischer zum Thema Hardware ...

Windows Server
Server mit Netzwerkaussetzern (17)

Frage von SarekHL zum Thema Windows Server ...

LAN, WAN, Wireless
gelöst Batchdatei um einen Proxy einzustellen (14)

Frage von CrystalFlake zum Thema LAN, WAN, Wireless ...