ComputerBase Menü
Aktuelles

Active Directory VLAN Konfig

Chuck Norris123

Chuck Norris123

Lt. Commander
Registriert
Apr. 2008
Beiträge
1.281
Hallo,

wir haben bei uns in der Firma ein USG-Pro, bei dem ich momentan etwas umkonfigurieren möchte, jedoch nicht sicher bin, ob das überhaupt Sinn gibt:

Wir haben einen alten PC mit Windows 10, auf dem ein FTP-Server läuft. Darauf werden Bilder gespeichert, welche wir für Kunden verfügbar machen.
Dieser PC bzw. dessen Benutzer ist am Active-Directory angemeldet, sodass er via Remotedesktop einfach zu erreichen ist und man die Rechte des Users zentral verwalten kann.
Nun hätte ich aber vor, diesen einzelnen PC in ein eigenes VLAN zu geben und diesem VLAN die Kommunikation zu unserem Haupt-Netz zu sperren. Es soll nur noch antworten, jedoch von sich aus keine Verbindung aufbauen dürfen.
Vom Internet her soll der PC nur über Port 21 zu erreichen sein, ausgehend wäre alles erlaubt.
Nun ist aber die Sache daran die, dass ich ja damit gleichzeitig den Zugriff auf die AD sperre- Oder liege ich da falsch?
Welche Ports müsste ich sonst zwischen dem entsprechenden PC und dem Server freigeben, damit das wie gehabt funktioniert?

Die grundsätzliche Frage dazu ist aber, ob dieser Aufbau sicherheitstechnisch auch Vorteile bringt, oder ob es überhaupt sinnvoll ist, das komplett anders aufzubauen?
Ich dachte nur daran, dass ich gerne vermeiden möchte, das jemand der Kontrolle über meinen FTP-Server erlangen könnte dann mein komplettes LAN offen hat.

Danke für eure Hilfe dazu im Voraus.

Fg
Chuck
 
Abgesehen davon, dass es quatsch ist, einen FTP-Server auf einem Windows-Rechner zu betreiben: ein eigenes VLAN wird dir da nicht weiterhelfen, du brauchst eine Firewall oder irgendwas das zwischen den VLANs routet, wenn du weiterhin per RDP auf den PC willst.
Wenn es unbedingt Windows sein muss:
  • Windows aktuell halten
  • PC aus der Domäne nehmen, Anmeldung per RDP nur mit lokalem User ohne Admin-Rechte erlauben
  • Maximum an Sicherheit: Eigenes VLAN, Firewall zwischen DC und Win10, PC von innen abschirmen, d.h. alle Zugänge sperren außer von einem einzelnen PC/Server (Jumphost)

Konzept Windows als FTP-Host überdenken!
 
@lolmachine4 Er hat doch ne USG-Pro, kann die das nicht? Da wollte er ja entsprechend den Zugang ins Hauptnetz sperren und nur einzelne Ports freigeben.

Für Active Directory müssen u.a. folgende Ports freigegeben werden:
TCP/445
TCP/389
UDP/389
UDP/53
TCP/135
TCP/139
 
Chuck Norris123 schrieb:
Wir haben einen alten PC mit Windows 10, auf dem ein FTP-Server läuft. Darauf werden Bilder gespeichert, welche wir für Kunden verfügbar machen.
Zum Vergrößern anklicken....
Greifen die Kunden von außen drauf zu ?

Bilder auf S3 oder so laden und dann die Kunden von dort die Bilder runterladen lassen.
 
Hallo,

danke erstmal für die Antworten.
Die USG-Pro ist eine Firewall, wenn auch, wie ich hier öfter lese nicht optimal.
Sie erlaubt z.B. im Standard inter-VLAN Routing. - Das habe ich bereits unterbunden.

Prinzipiell gibt es bei den Kunden eine Videoüberwachung für ihre Baustellen, welche alle X Minuten bzw. Stunden ein Foto macht und dies per FTP an uns überträgt.
Die können das leider nur so, ansonsten hätten wir das natürlich gerne vermieden, da wir schon Dropbox in der Professional-Variante verwenden.
Auf dem entsprechenden PC läuft auch ein Dropbox-Account, welcher die Bilder synchronisiert und über einen Link an die Kunden bereitstellt. Es wird also nur für die Übertragung Kamera-PC von außen direkt zugegriffen. Der PC darf dann hinaus über alle Ports Verbindungen aufbauen, soll aber eben zukünftig nur das Nötigste an internem Verkehr erlaubt bekommen.
Die Kameras mit statischer IP sind auch zusätzlich FTP-Userseitig auf diese IP beschränkt, bei allen ging das aber leider nicht, da diese teils mobile Modems verwenden.
Was er nach draußen in weiterer Folge erlaubt bekomme, möchte ich dann in einem separaten Schritt einschränken.

Ich hoffe das beschreibt das Szenario in ausreichender Genauigkeit.
Ich werde mal versuchen die die von gaym0r genannten Ports intern freizugeben, mal sehen ob das klappt.
Danke inzwischen!

Fg
Chuck

EDIT: Das bedeutet aber ich entnehme euren Antworten, dass das schon was bringt. Nicht das ich mir hier n Kopf mache, andererseits aber sicherheitstechnisch am offenen Scheunentor ein kleines Löchlein stopfen versuche. - Da würde ich lieber das Tor schließen, anstelle meine Energie darauf zu verschwenden. ;)
 
Chuck Norris123 schrieb:
Ich dachte nur daran, dass ich gerne vermeiden möchte, das jemand der Kontrolle über meinen FTP-Server erlangen könnte dann mein komplettes LAN offen hat.
Zum Vergrößern anklicken....
Chuck Norris123 schrieb:
Ich werde mal versuchen die die von gaym0r genannten Ports intern freizugeben, mal sehen ob das klappt.
Danke inzwischen!
Zum Vergrößern anklicken....
Hmmm, Du sperrst den Rechner erst weg und machst dann die Tür wieder auf. Den Sinn dabei verstehe ich nicht!.
Mit welchen Rechten läuft der FTP-Server auf dem Rechner?

CU
redjack
 
Das habe ich auch noch nicht so ganz verstanden. Einfach den FTP-Server physisch in das quasi-DMZ-VLAN stecken und die Firewall zwischen DMZ und Firmennetzwerk nur einseitig öffnen, also sämtliche connection state = new Verbindungen DMZ -> Hauptnetz auf deny setzen und lediglich established/related zulassen (für die Antworten). Eine Verbindung zum AD brauchst du da doch gar nicht... Jeder, aber wirklich jeder Port, den du in einer DMZ-Firewall aus Richtung der DMZ öffnest, ist ein potentielles Angriffsziel, wenn ein Server in der DMZ gekapert wurde. Genau deswegen gibt es ja das Konzept der DMZ und genau deswegen ist die Firewall nur einseitig durchlässig. Ausnahmen sollte man sich wirklich gut überlegen.

Im übrigen ist FTP, sofern es sich um nacktes FTP handelt, natürlich generell eher wenig empfehlenswert, da bei nacktem FTP sogar der Login in Klartext übertragen wird. Nacktes FTP ist Stand 2022 kein sicherer Ort mehr für Daten. Dafür gibt es FTPS oder SFTP.
 
Hallo,

vielleicht habe ich ja das Konzept Active-Directory nicht ganz verstanden, daher bin ich davon ausgegangen, dass sich ein Benutzer am Active-Directory über die entsprechenden Ports anmelden muss. Daher die Frage, welche es braucht.

Generell scheint es aber besser zu sein, ich gehe den Weg, diesen Rechner aus dem AD zu entfernen und nur einen lokalen Benutzer laufen zu lassen.
Zusätzlich alle New Connections sperren und wie von Raijin erwähnt Established/Related zulassen.
Aktuell hat der Benutzer auf dem Rechner Admin-Rechte, der den FTP-Server ausführt.
Das würde ich dann eben lokal einschränken.

Leider können diese Kameras nur einfaches FTP, die Daten sind ja im Grunde auch nicht wichtig und werden ohnehin in der Dropbox gesichert. Es wird dieser PC nur als Zwischenstation verwendet.
Er soll aber deshalb auch so sicher wie möglich von unserem eigentlichen Netzwerk abgegrenzt werden.

Fg
Chuck
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

dj-hotline
Active Directory - Security Tipps
Antworten
15
Aufrufe
616
Skysnake
S
J
Active Directory in LDAP integrieren
Antworten
5
Aufrufe
391
Skysnake
S
K
DNS Server bei Active Directory zeigt immer auf Router
Antworten
10
Aufrufe
2.554
Renegade334
R
schrotti12
[Ubuntu 23.10 Cinnamon] Active Directory Benutzer für Systemänderung
Antworten
2
Aufrufe
861
schrotti12
schrotti12
E
Mac OS Ventura kein MS Active Directory beitritt möglich
Antworten
7
Aufrufe
1.382
Innensechskant
I
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz