Dieser Beitrag erläutert die Umsetzung einer sicheren Single-Sign-On-Lösung in einer DMZ mit Hilfe eines Read-only-Domain-Controllers (RODC).
Firewallkonzept für die DMZ
Bei einem ein- oder auch zweistufigen Firewallkonzept wird die DMZ vom Intranet getrennt (getrennte VLANs). Damit können spezifische IP-Regeln die Netze kontrollieren. Um das Gefährdungspotenzial durch einen erfolgreichen Angriff auf einen Server in der DMZ möglichst gering zu halten, sollten keine Verbindungen aus der DMZ in das Intranet erlaubt werden.
Sicheres Single-Sign-On in der DMZ durch RODC (Read-only-Domain-Controller)
Bei der strikten Umsetzung dieses Konzepts fällt damit eine direkte Authentifizierung an einen internen Domänencontroller aus der DMZ flach. Um Benutzern dennoch ein Sign-Sign-On auch für weltweit erreichbare Dienste (ohne VPN) zu ermöglichen, bietet sich die Verwendung eines Read-only-Domain-Controller an.
Laut Microsoft bietet sich ein RO-DC hauptsächlich für physikalisch unsichere Umgebungen an. Denn durch die Kennwort-Replikationsrichtlinie kann festgelegt werden, welche Credentials auf einem RODC zwischengespeichert werden sollen. In diesem Szenario werden also nur die absolut notwendigen Credentials (keine ADM- und Service-Accounts) der Benutzer, die die Dienste in der DMZ auch tatsächlich nutzen wollen, zwischengespeichert.
In der Praxis funktioniert das auch sehr gut. Verwendet wurden bei diesem Proof-of-Concept zwei Windows 2012 R2 Server. Der eine befindet sich im Intranet und fungiert als Domänencontroller und der andere als RODC, platziert in der DMZ.
Inbetriebnahme eines RODC:
- Einbinden des RO-DC in die Domäne
- Auf dem Domänencontroller globale Gruppe mit all den Benutzern erstellen, gegen die in der DMZ authentifiziert werden soll
- Heraufstufen des RO-DC
- Beim Heraufstufen des Computers RODC auswählen
- Beim Heraufstufen des Computers kann angegeben werden, für welche globale Gruppen die Accounts repliziert werden sollen
- Folgende Firewallregel anlegen:
Quell-Adresse Ziel-Adresse Protokoll (Palo Alto) Primary-DC RO-DC active-directory, kerberos, ms-netlogon, ms-service-controller, ms-wmi, msrrpc, netbios-dg, netbios-ns, netbios-ss, ntp, rpc, ssl, ldap
Der 4. Schritt sorgt dafür, dass nur eine einseitige Kommunikation vom Intranet in die DMZ zulässig ist. Sollte die DMZ vom Internet gehackt werden, sind weitere Angriffe auf das Intranet durch diese strenge Firewalleinstellung nicht möglich. Dennoch funktioniert dadurch ein Single-Sign-On auf für Dienste, die weltweit erreichbar sind.