Security Professionals
- ipfw add deny all from eindgebruikers to any
Best practices DMZ authenticatie
17-03-2009, 14:43 door Anoniem, 13 reacties
wat zou de "beste" manier zijn om authenticatie te verzorgen op een Windows machine in de DMZ?
Kent iemand een tool om bv radius te gebruiken voor login op een windows machine die niet in het domain hangt?
ik heb wel een pagina gevonden, maar begrepen dat dit security-wise geen goede keus is.
grt,
Jeroen
Kent iemand een tool om bv radius te gebruiken voor login op een windows machine die niet in het domain hangt?
ik heb wel een pagina gevonden, maar begrepen dat dit security-wise geen goede keus is.
grt,
Jeroen
Reacties (13)
19-03-2009, 09:19 door
Zarco.nl
Dan horen we natuurlijk graag wat je gevonden hebt en waarom dat niet veilig zou zijn!
Twee minuten Googlen levert mij [url=http://freeradius.org/]FreeRADIUS[/url] op, waarvan ook een [url=http://www.vmware.com/appliances/directory/69328]virtual appliance[/url] van verkrijgbaar is.
Persoonlijk heb ik hier geen ervaring mee, dus ik zou zeggen, probeer het uit :)
Test: [url=http://security.zarco.nl]security.zarco.nl[/url]
Test: [url=/artikel/28008/notificatie]/artikel/28008/notificatie[/url]
Twee minuten Googlen levert mij [url=http://freeradius.org/]FreeRADIUS[/url] op, waarvan ook een [url=http://www.vmware.com/appliances/directory/69328]virtual appliance[/url] van verkrijgbaar is.
Persoonlijk heb ik hier geen ervaring mee, dus ik zou zeggen, probeer het uit :)
Test: [url=http://security.zarco.nl]security.zarco.nl[/url]
Test: [url=/artikel/28008/notificatie]/artikel/28008/notificatie[/url]
19-03-2009, 09:39 door
Napped
Het ligt ook puur wat je er op draait.
Terminal server?
Web site?
Web Applicatie?
Sharing?
hosting?
Elk van deze dingen vereist een andere authenticatie.
Soms kan je ook beter met kvmip werken of rdp via ssh tunnelen.
Zolang jij het niet beschrijft kunnen wij niks :)
Terminal server?
Web site?
Web Applicatie?
Sharing?
hosting?
Elk van deze dingen vereist een andere authenticatie.
Soms kan je ook beter met kvmip werken of rdp via ssh tunnelen.
Zolang jij het niet beschrijft kunnen wij niks :)
23-03-2009, 10:37 door
jeroendv
De tool die ik gevonden had is pgina, ipv pagina... :)
http://www.pgina.org/
Het gaat in dit geval om een DNS server, maar eigenlijk meer in het algemeen om windows servers in de DMZ.
Het gaat me in dit geval dus niet om welke RADIUS server/tool ik zou moeten gebruiken, of de manier hoe de server benaderd wordt, maar hoe je op de server inlogt. Ik wil de server niet in het domain hangen, maar lokale authenticatie is ook niet je van het.
ik hoop dat dit een beetje beter beschrijft waar ik naar op zoek ben.
grt,
jeroen
http://www.pgina.org/
Het gaat in dit geval om een DNS server, maar eigenlijk meer in het algemeen om windows servers in de DMZ.
Het gaat me in dit geval dus niet om welke RADIUS server/tool ik zou moeten gebruiken, of de manier hoe de server benaderd wordt, maar hoe je op de server inlogt. Ik wil de server niet in het domain hangen, maar lokale authenticatie is ook niet je van het.
ik hoop dat dit een beetje beter beschrijft waar ik naar op zoek ben.
grt,
jeroen
Certificaat gebaseerde login op de server zou een veilige mogelijkheid zijn.
23-03-2009, 14:37 door
jeroendv
en hoe zou je dat dan doen? voor zover ik weet is dat geen standaard functionaliteit binnen windows om een niet domain machine in te kunnen loggen met certificaten?.
23-03-2009, 19:02 door
Zarco.nl
Door jeroendvDe tool die ik gevonden had is pgina, ipv pagina... :)
http://www.pgina.org/
Dit blijkt een verganging te zijn voor GINA. Zou ik inderdaad niet aanraden, je introduceert een extra component in je systeem met potentiele kwetsbaarheden welke niet standaard updates krijgt via WindowsUpdate / WSUS.http://www.pgina.org/
Het gaat in dit geval om een DNS server, maar eigenlijk meer in het algemeen om windows servers in de DMZ.
Het gaat me in dit geval dus niet om welke RADIUS server/tool ik zou moeten gebruiken, of de manier hoe de server benaderd wordt, maar hoe je op de server inlogt. Ik wil de server niet in het domain hangen, maar lokale authenticatie is ook niet je van het.
ik hoop dat dit een beetje beter beschrijft waar ik naar op zoek ben.
- Het gaat om een DNS-server die moet authenticeren.
- In het algemeen gaat het om alle Windowsservers in het DMZ.
- Het gaat niet om RADIUS.
- Het gaat om hoe je op de server inlogt.
Wil je soms een eigen AD in het DMZ?
Bedenk wel dat je dan een beveiligingsprobleem in je DMZ aanbrengt: zodra 1 machine is overgenomen, zijn de andere machines ook simpel over te nemen.
Mijn advies is gewoon alle machines stand-alone te houden, tenzij het om zeer grote getalen te gaat, dan gebruik je een RADIUS-oplossing (geen AD van je LAN dus)
Kun je anders de situatie iets duidelijker uitleggen? We hebben nog steeds wat weinig informatie over je situatie...
24-03-2009, 12:51 door
Sokolum
Door Zarco.nl
Het gaat in dit geval om een DNS server, maar eigenlijk meer in het algemeen om windows servers in de DMZ.
Het gaat me in dit geval dus niet om welke RADIUS server/tool ik zou moeten gebruiken, of de manier hoe de server benaderd wordt, maar hoe je op de server inlogt. Ik wil de server niet in het domain hangen, maar lokale authenticatie is ook niet je van het.
ik hoop dat dit een beetje beter beschrijft waar ik naar op zoek ben.
Hmmm, nee niet echt:
- Het gaat om een DNS-server die moet authenticeren.
- In het algemeen gaat het om alle Windowsservers in het DMZ.
- Het gaat niet om RADIUS.
- Het gaat om hoe je op de server inlogt.
Wil je soms een eigen AD in het DMZ?
Bedenk wel dat je dan een beveiligingsprobleem in je DMZ aanbrengt: zodra 1 machine is overgenomen, zijn de andere machines ook simpel over te nemen.
Mijn advies is gewoon alle machines stand-alone te houden, tenzij het om zeer grote getalen te gaat, dan gebruik je een RADIUS-oplossing (geen AD van je LAN dus)
Kun je anders de situatie iets duidelijker uitleggen? We hebben nog steeds wat weinig informatie over je situatie...
Door jeroendvDe tool die ik gevonden had is pgina, ipv pagina... :)
http://www.pgina.org/
Dit blijkt een verganging te zijn voor GINA. Zou ik inderdaad niet aanraden, je introduceert een extra component in je systeem met potentiele kwetsbaarheden welke niet standaard updates krijgt via WindowsUpdate / WSUS.http://www.pgina.org/
Het gaat in dit geval om een DNS server, maar eigenlijk meer in het algemeen om windows servers in de DMZ.
Het gaat me in dit geval dus niet om welke RADIUS server/tool ik zou moeten gebruiken, of de manier hoe de server benaderd wordt, maar hoe je op de server inlogt. Ik wil de server niet in het domain hangen, maar lokale authenticatie is ook niet je van het.
ik hoop dat dit een beetje beter beschrijft waar ik naar op zoek ben.
- Het gaat om een DNS-server die moet authenticeren.
- In het algemeen gaat het om alle Windowsservers in het DMZ.
- Het gaat niet om RADIUS.
- Het gaat om hoe je op de server inlogt.
Wil je soms een eigen AD in het DMZ?
Bedenk wel dat je dan een beveiligingsprobleem in je DMZ aanbrengt: zodra 1 machine is overgenomen, zijn de andere machines ook simpel over te nemen.
Mijn advies is gewoon alle machines stand-alone te houden, tenzij het om zeer grote getalen te gaat, dan gebruik je een RADIUS-oplossing (geen AD van je LAN dus)
Kun je anders de situatie iets duidelijker uitleggen? We hebben nog steeds wat weinig informatie over je situatie...
Waarom zou een authenticatie over RADIUS onveilig zijn?
Op zicht wel interessante oplossing, nog niet eerder geprobeerd. Wel zou ik aan de slag gaan met een authenticatie token (Vasco, Safeword, etc), dan heb je een prima oplossing.
Uitleg:
Als je het lukt (laat dat even weten) om de authenticatie van je Windows PC naar een RADIUS server door te sturen, dan zal je user+pass hoogstwaarschijnlijk met PAP (Password Authentication Protocol) worden verzonden (de applicatie die je auth. afvangt is verantwoordelijk hoe je de gegevens worden verzonden), wat clear text is.
Probleem met de situatie:
1 - credentials wordt in clear text verzonden
2 - user+pass kan worden onderschept of worden afgekeken
Oplossing:
Vervang je password door een authenticatie token.
Wat is een authenticatie token? Een device wat voor jou een password genereert (Vasco = time bases, Safeword = eventbased). Op de Radius server installeer één van de producten (Vasco, Safeword) zodat de gegenereerde password van je Token daarmee zich kan matchen (de werking ervan ligt wat ingewikkelder in elkaar, maar dat valt buiten de scope).
Succes.
Kan ook anders.
Zet een AD en/of ADAM op in je DMZ die je evt. kunt koppelen aan je interne AD met AD FS (of MIIS/ILM). Heb je gewoon een domain en bijpassende security, doe je helemaal microsoft, en zijn je updates ook geregeld. AD FS is geinige tool, kun je als bridge tussen verscillende tokens gebruiken, dus ook mappen van kerberos naar https of zo. Google op Joe Kaplan z'n blog en je vind leuke voorbeelden.
succes
Zet een AD en/of ADAM op in je DMZ die je evt. kunt koppelen aan je interne AD met AD FS (of MIIS/ILM). Heb je gewoon een domain en bijpassende security, doe je helemaal microsoft, en zijn je updates ook geregeld. AD FS is geinige tool, kun je als bridge tussen verscillende tokens gebruiken, dus ook mappen van kerberos naar https of zo. Google op Joe Kaplan z'n blog en je vind leuke voorbeelden.
succes
24-03-2009, 21:45 door
Zarco.nl
Door Sokolum
Waarom zou een authenticatie over RADIUS onveilig zijn?
Op zicht wel interessante oplossing, nog niet eerder geprobeerd. Wel zou ik aan de slag gaan met een authenticatie token (Vasco, Safeword, etc), dan heb je een prima oplossing.
Ik zeg niet dat RADIUS onveilig is.Waarom zou een authenticatie over RADIUS onveilig zijn?
Op zicht wel interessante oplossing, nog niet eerder geprobeerd. Wel zou ik aan de slag gaan met een authenticatie token (Vasco, Safeword, etc), dan heb je een prima oplossing.
Wat ik bedoelde is dat als je alleen password authenticatie gebruikt voor al je machines in je DMZ, via RADIUS of AD en er wordt er 1 server "gehackt", dan is het waarschijnlijk ook een koud kunstje om op de andere machines in te loggen.
Maar RADIUS icm tokens zijn inderdaad zelfs een beter idee.
25-03-2009, 09:34 door
Preddie
VPN-tunnel of verschillende SSH-tunnels ....
25-03-2009, 14:35 door
jeroendv
Het gaat in dit geval om een DNS server, maar het gaat mij meer om een algemeen beeld van authenticatie van servers die in de DMZ staan. Inderdaad geen directe verbinding met de interne AD, maar bv via RADIUS icm token authenticeren, zodat je niet op elke server een user db bij hoeft te houden. En in dit geval zou RADIUS dus ook een uitkomst bieden voor klanten met een Novell omgeving, of wat voor authenticatie dan ook.
dus in principe zou de P-gina tool wel goed zijn, maar ik heb begrepen dat deze tool wachtwoorden in clear-tekst in het register opslaat.
dus in principe zou de P-gina tool wel goed zijn, maar ik heb begrepen dat deze tool wachtwoorden in clear-tekst in het register opslaat.
Door Zarco.nl
Het gaat in dit geval om een DNS server, maar eigenlijk meer in het algemeen om windows servers in de DMZ.
Het gaat me in dit geval dus niet om welke RADIUS server/tool ik zou moeten gebruiken, of de manier hoe de server benaderd wordt, maar hoe je op de server inlogt. Ik wil de server niet in het domain hangen, maar lokale authenticatie is ook niet je van het.
ik hoop dat dit een beetje beter beschrijft waar ik naar op zoek ben.
Hmmm, nee niet echt:
- Het gaat om een DNS-server die moet authenticeren.
- In het algemeen gaat het om alle Windowsservers in het DMZ.
- Het gaat niet om RADIUS.
- Het gaat om hoe je op de server inlogt.
Wil je soms een eigen AD in het DMZ?
Bedenk wel dat je dan een beveiligingsprobleem in je DMZ aanbrengt: zodra 1 machine is overgenomen, zijn de andere machines ook simpel over te nemen.
Mijn advies is gewoon alle machines stand-alone te houden, tenzij het om zeer grote getalen te gaat, dan gebruik je een RADIUS-oplossing (geen AD van je LAN dus)
Kun je anders de situatie iets duidelijker uitleggen? We hebben nog steeds wat weinig informatie over je situatie...
Door jeroendvDe tool die ik gevonden had is pgina, ipv pagina... :)
http://www.pgina.org/
Dit blijkt een verganging te zijn voor GINA. Zou ik inderdaad niet aanraden, je introduceert een extra component in je systeem met potentiele kwetsbaarheden welke niet standaard updates krijgt via WindowsUpdate / WSUS.http://www.pgina.org/
Het gaat in dit geval om een DNS server, maar eigenlijk meer in het algemeen om windows servers in de DMZ.
Het gaat me in dit geval dus niet om welke RADIUS server/tool ik zou moeten gebruiken, of de manier hoe de server benaderd wordt, maar hoe je op de server inlogt. Ik wil de server niet in het domain hangen, maar lokale authenticatie is ook niet je van het.
ik hoop dat dit een beetje beter beschrijft waar ik naar op zoek ben.
- Het gaat om een DNS-server die moet authenticeren.
- In het algemeen gaat het om alle Windowsservers in het DMZ.
- Het gaat niet om RADIUS.
- Het gaat om hoe je op de server inlogt.
Wil je soms een eigen AD in het DMZ?
Bedenk wel dat je dan een beveiligingsprobleem in je DMZ aanbrengt: zodra 1 machine is overgenomen, zijn de andere machines ook simpel over te nemen.
Mijn advies is gewoon alle machines stand-alone te houden, tenzij het om zeer grote getalen te gaat, dan gebruik je een RADIUS-oplossing (geen AD van je LAN dus)
Kun je anders de situatie iets duidelijker uitleggen? We hebben nog steeds wat weinig informatie over je situatie...
25-03-2009, 17:43 door
wimbo
Alle machines in de DMZ standalone.
Vanaf het internet alleen de poorten toestaan die nodig zijn (wellicht nog reverse proxy of content filter er tussen om fout verkeer er tussen uit te halen)
Beheer kan je via SSH tunnelen (vanDyke VShell SSH server) en x509 authenticatie gebruiken ipv gebruikersnaam en wachtwoord (of een ondersteunde token oplossing). Remote desktop e.d. kan je gewoon gebruiken.
Zelfs als een andere server op het segment gehackt wordt, zijn nog steeds alleen maar de SSH poorten 'openbaar' en de poorten die vanaf het internet ook al toegankelijk waren. En omdat alle beheer activiteiten via SSH lopen kan men snifferen totdat ze een ons wegen.
Vanaf het internet alleen de poorten toestaan die nodig zijn (wellicht nog reverse proxy of content filter er tussen om fout verkeer er tussen uit te halen)
Beheer kan je via SSH tunnelen (vanDyke VShell SSH server) en x509 authenticatie gebruiken ipv gebruikersnaam en wachtwoord (of een ondersteunde token oplossing). Remote desktop e.d. kan je gewoon gebruiken.
Zelfs als een andere server op het segment gehackt wordt, zijn nog steeds alleen maar de SSH poorten 'openbaar' en de poorten die vanaf het internet ook al toegankelijk waren. En omdat alle beheer activiteiten via SSH lopen kan men snifferen totdat ze een ons wegen.
28-03-2009, 19:15 door
Zarco.nl
Door jeroendv
dus in principe zou de P-gina tool wel goed zijn, maar ik heb begrepen dat deze tool wachtwoorden in clear-tekst in het register opslaat.
Moehaha, dan zou ik dergelijke software verre van aanraken.dus in principe zou de P-gina tool wel goed zijn, maar ik heb begrepen dat deze tool wachtwoorden in clear-tekst in het register opslaat.
Als een programmeur al niet snapt dat je wachtwoorden niet clear-text moet opslaan, kan je wellicht nog wel meer dingen verwachten, ik noem iets als buffer-overflows...
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.