Dan horen we natuurlijk graag wat je gevonden hebt en waarom dat niet veilig zou zijn!
Twee minuten Googlen levert mij [url=http://freeradius.org/]FreeRADIUS[/url] op, waarvan ook een [url=http://www.vmware.com/appliances/directory/69328]virtual appliance[/url] van verkrijgbaar is.
Persoonlijk heb ik hier geen ervaring mee, dus ik zou zeggen, probeer het uit :)

Test: [url=http://security.zarco.nl]security.zarco.nl[/url]
Test: [url=/artikel/28008/notificatie]/artikel/28008/notificatie[/url]

Het ligt ook puur wat je er op draait.
Terminal server?
Web site?
Web Applicatie?
Sharing?
hosting?

Elk van deze dingen vereist een andere authenticatie.
Soms kan je ook beter met kvmip werken of rdp via ssh tunnelen.

Zolang jij het niet beschrijft kunnen wij niks :)

De tool die ik gevonden had is pgina, ipv pagina... :)

http://www.pgina.org/

Het gaat in dit geval om een DNS server, maar eigenlijk meer in het algemeen om windows servers in de DMZ.
Het gaat me in dit geval dus niet om welke RADIUS server/tool ik zou moeten gebruiken, of de manier hoe de server benaderd wordt, maar hoe je op de server inlogt. Ik wil de server niet in het domain hangen, maar lokale authenticatie is ook niet je van het.

ik hoop dat dit een beetje beter beschrijft waar ik naar op zoek ben.

grt,

jeroen

Certificaat gebaseerde login op de server zou een veilige mogelijkheid zijn.

en hoe zou je dat dan doen? voor zover ik weet is dat geen standaard functionaliteit binnen windows om een niet domain machine in te kunnen loggen met certificaten?.

Dit blijkt een verganging te zijn voor GINA. Zou ik inderdaad niet aanraden, je introduceert een extra component in je systeem met potentiele kwetsbaarheden welke niet standaard updates krijgt via WindowsUpdate / WSUS.Hmmm, nee niet echt:
- Het gaat om een DNS-server die moet authenticeren.
- In het algemeen gaat het om alle Windowsservers in het DMZ.
- Het gaat niet om RADIUS.
- Het gaat om hoe je op de server inlogt.

Wil je soms een eigen AD in het DMZ?

Bedenk wel dat je dan een beveiligingsprobleem in je DMZ aanbrengt: zodra 1 machine is overgenomen, zijn de andere machines ook simpel over te nemen.
Mijn advies is gewoon alle machines stand-alone te houden, tenzij het om zeer grote getalen te gaat, dan gebruik je een RADIUS-oplossing (geen AD van je LAN dus)
Kun je anders de situatie iets duidelijker uitleggen? We hebben nog steeds wat weinig informatie over je situatie...

Waarom zou een authenticatie over RADIUS onveilig zijn?
Op zicht wel interessante oplossing, nog niet eerder geprobeerd. Wel zou ik aan de slag gaan met een authenticatie token (Vasco, Safeword, etc), dan heb je een prima oplossing.

Uitleg:
Als je het lukt (laat dat even weten) om de authenticatie van je Windows PC naar een RADIUS server door te sturen, dan zal je user+pass hoogstwaarschijnlijk met PAP (Password Authentication Protocol) worden verzonden (de applicatie die je auth. afvangt is verantwoordelijk hoe je de gegevens worden verzonden), wat clear text is.

Probleem met de situatie:
1 - credentials wordt in clear text verzonden
2 - user+pass kan worden onderschept of worden afgekeken

Oplossing:
Vervang je password door een authenticatie token.
Wat is een authenticatie token? Een device wat voor jou een password genereert (Vasco = time bases, Safeword = eventbased). Op de Radius server installeer één van de producten (Vasco, Safeword) zodat de gegenereerde password van je Token daarmee zich kan matchen (de werking ervan ligt wat ingewikkelder in elkaar, maar dat valt buiten de scope).

Succes.

Kan ook anders.

Zet een AD en/of ADAM op in je DMZ die je evt. kunt koppelen aan je interne AD met AD FS (of MIIS/ILM). Heb je gewoon een domain en bijpassende security, doe je helemaal microsoft, en zijn je updates ook geregeld. AD FS is geinige tool, kun je als bridge tussen verscillende tokens gebruiken, dus ook mappen van kerberos naar https of zo. Google op Joe Kaplan z'n blog en je vind leuke voorbeelden.

succes

Ik zeg niet dat RADIUS onveilig is.
Wat ik bedoelde is dat als je alleen password authenticatie gebruikt voor al je machines in je DMZ, via RADIUS of AD en er wordt er 1 server "gehackt", dan is het waarschijnlijk ook een koud kunstje om op de andere machines in te loggen.

Maar RADIUS icm tokens zijn inderdaad zelfs een beter idee.

VPN-tunnel of verschillende SSH-tunnels ....

Het gaat in dit geval om een DNS server, maar het gaat mij meer om een algemeen beeld van authenticatie van servers die in de DMZ staan. Inderdaad geen directe verbinding met de interne AD, maar bv via RADIUS icm token authenticeren, zodat je niet op elke server een user db bij hoeft te houden. En in dit geval zou RADIUS dus ook een uitkomst bieden voor klanten met een Novell omgeving, of wat voor authenticatie dan ook.

dus in principe zou de P-gina tool wel goed zijn, maar ik heb begrepen dat deze tool wachtwoorden in clear-tekst in het register opslaat.

Alle machines in de DMZ standalone.
Vanaf het internet alleen de poorten toestaan die nodig zijn (wellicht nog reverse proxy of content filter er tussen om fout verkeer er tussen uit te halen)
Beheer kan je via SSH tunnelen (vanDyke VShell SSH server) en x509 authenticatie gebruiken ipv gebruikersnaam en wachtwoord (of een ondersteunde token oplossing). Remote desktop e.d. kan je gewoon gebruiken.
Zelfs als een andere server op het segment gehackt wordt, zijn nog steeds alleen maar de SSH poorten 'openbaar' en de poorten die vanaf het internet ook al toegankelijk waren. En omdat alle beheer activiteiten via SSH lopen kan men snifferen totdat ze een ons wegen.

Moehaha, dan zou ik dergelijke software verre van aanraken.
Als een programmeur al niet snapt dat je wachtwoorden niet clear-text moet opslaan, kan je wellicht nog wel meer dingen verwachten, ik noem iets als buffer-overflows...