Devo abilitare l'autenticazione del dominio nella mia DMZ

Naviga le tue risposte
4

Tradizionalmente sul mio posto di lavoro abbiamo una sottorete interna completamente protetta dal nostro firewall. Nessuna porta può essere aperta per le connessioni dirette dalla rete pubblica. Eseguiamo anche una DMZ in cui consentiamo l'apertura di porte specifiche solo quando sono necessarie. Inoltre, non permettiamo che le connessioni alla rete interna siano aperte dalla DMZ, ma la rete interna può aprire connessioni alla DMZ. Mi azzarderei a pensare che si tratta di una configurazione DMZ tradizionale piuttosto carina.

Ospitiamo anche i nostri controller di dominio nella nostra rete interna. Fino a questo punto, l'implicazione di questo è stato che abbiamo bisogno di gestire la password DMZ separatamente poiché non esiste l'autenticazione AD. Questo non è stato un grosso problema dato che abbiamo avuto solo una manciata di server DMZ.

Ora stiamo per lanciare un prodotto che richiederà significativamente più server DMZ e, durante l'ultima fase dei nostri test, abbiamo già riscontrato problemi con la gestione delle password sui sistemi DMZ. La soluzione sembra essere quella di perforare il buco dalla DMZ alla rete interna per consentire ai server DMZ di essere uniti al dominio.

Per me questo solleva 2 domande:

  1. Questa è anche una buona idea?
  2. Supponendo che non sia una pessima idea, è meglio consentire a percorsi specifici per ogni server di tornare ai controller di dominio, per consentire l'intera sottorete di tornare, o per distribuire un DC sulla DMZ e consentire solo quel server per tornare indietro.

Spero che qualcuno là fuori abbia qualche idea.

    
posta Kirk 03.12.2011 - 20:17
fonte

5 risposte

3

Utilizza la funzione "Autenticazione selettiva" con una foresta di risorse e master

L'idea migliore, secondo me, è configurare una foresta separata nella DMZ e considerarla una foresta di risorse. Cioè, nessun account utente in quella foresta (eccetto per gli utenti predefiniti)

Quindi utilizza una funzionalità chiamata Autenticazione selettiva per consentire solo un gruppo predeterminato di utenti per l'autenticazione in quella foresta di risorse. Ciò limiterà l'esposizione della foresta di Active Directory interna, ma consentirà l'amministrazione centralizzata degli account.

In generale, il costo finanziario per l'implementazione di una seconda foresta (licenze del sistema operativo, ridondanza, considerazioni su backup e DR, manutenzione delle patch, ecc.) sarebbe meglio speso per l'aggiunta dell'autenticazione a più fattori alla foresta di account principale o a un sottoinsieme di tali utenti.

    
risposta data 06.02.2014 - 04:47
fonte
5

1) Chiaramente non è una buona idea. Ciò significherebbe che se una macchina DMZ collegata al dominio viene compromessa, l'AD aziendale potrebbe essere in pericolo, il che non è accettabile

L'unica opzione è quella di distribuire una foresta di Active Directory separata per la DMZ, potenzialmente con zone diverse; ad esempio, i principali controller di dominio scrivibili in un segmento di rete isolato e leggono solo i controller di dominio negli altri segmenti, ma in ogni caso senza un collegamento al tuo annuncio aziendale.

Esiste davvero un sovraccarico amministrativo / amministrativo, ma per ragioni di sicurezza non hai molte altre opzioni.

    
risposta data 04.12.2011 - 11:31
fonte
2

Se l'AD di produzione interna è critico e contiene sistemi sensibili, DATI ecc., che avrebbero un impatto aziendale elevato se compromessi, dovresti considerare una foresta separata. Se una foresta "DMZ" completamente isolata non è pratica o troppo costosa da gestire (elevati costi amministrativi attraverso la duplicazione dell'account e così via), puoi considerare una nuova foresta "DMZ" connessa con un trust unidirezionale (la foresta DMZ si fida dell'Interno ") Foresta di produzione La foresta DMZ deve essere implementata sulla rete interna con i RODC (se disponibile con la propria versione) I dispositivi DMZ possono quindi autenticarsi attraverso le porte configurate sul firewall per accedere al solo Forest RODC "DMZ", consentendo la gestione centralizzata di DMZ dispositivi. Gli amministratori forestali di produzione possono utilizzare i propri account di produzione per amministrare i dispositivi DMZ attraverso il trust. Questo è di alto livello e potrebbe non essere adatto a tutti i requisiti di DMX e presuppone un requisito di base per la gestione centralizzata dei sistemi DMZ.

    
risposta data 17.11.2014 - 17:00
fonte
0

L'uso di un RODC potrebbe essere un'opzione per te. Inserire il controller di dominio di sola lettura nella DMZ. Indurire il sistema operativo per consentire solo l'accesso al traffico di autenticazione da altri server nel traffico di replica DMZ e AD dai suoi partner di replica AD nella rete privata. Blocca le richieste in entrata dalla DMZ alla rete privata (dovrebbe già essere fatto). Configura una replica push dai controller di dominio nella rete privata in modo che le richieste vengano effettuate dal lato della rete privata.

Servizi federali di AD potrebbe essere un'altra opzione.

    
risposta data 05.02.2014 - 22:35
fonte
0

In generale, sono disponibili due modelli:

  1. Due foreste separate in cui puoi utilizzare ADFS o trust unidirezionale (DMZ si affida a Internal ma non viceversa).
  2. Una foresta con controller di dominio di sola lettura inserito nella DMZ.

Ulteriori informazioni: link

    
risposta data 09.04.2017 - 06:31
fonte

Leggi altre domande sui tag

Come configuro nmap per verificare che il mio firewall stia eseguendo un controllo statico dei pacchetti? Errore di sicurezza del time server