Aislamiento de dominio IPSec con Windows Server

5

Estoy buscando una buena manera de proteger mis servidores, tengo un conjunto de servidores dedicados que no están en mi oficina pero que están alojados por un proveedor externo. TODOS los servidores tienen una sola IP pública (WAN).

No quiero usar VPN porque mis usuarios no están dispuestos a tener esta restricción, así que fui a una configuración de Firewall de mi servidor de Windows (a través de un GPO) para habilitar IPSec en el aislamiento de dominios.

Todos los servidores requieren una conexión segura para in-bound, que desde mi punto de vista es bastante segura.

Pero una cosa me molesta, para que el modo de autenticación predeterminado (que involucra a Kerberos) funcione en el aislamiento de mi dominio, tuve que configurar el firewall de mi servidor DNS / DC con "Solicitar entrada y salida" (en lugar de predeterminado "Requerido de entrada y solicitud de salida"). Supongo que es necesario para que funcione la autenticación Kerberos.

Una vez más, según tengo entendido, el servidor DNS / DC no está protegido por IPCSec (aunque no sé exactamente qué es realmente "solicitud" en lugar de "requerido").

Mi primera pregunta es: ¿es lo suficientemente seguro? Segunda pregunta: ¿cómo puedo configurar IPSec con el servidor DNS / DC tan protegido como los otros servidores?

Gracias por tu tiempo.

    
pregunta Nock 31.08.2012 - 16:44
fuente

1 respuesta

3

IPSEC se puede configurar utilizando múltiples métodos de autenticación. Personalmente prefiero usar certificados de mi CA interna a Kerberos. Hay varios dispositivos con los que trato (Linux, servidores en mi DMZ, etc.) que serían difíciles o imposibles de configurar con Kerberos. Es mucho más fácil trabajar con una solicitud de certificado IPSEC fuera de línea.

La declaración de solicitud hace posible utilizar IPSEC con la reducción del tráfico disponible sin cifrar. Este es un buen primer paso para comenzar con IPSEC. El requisito es exactamente eso: el tráfico debe se debe cifrar con IPSEC para que se permita. Esto es bueno para sus sistemas / servicios más sensibles.

Hay servicios, etc., que no desea que estén cubiertos por IPSEC. Esto incluye cualquier aspecto público o que deba utilizarse antes de que se establezca el cifrado. Eso incluiría DNS y algunos de los servicios específicos de AD. No tengo una lista mínima de servicios requeridos para permanecer permitidos sin cifrar a la mano. Estoy optando por dejar mis CD en modo de solicitud hasta que tenga tiempo para rastrear esa información.

    
respondido por el Tim Brigham 31.08.2012 - 19:36
fuente

Lea otras preguntas en las etiquetas