¿Debo habilitar la autenticación del dominio en mi DMZ?

Navega tus respuestas
4

Tradicionalmente, en mi lugar de trabajo tenemos una subred interna que está completamente protegida detrás de nuestro firewall. No se permite abrir puertos para conexiones directas desde la red pública. También ejecutamos una DMZ en la que solo permitimos que se abran puertos específicos cuando se necesitan. Además, no permitimos que las conexiones a la red interna se abran desde la DMZ, pero la red interna puede abrir conexiones a la DMZ. Me atrevería a decir que esta es una configuración bastante tradicional de estilo DMZ.

También alojamos nuestros controladores de dominio en nuestra red interna. Hasta este punto, la implicación de esto ha sido que necesitamos administrar la contraseña DMZ por separado, ya que no hay autenticación AD. Esto no ha sido un gran problema ya que solo hemos tenido un puñado de servidores DMZ.

Ahora estamos a punto de lanzar un producto que requerirá significativamente más servidores DMZ, y durante la última fase de nuestras pruebas ya tuvimos problemas con la administración de contraseñas en los sistemas DMZ. La solución parece ser perforar el agujero de la zona DMZ a la red interna para permitir que los servidores DMZ se unan al dominio.

Para mí esto plantea 2 preguntas:

  1. ¿Es esto incluso una buena idea?
  2. Suponiendo que no es una idea terrible, ¿es mejor permitir rutas específicas para que cada servidor vuelva a los controladores de dominio, permitir que la subred completa regrese, o implementar un DC en la DMZ y solo permitir ese servidor para volver a través.

Espero que alguien tenga algunos pensamientos.

    
pregunta Kirk 03.12.2011 - 20:17
fuente

5 respuestas

3

Use la función "Autenticación selectiva" con un bosque maestro y de recursos

La mejor idea, en mi opinión, es configurar un bosque separado en la DMZ y considerarlo un bosque de recursos. Es decir, no hay cuentas de usuario en ese bosque (excepto los usuarios predeterminados)

Luego use una función llamada Autenticación selectiva para permitir solo un conjunto predeterminado de usuarios para autenticarse en ese bosque de recursos. Esto limitará la exposición de su bosque interno de AD, pero permitirá la administración centralizada de las cuentas.

En términos generales, el costo financiero de implementar un segundo bosque ((licencias de SO, redundancia, consideraciones de DR y copia de seguridad, mantenimiento de parches, etc.) sería es mejor gastarlo en agregar autenticación multifactor a su bosque de cuenta principal, o un subconjunto de esos usuarios.

    
respondido por el random65537 06.02.2014 - 04:47
fuente
5

1) Claramente no es una buena idea. Eso significaría que si una máquina DMZ que está unida al dominio se ve comprometida, entonces su AD corporativo estará en peligro, lo que no es aceptable

La única opción es implementar un bosque de Active Directory separado para su DMZ, potencialmente con diferentes zonas; por ejemplo, los controladores de dominio de escritura principales en un segmento de red aislado y solo los controladores de dominio de lectura en los otros segmentos, pero en cualquier caso sin un enlace a su AD corporativo.

De hecho, hay una sobrecarga de administración / administración, pero la seguridad no tiene muchas otras opciones.

    
respondido por el dSebastien 04.12.2011 - 11:31
fuente
2

Si su producción interna AD es crítica y contiene sistemas sensibles, DATOS, etc., que tendrían un alto impacto en el negocio si se comprometieran, entonces debería considerar un bosque separado. Si un bosque "DMZ" completamente aislado no es práctico o demasiado costoso de administrar (los altos costos administrativos a través de la duplicación de cuentas, etc.) puede considerar un nuevo bosque "DMZ" conectado con una confianza unidireccional (el Bosque DMZ confía en el interno " Bosque de producción. El bosque DMZ debe implementarse en la red interna con RODC (si está disponible con su versión). Los dispositivos DMZ pueden autenticarse a través de puertos configurados en su firewall para acceder solo al RODC Forestal "DMZ", permitiendo la administración centralizada de DMZ dispositivos Los administradores de bosques de producción pueden usar sus cuentas de producción para administrar dispositivos DMZ a través de la confianza. Este es un nivel alto y es posible que no se ajuste a todos los requisitos de dmz y supone un requisito básico para administrar centralmente los sistemas DMZ.

    
respondido por el Andy Scott 17.11.2014 - 17:00
fuente
0

El uso de un RODC podría ser una opción para usted. Coloque el controlador de dominio de solo lectura en la DMZ. Fortalecer el sistema operativo para permitir solo el acceso del tráfico de autenticación de otros servidores en la DMZ y el tráfico de replicación de AD de sus socios de replicación de AD en la red privada. Bloquee las solicitudes entrantes desde la DMZ a la red privada (ya debe estar hecho). Configure una replicación de inserción desde el DC en la red privada para que las solicitudes se realicen desde el lado de la red privada.

AD Federation Services podría ser otra opción.

    
respondido por el Craig Shuey 05.02.2014 - 22:35
fuente
0

En general, hay dos diseños disponibles:

  1. Dos bosques separados donde puede usar AD FS o la confianza unidireccional (DMZ confía en interno, pero no al contrario).
  2. Un bosque con el controlador de dominio de solo lectura ubicado en la DMZ.

Más información: enlace

    
respondido por el Opaida 09.04.2017 - 06:31
fuente

Lea otras preguntas en las etiquetas

Error de seguridad del servidor de tiempo ¿Puede pasar C | EH sin ninguna experiencia práctica en herramientas de hacking?