¿Alguna ventaja de seguridad relacionada con la red al usar RODC (solo lectura DC) en DMZ?

3

Los servidores Windows en la DMZ necesitan comunicarse con Active Directory. No me gusta que los servidores tengan comunicación directa con mi Active Directory, por lo que considero instalar un controlador de dominio de solo lectura que replique el real.

Parece que hay beneficios de seguridad con RODC solo cuando no es seguro físicamente - no se almacenan las contraseñas en caché, si alguien las roba, aún no pueden modificar el AD real o encontrar las credenciales para hacerlo.

enlace :

Inadequate physical security is the most common reason to consider deploying
an RODC. An RODC provides a way to deploy a domain controller more securely in 
locations that require fast and reliable authentication services but cannot
ensure physical security for a writable domain controller.

¿Hay algún beneficio real con la implementación de un RODC cuando se trata de la seguridad de la red?

    
pregunta Dog eat cat world 30.06.2014 - 15:09
fuente

2 respuestas

4

Los RODC realmente tienen que ver con la seguridad física, y no con la seguridad de la red. Son una actualización de sus viejos controladores de dominio de copia de seguridad, que tenían una desagradable tendencia a ser robados (y la base de datos junto con ella).

Los RODC vienen con una cuenta kbtgt única, por lo que no pueden entrometerse en Active Directory, ni descifrar boletos kerberos en nombre de WDC, en caso de una violación física, y de manera predeterminada, los RODC no permiten el almacenamiento en caché de contraseñas, nuevamente en caso de una violación física.

Al restringir las credenciales almacenadas en caché, solo a las cuentas de usuario y de computadora que pertenecen a una sucursal, limita las consecuencias en caso de una infracción y permite que la sucursal continúe funcionando en caso de que se caiga un enlace.

Sé que Microsoft técnicamente admite oficialmente poner RODC en la DMZ, pero por experiencia puedo decir que esto es realmente más problema de lo que vale. Tendrá que auditar cada una de sus aplicaciones integradas de AD para asegurarse de que admite el trabajo con un RODC. ¿Por qué? Porque todavía hay muchos escenarios que los RODC simplemente no admiten. Ciertas llamadas RPC pueden y simplemente fallarán sin razón. Estos escenarios se describen en el documento de Microsoft Planificación e implementación de controladores de dominio de solo lectura , subsección Base de datos de Active Directory de solo lectura, SYSVOL, y Replicación unidireccional :

  

Cuando un usuario o una aplicación en un sitio que recibe servicio de un RODC intenta realizar una operación de escritura, puede ocurrir una de las siguientes acciones:

     
  • El RODC reenvía la solicitud de escritura a un controlador de dominio de escritura y luego replica el cambio desde el controlador de dominio de escritura. Para la mayoría de las operaciones de escritura, el cambio se replica en el RODC durante el siguiente intervalo de replicación programado. En algunos otros casos, el RODC intenta replicar el cambio inmediatamente. Un RODC reenvía un conjunto muy limitado de escrituras, incluyendo lo siguiente:   
    • La mayoría de los tipos de cambios de contraseña. Para obtener más información sobre los cambios de contraseña, consulte Cambios de contraseña en un RODC.
    •   
    • Actualizaciones del nombre principal del servicio (SPN). Cuando una computadora unida a un dominio tiene un canal seguro para un RODC y Netlogon intenta actualizar los SPN, el reenvío se realiza a través de RPC.
    •   
    • Algunas actualizaciones de los atributos del cliente a través de Netlogon: nombre del cliente, DnsHostName, OsVersionInfo, OsName, tipos de cifrado admitidos
    •   
    • LastLogonTimeStamp. Cuando una computadora unida a un dominio tiene un canal seguro para un RODC y Netlogon intenta actualizar estos atributos, el reenvío se realiza a través de LDAP.
    •   
  •   
  • El RODC envía una referencia para un controlador de dominio grabable al cliente. La aplicación desde la cual se originó la operación de escritura puede luego perseguir la referencia y apuntar a un controlador de dominio grabable para realizar la operación de escritura. De manera predeterminada, los RODC envían referencias para actualizaciones del Protocolo ligero de acceso a directorios (LDAP) y actualizaciones de registros del Sistema de nombres de dominio (DNS).
  •   
  • La operación de escritura falla: no se refiere ni se reenvía a un controlador de dominio grabable. En este caso, la aplicación que solicita la escritura debe actualizarse para apuntar específicamente a un controlador de dominio grabable. Un número de escrituras RPC se incluyen en esta categoría.
  •   
    
respondido por el mtnielsen 03.07.2014 - 14:48
fuente
3

Creo que hay beneficios de seguridad al implementar un RODC en una DMZ, principalmente porque puede controlar qué información de AD se replica. Por lo tanto, puede elegir de forma selectiva qué información se debe replicar (atributos de cuenta / contraseñas / etc) y evitar exponer un DC de escritura.

Microsoft publicó un artículo sobre la colocación de controladores de dominio en la DMZ, lo que demuestra una lectura interesante. Muchos creen que muchos de los productos de MS patentados con acceso a Internet pueden exponerse a Internet con un riesgo mínimo (como Exchange), por lo que suspendieron TMG, sin embargo, deberá abordar los requisitos de un DC en la zona DMZ en su propio entorno.

El documento de MS es aquí , y ciertamente vale la pena leerlo para asegurarte de que estás cubriendo todas tus bases.

    
respondido por el DKNUCKLES 30.06.2014 - 16:07
fuente

Lea otras preguntas en las etiquetas