DMZ - Active Directory - (Философия)

1088
CenturyX476

Я искал все и нашел много разных ответов на мой вопрос без реального прямого да или нет.

Я сделал очень грубую сетевую диаграмму, чтобы объяснить, что я хотел бы настроить. Я настроил DMZ и внутреннюю локальную сеть. Со временем я буду настраивать дополнительные сервисы, которые будут выходить в Интернет. Итак, я прочитал, что наличие RODC в DMZ - это хорошая идея, но я также читал, что это ужасная идея. Кроме того, наличие дочернего домена в DMZ - это хорошая идея, а также плохая идея.

Я не новичок в том, как настроить эти серверы и правила брандмауэра. В чем моя проблема, так это в философии установок. У меня есть межсетевой экран периметра и внутренний брандмауэр, все контролирующие доступ. Является ли способ, которым я сделал Network Diagram, хорошей практикой или ужасной практикой?

Кроме того, я хотел бы установить «одностороннее» доверие между родительским доменом и дочерним доменом.

Кроме того, я открою только те порты брандмауэра, которые необходимы для связи основного DC с RODC. И ничего больше

Некоторая информация о сети:

DMZ: 192.168.10.0/24 - дочерний домен: DMZ.Contoso.com

LAN: 192.168.50.0/24 - родительский домен: Contoso.com

Опять же, этот тип вопроса задавался ранее, но есть так много разных мнений и способов сделать этот тип установок, что я хочу знать, приемлемы ли мины.

Диаграмма сети

Благодарю вас

-1

2 ответа на вопрос

0
Francis from ResponseBase

Amigo, мне может не хватать опыта администрирования продуктов Microsoft. Тем не менее, учитывая мой обширный опыт работы в области администрирования UNIX и Linux, я считаю, что вам следует рассмотреть наихудшие сценарии использования исторически уязвимого программного обеспечения - как доказывает собственный контроллер домена Microsoft.

Я чувствую себя гораздо менее нерешительно при развертывании BSD (Open, Free или Net) с использованием Samba в качестве контроллера домена - особенно в Интернете, читайте только одно на диаграмме, которая находится в DMZ.

Во-вторых, если бы я проектировал настройку, я поместил бы DNS-сервер внутренней локальной сети и контроллер домена с возможностью записи как в DMZ, так и настроил внутреннюю сеть с дополнительными сетевыми картами и концентраторами / маршрутизатором для связи между собой. Мое рассуждение: минимизация риска и уменьшение потенциального ущерба в случае компрометации сервера. Реальный опыт научил меня ожидать такого же, в том числе попыток сделать это, особенно учитывая ваш выбор операционных систем.

Ни один брандмауэр 3 или 4 уровня (проклятый почти каждому существующему ...) в мире не может защитить вас от атак на уровне 7 против действительных и разрешенных портов и служб. Поэтому, если бы это был я, я бы поместил все серверы в DMZ, оставил бы доступным для записи контроллер домена вне общедоступной сети и с частной внутренней сетью для межсерверной связи. Я бы заменил MS Windows на OpenBSD с Samba и DJBDNS - больше ничего. Я бы настроил свои маршрутизаторы для явного отбрасывания всего входящего трафика, за исключением каналов, которые я явно определяю. Я хотел бы проверить мою конфигурацию брандмауэра И если бы мне пришлось запускать Windows на любом из серверов, я бы нашел быстрый способ полностью стереть машины и восстановить их в рабочее, функциональное состояние с чем-то вроде G4U. Затем мне также пришлось бы исследовать и установить средства, позволяющие правильно обнаруживать серверные компромиссы и атаки. Лучше, если брандмауэр автоматически узнал атакующие IP-адреса и создал соответствующие правила DROP с таких адресов - но не навсегда, только на день или два.

В вашей настройке успешный эксплойт может привести к использованию скомпрометированных машин в качестве ступеньки во внутреннюю локальную сеть. Не совсем те последствия, которые позволяют мне спать спокойно ночью, как системный инженер и архитектор ...

Я рекомендую ограничить потенциальный ущерб, особенно учитывая исторический отчет о нетривиальной удаленной эксплуатации программного обеспечения в вашем проекте.

Надеюсь, это поможет!

F.

Таким образом, вы бы поместили записываемый DC в потенциально более уязвимую зону? Вы, вероятно, должны предоставить диаграмму самостоятельно, потому что некоторые другие вещи заставляют ее звучать так, как будто вы имеете в виду нечто иное. Предложение совершенно разных продуктов, если вы не знаете фактический вариант использования, также не очень помогает. Seth 7 лет назад 0
В самом деле, да, я бы хотел, потому что мне нравится спать по ночам, а не ходить в центр обработки данных или в колокейшн среди ночи. Francis from ResponseBase 7 лет назад 0
@Francis, спасибо за ваши предложения. Я не могу переключать продукты и использовать продукты на основе UNIX и Linux. Не то чтобы я их боюсь, это просто большая часть изменения инфраструктуры. Все продукты, я уверен, уязвимы на уровне 7. Мое знакомство с SysAdmin было почти на 100% продуктами Microsoft, если говорить конкретно о Linux (Red Hat). CenturyX476 7 лет назад 0
В самом деле, да, я бы хотел, потому что мне нравится спать по ночам, а не ходить в центр обработки данных или в колокейшн среди ночи. Я основываю свое мнение на реальном опыте администрирования больших серверных ферм, разнородной комбинации BSD, Linux, некоторых традиционных UNIX и нескольких серверов MS Windows. Тестер проникновения увидит очевидное проникновение в ваше нетрадиционное использование подарков DMZ. Теоретически, демилитаризованная зона должна быть чисто изолирована - нет возможности попасть во внутреннюю локальную сеть. Что-то подобное может открыть вам глаза: https://www.exploit-db.com/exploits/40280/ Francis from ResponseBase 7 лет назад 0
Сет, я полностью понимаю твои рассуждения и неспособность переключить ОС. Не беспокойтесь - это делает все более решительным мой выбор, чтобы все серверы находились в демилитаризованной зоне, никакие другие сети не были доступны, кроме частной, внутренней сети в демилитаризованной зоне для внутренней связи между серверами. Я ожидаю только нападения, и успешный компромисс меня не удивит. Изолированная DMZ уменьшает ущерб, сводит к минимуму ваши риски. Опять же, ни один брандмауэр в мире не остановит атаку на уровне 7, и поэтому он становится очень полезным входом для любого, кто знает, как проникнуть. Francis from ResponseBase 7 лет назад 0
Размещение записываемого, производительного DC в DMZ означало бы, что нет причины иметь контроллер только для чтения. Кроме того, вам нужно будет открыть свою внутреннюю сеть по отношению к DMZ, чтобы ВСЕ клиенты могли взаимодействовать с серверами в ней, а не только с одним путем связи с относительно безопасного сервера. Поэтому, если вам удастся скомпрометировать этот один сервер, вы сможете получить доступ ко всем клиентам в сети. Это было бы (поскольку это доступный для записи DC) действительно доступ, а не атака. [DMZ] (https://en.wikipedia.org/wiki/DMZ_ (вычисления)) по определению не будет «частной сетью для внутренней коммуникации». Seth 7 лет назад 0
Нет, я имею в виду изолированную DMZ. Внутренний доступ должен поступать из общедоступного Интернета, а не из внутреннего канала между другими сетями брандмауэра. Я хочу использовать все внешние средства защиты, предоставляемые моими конфигурациями брандмауэра и маршрутизатора, без каких-либо обходных путей и без уязвимой стороны, направляющей такие каналы. Francis from ResponseBase 7 лет назад 0
0
CenturyX476

Ну, я сделал небольшое изменение в дизайне. Я не расширил Active Directory в DMZ, как показано. Вместо этого я создал новый лес внутри DMZ и создал одностороннее доверие между внутренним лесом и лесом DMZ. Таким образом, даже если моя DMZ скомпрометирована, это не будет иметь значения, поскольку данные, находящиеся в DMZ, такие как любое потенциальное имя пользователя и пароли, не могут быть применены к внутренней локальной сети. Имейте в виду, это немного больше административной работы, но ничего, что не может быть обработано.

Обычно это логика наличия DMZ, если она скомпрометирована, просто удалите и перестройте ее. Пока это защищает внутреннюю локальную сеть, которая, я верю, произойдет здесь.

Теперь, когда говорится, что ни одна система не является на 100% доказательством взлома, если кто-то достаточно решителен, он попадет и разрушит хаос.

Исследование продолжается для лучших практик.

Спасибо всем за ваш отзыв

Похожие вопросы