web-dev-qa-db-fra.com

Devrais-je activer l'authentification de domaine dans My DMZ=

Traditionnellement sur mon lieu de travail, nous avons un sous-réseau interne complètement protégé derrière notre pare-feu. Aucun port n'est autorisé à être ouvert aux connexions directes du réseau public. Nous exécutons également un DMZ== Où nous permettons uniquement d'ouvrir des ports spécifiques car ils sont nécessaires. De plus, nous n'autorisons pas les connexions au réseau interne à être ouverts du DMZ, mais Le réseau interne peut ouvrir des connexions au DMZ. Je risqueriez que ceci est une jolie configuration DMZ-STLYE.

Nous organisons également nos contrôleurs de domaine dans notre réseau interne. Jusqu'à présent, l'implication de cela a été que nous devons gérer DMZ Mot de passe séparément, car il n'y a pas d'authentification publicitaire. Cela n'a pas été une grosse affaire depuis que nous n'avons eu qu'une poignée de DMZ serveurs.

Nous sommes maintenant sur le point de lancer un produit qui nécessitera de manière significative plus DMZ serveurs et au cours de la dernière phase de nos tests, nous avons déjà eu des problèmes avec la gestion des mots de passe sur le DMZ Systèmes. La solution semblerait être de percer le trou à partir du DMZ au réseau interne pour autoriser DMZ serveurs à être joints à la domaine.

Pour moi, cela soulève 2 questions:

  1. Est-ce même une bonne idée?
  2. En supposant que ce n'est pas une idée terrible, il est-il préférable de permettre des itinéraires spécifiques pour chaque serveur de revenir aux contrôleurs de domaine afin de permettre à l'ensemble du sous-réseau de récupérer ou de déployer un DC= sur le DMZ et permet uniquement à ce serveur de reprendre.

J'espère que quelqu'un existe des pensées.

networkpassword-management
5
Kirk

Utilisez la fonction "Authentification sélective" avec une forêt principale et de ressources

La meilleure idée, à mon avis, est de configurer une forêt séparée dans le DMZ et de la considérer comme une forêt de ressources. C'est-à-dire aucun compte d'utilisateur dans cette forêt (à l'exception des utilisateurs par défaut)

Ensuite, utilisez une fonctionnalité appelée authentification sélective pour autoriser uniquement un ensemble prédéterminé d'utilisateurs à authentifier à cette forêt de ressources. Cela limitera l'exposition de votre forêt annonce interne, mais permettre une administration centralisée des comptes.

De manière générale, le coût financier du déploiement d'une deuxième forêt (licences d'exploitation d'exploitation, redondance, sauvegarde et détermination du Dr, maintenance des correctifs, etc.) serait mieux consacré à l'ajout d'une authentification multi-facteurs à votre principale forêt de comptes, ou un sous-ensemble de ces utilisateurs.

3
goodguys_activate

1) Clairement pas une bonne idée. Cela signifierait que si un DMZ Machine est joint au domaine est compromis, votre annonce d'entreprise serait alors en danger, ce qui n'est pas acceptable.

La seule option consiste à déployer une forêt de Active Directory séparée pour votre DMZ, potentiellement avec différentes zones; Par exemple, les principaux contrôleurs de domaine écritable dans un segment de réseau isolé et ne lisent que des contrôleurs de domaine dans les autres segments, mais en tout état de cause sans un lien avec votre annonce d'entreprise.

Il y a en effet un surcharge de gestion/administratif, mais la sécurité sage Vous n'avez pas beaucoup d'autres options.

5
dSebastien

Si votre annonce de production interne est critique et contient des systèmes sensibles, des données, etc., qui auraient un impact sur les entreprises élevées en cas de compromis, alors vous devriez envisager une forêt séparée. Si une forêt "DMZ" entièrement isolée n'est pas pratique ou trop coûteuse pour gérer (des coûts d'administration élevés grâce à la duplication de compte, etc.) Vous pouvez envisager une nouvelle forêt "DMZ" liée à une fiducie à sens unique (Forest DMZ fait confiance à l'interne ". Production "forêt. Le DMZ Forest doit être mis en œuvre sur le réseau interne avec Rodc (si disponible avec votre version). DMZ peut s'authentifier via des ports configurés Sur votre pare-feu pour accéder à la Forest Rodc de la Forest Rodc "DMZ", permettant une gestion centralisée de DMZ. Les administrateurs de la forêt de production peuvent utiliser leurs comptes de production pour administrer DMZ Devices En travers de la confiance. Ceci est haut niveau et ne peut pas convenir à toutes les exigences de DMZ et suppose une exigence de base à gérer de manière centrale DMZ Systems.

2
Andy Scott

L'utilisation d'un RODC peut être une option pour vous. Placez le contrôleur de domaine en lecture seule dans le DMZ. Disparez le système d'exploitation uniquement à autoriser l'accès au trafic d'authentification à partir d'autres serveurs du DMZ et du trafic de réplication AD à partir de ses partenaires de réplication AD dans le réseau privé. Bloquer les demandes entrantes du DMZ au réseau privé (doit déjà être effectué). Configurez une réplication de poussée à partir du réseau DC dans le réseau privé afin que les demandes soient effectuées du côté du réseau privé.

Les services de la Fédération AD pourraient être une autre option.

0
Craig Shuey

En règle générale, deux designs sont disponibles:

  1. Deux forêts séparées Où vous pouvez utiliser ad FS ou une fiducie unidirectionnelle (DMZ fait confiance interne mais non contraire).
  2. une forêt avec un contrôleur de domaine en lecture seule dans le DMZ.

Plus d'informations: https://technet.microsoft.com/en-us/library/dd728030 (v = ws.10) .aspx

0
Opaida