Qual é o risco de executar um controlador de domínio para que ele seja acessível pela Internet?

4

Eu tenho três servidores web remotos dedicados em diferentes webhosts. Adicioná-los a um domínio comum tornaria muito mais fácil as tarefas de administração. Como dois dos servidores estão executando o Windows 2008 R2 Standard, pensei em promovê-los aos controladores de domínio para configurar o domínio do Windows. Há outro thread no Serverfault que recomenda isso.

Ao mesmo tempo, eu já li várias vezes em sites diferentes que isso não é uma boa ideia, porque um controlador de domínio deve estar sempre por trás de uma LAN de firewall. Mas não consigo configurar algo assim porque não tenho uma LAN com um IP estático acessível pela Internet. Na verdade, nem tenho um servidor Windows na minha LAN.

O que eu não descobri é porque expor um DC para a Internet seria uma má idéia.

O único risco que vejo é que, se alguém invadir um dos meus servidores da Web, será muito mais fácil penetrar nos outros também. Mas, tanto quanto eu posso ver, esse é o pior cenário, já que estou indo apenas para os servidores da Web nesse domínio, e não para os computadores da minha rede local.

Esta é a única desvantagem ou também facilita a penetração em um dos meus servidores web?

Editar: E se eu adicionasse uma regra de firewall ao DC para que as conexões de entrada para o servidor do AD sejam aceitas somente se originadas dos outros dois servidores da Web? Quero dizer, uma configuração semelhante à descrita no link , mas com regras adicionais baseadas em ip para garantir que o O DC só é acessível para os outros servidores da Web no meu domínio nas portas relevantes.

    
por Adrian Grigore 23.06.2011 / 01:26

2 respostas

4

Quanto mais coisas você abrir para a rede, maiores serão suas chances de algo / alguém ser desagradável entrando na sua rede e fazendo coisas indesejáveis. Eu pessoalmente gosto da política de não me abrir mais do que devo. Se você quiser que outras redes vejam seu DC, eu daria uma olhada em fazer uma ponte remota de suas redes através de algum tipo de equipamento de VPN. Eu acredito que se você tiver um bom roteador, você pode configurá-lo. Eu nunca tentei, mas eu começaria dando uma olhada no pfsense.

    
por 23.06.2011 / 01:41
1

O Doc já abordou o ponto principal de manter sua área de ataque no mínimo, então não vou repetir isso. Em relação ao motivo pelo qual você não deve expor um DC à Internet, o DC contém todo tipo de informação que não deve ser disponibilizada ao público. Por design, um controlador de domínio pode ser consultado por qualquer pessoa. Mesmo sem comprometer diretamente o DC em si, apenas ter uma lista de contas de usuário válidas dá ao invasor uma ótima vantagem inicial, tornando a resposta para a última parte da sua pergunta um sim definitivo.

    
por 23.06.2011 / 04:09