É “OK” usar o firewall do windows para um DC com um ip público?

Quando li a pergunta pela primeira vez, estava realmente preocupado em dar a um DC um IP público. Mas pensando nisso, eu poderia considerar isso, SE o DC não era membro da minha floresta AD maior e as únicas máquinas no domínio eram os servidores da Web.

Isso ainda permitiria que eu gerencie meus servidores da Web com política de grupo e autenticação comum, com apenas uma conta AD adicional para atribuir a mim mesmo, sem expor meus DCs internos reais à grande Web inválida. Efetivamente, você está configurando um AD apenas para o DMZ.

No entanto, ainda vejo alguns desafios para essa abordagem:

1. O AD está intimamente ligado ao DNS. Você vai querer pensar cuidadosamente sobre como gerenciar os registros DNS para seus servidores da Web em conjunto com o AD.
2. Embora o Firewall do Windows seja adequado (apenas) para isso, de um ponto de acesso de acesso não autorizado, ele não diminui os pontos de vista de resistência de auditoria e negação de serviço. Seria trivial atrapalhar seus sites direcionando um ataque de negação de serviço ao seu CD central - talvez não danifique ou demita, mas pelo menos atrapalhe.

Isso assusta a vontade de eu pensar em colocar um Controlador de Domínio na Internet pública. Dito isso, se você realmente puder restringir a comunicação para o DC a um grupo de máquinas usando o Firewall do Windows em uma postura de negação padrão com regras de "Permitir" para essas máquinas autorizadas, não parece nada irracional para mim. / p>

Idealmente, preferiria uma rede de gerenciamento isolada à qual os servidores da Web e o DC fossem conectados, com o DC não tendo conexão direta com a Internet e uma VPN para obter acesso à rede de gerenciamento. Como você provavelmente pode entender isso em seu cenário de hospedagem, o que você está descrevendo não é uma alternativa irracional. Um privilégio de escalação em um dos servidores da Web, em seu cenário de DC com firewall, estaria em uma posição semelhante no meu cenário de rede de gerenciamento isolado. Não é muito diferente desde que você seja meticuloso sobre tratar o DC como uma máquina isolada e limitar sua comunicação de / para a Internet (idealmente desabilitá-lo completamente assim que tiver uma VPN em uma "caixa de salto" estabelecida) .

Eu não recomendo como o firewall por si só é realmente básico.

Ter um AD apenas para seu aplicativo da Web não é mais inseguro como se estivesse sob autenticação básica, mas verifique se há alguma dica (mesmo se marcado para 2008): Serviço de Domínio Active Directory na rede de perímetro (Windows Server 2008)

O Firewall do Windows é um pseudo-statefull para UDP, sem estado para ICMP & statefull para Ipv4, Ipv6 (para filtrar o tráfego, para inspecionar não encontrei nenhum documento, mas se o fizer, é realmente limitado).

O appliance de hardware geralmente é stateful.

com estado:

In computing, a stateful firewall (any firewall that performs stateful packet inspection (SPI) or stateful inspection) is a firewall that keeps track of the state of network connections (such as TCP streams, UDP communication) traveling across it. The firewall is programmed to distinguish legitimate packets for different types of connections. Only packets matching a known active connection will be allowed by the firewall; others will be rejected.

Stateful inspection, also referred to as dynamic packet filtering, is a security feature often included in business networks. Check Point Software introduced stateful inspection in the use of its FireWall-1 in 1994.1[2] https://en.wikipedia.org/wiki/Stateful_firewall

Sem estado:

Stateless firewalls watch network traffic, and restrict or block packets based on source and destination addresses or other static values. They are not 'aware' of traffic patterns or data flows. A stateless firewall uses simple rule-sets that do not account for the possibility that a packet might be received by the firewall 'pretending' to be something you asked for. - See more at: http://www.inetdaemon.com/tutorials/information_security/devices/firewalls/stateful_vs_stateless_firewalls.shtml#sthash.iDNnjqWC.dpuf

Do TechNet:

Windows Firewall provides the stateful filtering of TCP/IP traffic (IPv4 and IPv6) that uses the TCP transport protocol. It also provides the “pseudo-stateful” filtering of TCP/IP traffic that uses the UDP transport protocol. ICMP traffic is not statefully filtered; rather, ICMP traffic is allowed or blocked based on Windows Firewall settings (for example, you can explicitly allow or deny incoming echo requests or outgoing destination unreachable messages by configuring Windows Firewall settings). Because Windows Firewall is tied directly to the TCP/IP architecture of Windows, it does not provide any filtering of non-TCP/IP protocols, such as IPX/SPX or AppleTalk.

With the exception of some File Transfer Protocol (FTP) traffic, Windows Firewall does not use Application layer information to statefully filter traffic. FTP is a special case because of the way in which an FTP server establishes the data channel for an FTP file transfer. During a typical FTP user session, an FTP client initiates a control channel with an FTP server. When the FTP client transfers a file from the FTP server, the FTP server tries to establish a data channel with the FTP client by initiating communication on a TCP port different from the one used for the control channel. This can cause most firewalls running on the FTP client computer to drop the data channel packets coming from the server because they appear to be unsolicited. To overcome this problem, Windows Firewall uses the Application Layer Gateway Service to provide dynamic port mapping for the FTP data channel, thereby facilitating the stateful filtering of FTP traffic. https://technet.microsoft.com/en-us/library/cc755604(v=ws.10).aspx