Restringindo o RPC a uma porta específica no Active Directory

Navegue suas respostas
2

Temos uma conexão VPN site a site entre nosso escritório principal e nossos servidores da Web de produção em nossa colocação usando dois dispositivos SonicWall. Por padrão, o túnel VPN permite todo o tráfego entre os dois sites. Eu quero restringir isso para que possamos bloquear todo o tráfego de ENTRADA a partir da colocação para o escritório, dessa forma a nossa rede privada é mais protegida no caso em que nossos servidores de produção estão comprometidos.

Um problema que estou vendo, porém, é que nossos servidores que nos unimos ao domínio ainda precisam ser capazes de entrar em contato com o DC em nosso escritório para política de grupo, informações de ldap, etc. Depois de um pouco de procurando por todos os serviços e portas usados pelo AD, descobri que o serviço RPC usa portas aleatórias, o que dificulta fazer um furo no firewall para fazê-lo funcionar. Eu encontrei este artigo kb que descreve como alterá-lo para uma porta específica em todos os seus controladores de domínio, o que permitiria me para abrir uma única porta no firewall. O que este artigo não aborda são as desvantagens de fazê-lo. Eu imagino que eles tenham as portas randomizadas por um motivo ... e tirar isso é remover qualquer benefício que ele forneça.

O que eu estaria perdendo ao mudar isso para uma porta específica? As instruções me fizeram editar o registro em todos os meus CDs, o que eu adoraria evitar. Além disso, este seria um bom caso em que nos beneficiaríamos de ter um RODC em nosso site de collo?

    
por Safado 28.02.2012 / 16:58

2 respostas

0

Minha experiência tem sido que muitas organizações criam regras de acesso para as portas baixas de aplicativos específicos (como 389, 88, etc) e uma regra de firewall de "portas altas". Para o Windows Server 2003, as portas altas eram 1024 - 65535. Obviamente, esse não era um número muito bom, portanto, para o Windows Server 2008, isso foi reduzido no escopo para 49152 - 65535.

Uma solução mais segura é usar a abordagem do túnel IPSec. Muitas agências do governo dos EUA usam o IPSec ao se comunicar entre domínios confiáveis ou uma raiz da floresta.

Os vários prós e contras são descritos em detalhes no artigo a seguir. Limitar o RPC precisa ser implementado em todos os controladores de domínio, portanto, não é algo que você pode simplesmente ativar em um e ver como ele funciona. Implementar isso em uma grande organização com muitos DCs e sites pode exigir muito planejamento.

Replicação do Active Directory sobre firewall
link

    
por 28.02.2012 / 18:00
4

Eu só quero esclarecer que fora da caixa, o Windows Server 2003 tem um intervalo de portas dinâmicas de 1025-5000 e não 1024-65535. Com um hotfix, o Windows Server 2003 obtém o padrão IANA de 49152-65535, que o Windows Server 2008 e o mais recente têm fora da caixa.

Para fontes, consulte a página de suporte do MS abaixo e o artigo da Wikipedia (e as fontes citadas).

Visão geral do serviço e requisitos de porta de rede para o Windows link

Portas efêmeras link

    
por 10.01.2013 / 15:03

Tags

Atualização do Python para 2.7.2 de 2.4.x leva ao módulo yum ausente Execute o script de configuração na próxima inicialização?