Proteger as comunicações de DC para DC da Microsoft Active Directory por meio de limites de firewall

Question

Proteger as comunicações de DC para DC da Microsoft Active Directory por meio de limites de firewall

#1 resposta do (1 votos)

2

No momento, estamos tentando achatar um pouco nossa estrutura do AD para tornar as coisas um pouco mais gerenciáveis, mas ainda queremos manter nossa postura de segurança o mais próximo possível de onde ela está agora.

Atualmente, temos ilhas de floresta do AD separadas por firewalls e nenhuma das florestas se comunica, exceto algumas exceções para replicação off-site para fins de DR.

Queremos mudar para um único design de floresta do AD com um domínio raiz e não mais que dois outros domínios.

A pergunta é: qual é a melhor maneira de proteger o tráfego de DC para DC que passa por um limite de firewall?

Aqui está o kicker. Nossa postura atual é que nenhuma zona de segurança inferior pode iniciar o tráfego de entrada (sem entrada) para uma zona de segurança mais alta, portanto a comunicação bidirecional entre os DCs só acontecerá quando um DC em uma zona de segurança mais alta quiser conversar com o DC no zona de segurança mais baixa (somente tráfego com saída iniciada).

Eu sei que, usando sites, podemos controlar a replicação de modo que ela seja iniciada apenas de uma forma, mas quero ter certeza de que isso controla o fluxo de todas as portas necessárias para o tráfego entre os dois DCs.

Eu também sei que podemos usar túneis IPSEC para limitar as portas que precisam ser abertas no firewall e tornar o túnel não criptografado para que o IDS / IPS ainda possa analisar o tráfego.

Dado que, eu queria saber se vocês têm alguma opinião sobre a melhor forma de fazer isso. Eu duvido muito que nós somos a única organização que você apoia que tem esses requisitos.

security firewall active-directory replication domain-controller

por ITBlogger 09.11.2011 / 02:01

1 resposta

Tags security firewall active-directory replication domain-controller

Como representar um proxy reverso em um diagrama? Firewall com camada 3 mudar ou sem ela?

score 1 · Answer 1

Eu tive uma exigência semelhante em um projeto há vários anos. A solução aceita foi colocar os CDs na zona de nível inferior em uma espécie de DMZ. Em seguida, restringimos as portas usadas pela replicação do diretório ativo , configuramos uma diretiva IPSEC para essas portas e e outras portas ao falar com alguns endereços IP predefinidos de DCs no domínio de nível superior. Os clientes no domínio inferior tinham que passar por um firewall transparente para conversar com os DCs na DMZ.

Pensando fora da caixa por um momento - você poderia ter um servidor VPN no domínio inferior ao qual somente os DCs de domínio mais alto poderiam se conectar? Ou seja os DCs de maior nível seriam clientes VPN. Você pode usar um transporte não criptografado para atender aos seus requisitos de IDS / IPS. Uma vez que os DCs de nível mais alto se conectam, então os two coms podem ser estabelecidos e o AD pode funcionar normalmente. Ou isso é encapsular o problema ?! :)