DMZ - Active Directory - (Philosophie)

1083
CenturyX476

Ich habe alles gesucht und viele verschiedene Antworten auf meine Frage gefunden, ohne direktes Ja oder Nein.

Ich habe ein sehr grobes Netzwerkdiagramm erstellt, um zu erklären, was ich einrichten möchte. Ich habe eine DMZ und ein internes LAN eingerichtet. Irgendwann werde ich zusätzliche Dienste einrichten, die auf das Internet gerichtet sind. Ich habe also gelesen, dass ein RODC in der DMZ eine gute Idee ist, aber ich habe auch gelesen, dass es eine schreckliche Idee ist. Außerdem ist es eine gute Idee und auch eine schlechte Idee, eine untergeordnete Domäne in der DMZ zu haben.

Ich bin kein Fremder bei der Einrichtung dieser Server und der Firewall-Regeln. Mein Problem ist die Philosophie hinter den Setups. Ich habe eine Perimeter-Firewall und eine Back-End-Firewall, die den Zugriff steuern. Ist die Art und Weise, wie ich das Netzwerkdiagramm erstellt habe, eine gute oder eine schreckliche Praxis?

Außerdem möchte ich gerne eine "One-Way-Vertrauensstellung" zwischen der übergeordneten Domäne und der untergeordneten Domäne einrichten.

Außerdem werde ich nur die Firewall-Ports öffnen, die ich brauche, damit der primäre DC mit dem RODC kommuniziert. Und sonst nichts

Einige Netzwerkinformationen:

DMZ: 192.168.10.0/24 - Untergeordnete Domäne: DMZ.Contoso.com

LAN: 192.168.50.0/24 - Übergeordnete Domäne: Contoso.com

Wieder wurde diese Art von Frage schon einmal gestellt, aber es gibt so viele verschiedene Meinungen und Möglichkeiten, diese Art von Setups durchzuführen, dass ich wissen möchte, ob Minen etwas akzeptables sind.

Netzwerkdiagramm

Danke dir

-1

2 Antworten auf die Frage

0
Francis from ResponseBase

Amigo, mir fehlt die Erfahrung in der Verwaltung von Microsoft-Produkten. Angesichts meines umfassenden Hintergrunds in der UNIX- und Linux-Administration bin ich jedoch der Meinung, dass Sie die Worst-Case-Szenarien in Bezug auf die Verwendung von historisch anfälliger Software berücksichtigen müssen - wie der eigene Domänencontroller von Microsoft zeigt.

Ich bin viel weniger zögerlich, wenn ich eine BSD (Open, Free oder Net) mit Samba als Domänencontroller bereitstelle. Dies gilt insbesondere für das Internet, auf das nur in Ihrem Diagramm zugegriffen werden kann, das sich in der DMZ befindet.

Zweitens würde ich bei der Gestaltung des Setups den DNS-Server und den beschreibbaren Domänencontroller des internen LANs sowohl in der DMZ als auch in einem Backend-Netzwerk mit zusätzlichen Netzwerkkarten und Hubs / Router für die Kommunikation untereinander einrichten. Meine Argumentation: Risikominimierung und Minderung des potenziellen Schadens im Falle eines Server-Kompromisses. Die Erfahrung aus der Praxis hat mich gelehrt, so viel zu erwarten, einschließlich der Versuche, dies zu tun, insbesondere wenn Sie sich für ein Betriebssystem entscheiden.

Keine Firewall der Stufe 3 oder 4 (in der Nähe einer jeden existierenden ...) der Welt kann Sie vor Angriffen auf Schicht 7 gegen gültige und zulässige Ports und Dienste schützen. Wenn ich es wäre, würde ich daher alle Server in die DMZ setzen, den beschreibbaren Domänencontroller vom öffentlichen Netzwerk fernhalten und über ein privates Backend-Netzwerk für die Kommunikation zwischen Servern verfügen. Ich würde MS Windows durch OpenBSD ersetzen und Samba und DJBDNS ausführen - sonst nichts. Ich würde meine Router so konfigurieren, dass der eingehende Datenverkehr mit Ausnahme der von mir explizit definierten Conduits explizit gelöscht wird. Ich würde meine Firewall-Konfiguration überprüfen. Und wenn ich Windows auf einem der Server ausführen müsste, würde ich schnell eine Möglichkeit finden, die Maschinen vollständig zu löschen und sie in einen funktionierenden Zustand zu versetzen, der mit G4U funktioniert. Ich müsste dann auch ein Mittel untersuchen und installieren, um Server-Kompromisse und Angriffe richtig erkennen zu können. Besser, wenn die Firewall Angriffe auf IPs automatisch lernte und aus solchen Adressen relevante DROP-Regeln aufstellte - jedoch nicht dauerhaft, nur für ein oder zwei Tage.

In Ihrem Setup kann ein erfolgreicher Exploit dazu führen, dass die gefährdeten Maschinen als Sprungbrett in Ihr internes LAN verwendet werden. Nicht gerade die Konsequenzen, die es mir erlauben, nachts als Systemingenieur und Architekt fest zu schlafen ...

Ich empfehle die Begrenzung potenzieller Schäden, insbesondere im Hinblick auf die historische Aufzeichnung einer nicht unerheblichen, Remote-Nutzung der Software in Ihrem Entwurf.

Hoffentlich hilft das!

F.

Sie würden den beschreibbaren DC also in eine potenziell anfälligere Zone platzieren? Sie sollten wahrscheinlich selbst ein Diagramm zur Verfügung stellen, da es sich bei einigen anderen Dingen so anhört, als würden Sie hoffentlich etwas anderes bedeuten. Ganz andere Produkte vorzuschlagen, wenn Sie den konkreten Anwendungsfall nicht kennen, hilft auch nicht wirklich. Seth vor 7 Jahren 0
Ja, ich würde es gerne tun, weil ich nachts gerne schlafe, anstatt mitten in der Nacht zum Rechenzentrum oder zur Colocation-Einrichtung zu gelangen. Francis from ResponseBase vor 7 Jahren 0
@Francis, vielen Dank für Ihre Vorschläge. Es ist für mich keine Option, Produkte auszutauschen und UNIX- und Linux-basierte Produkte zu verwenden. Nicht, dass ich Angst vor ihnen habe, es ist nur eine Änderung der Infrastruktur. Alle Produkte, bei denen ich sicher bin, sind auf Schicht 7 anfällig. Ich habe mich als SysAdmin fast 100% Microsoft-Produkten mit einer Spritze Linux (Red Hat) vorgenommen, um genau zu sein. CenturyX476 vor 7 Jahren 0
Ja, ich würde es gerne tun, weil ich nachts gerne schlafe, anstatt mitten in der Nacht zum Rechenzentrum oder zur Colocation-Einrichtung zu gelangen. Ich stütze mich auf reale Erfahrungen bei der Verwaltung großer Serverfarmen, einer heterogenen Mischung aus BSDs, Linux, einigen traditionellen UNIX-Servern und einigen MS Windows-Servern. Ein Penetrationstester würde den offensichtlichen Einbruch Ihrer unkonventionellen Verwendung der DMZ erkennen. Theoretisch sollte die DMZ rein isoliert sein - kein Weg zum internen LAN. Etwas, das Ihnen gefällt, könnte Ihre Augen öffnen: https://www.exploit-db.com/exploits/40280/ Francis from ResponseBase vor 7 Jahren 0
Seth, ich verstehe Ihre Argumentation und Ihre Unfähigkeit, das Betriebssystem zu wechseln. Keine Sorge - umso entschlossener ist meine Entscheidung, alle Server in der DMZ einzurichten, keine anderen Netzwerke außer einem privaten Backend in der DMZ für die interne Kommunikation zwischen den Servern. Ich würde nur erwarten, angegriffen zu werden, und ein erfolgreicher Kompromiss würde mich nicht überraschen. Eine isolierte DMZ mildert den Schaden und minimiert Ihre Risiken. Wiederum kann keine Firewall der Welt einen Angriff auf Schicht 7 stoppen, und dies wird daher zu einer sehr nützlichen Eingangstür für alle, die sich mit dem Eindringen auskennen. Francis from ResponseBase vor 7 Jahren 0
Wenn Sie einen beschreibbaren, produktiven Gleichstrom in einer DMZ platzieren, besteht kein Grund, einen Nur-Lese-Controller zu haben. Darüber hinaus müssen Sie Ihr internes Netz zu Ihrer DMZ hin öffnen, damit ALLE Clients mit den darin enthaltenen Servern kommunizieren können, anstatt nur einen Kommunikationspfad von einem relativ sicheren Server. Wenn Sie also diesen einen Server angreifen, können Sie auf alle Clients im Netzwerk zugreifen. Es wäre (da es ein beschreibbarer DC ist) in der Tat Zugriff und nicht Angriff. Ein [DMZ] (https://en.wikipedia.org/wiki/DMZ_ (Computing)) ist definitionsgemäß kein "privates Netzwerk für die interne Kommunikation". Seth vor 7 Jahren 0
Nein, ich meine isolierte DMZ. Der interne Zugriff muss aus dem öffentlichen Internet stammen, nicht aus einem internen Kabelkanal zwischen anderen Netzwerken der Firewall. Ich möchte all den nach außen gerichteten Schutz nutzen, den meine Firewall- und Routerkonfigurationen bieten, kein Umgehen und keine verwundbaren Seitenkanäle für solche Conduits. Francis from ResponseBase vor 7 Jahren 0
0
CenturyX476

Nun, ich habe eine kleine Änderung im Design vorgenommen. Ich habe das Active Directory nicht wie gezeigt in die DMZ erweitert. Stattdessen habe ich eine komplette neue Gesamtstruktur in der DMZ erstellt und eine Einwegvertrauensstellung zwischen der internen Gesamtstruktur und der DMZ-Gesamtstruktur erstellt. Selbst wenn meine DMZ kompromittiert ist, spielt es keine Rolle, da die Daten, die sich in der DMZ befinden, wie etwa alle potenziellen Benutzernamen und Kennwörter, nicht auf das interne LAN angewendet werden können. Allerdings ist dies etwas mehr Verwaltungsarbeit, aber nichts, was nicht gehandhabt werden kann.

Dies ist normalerweise die Logik einer DMZ. Wenn sie beschädigt ist, löschen Sie sie und bauen Sie sie erneut auf. So lange es das interne LAN schützt, von dem ich glaube, dass es hier geschieht.

Nun, da gesagt wird, dass kein System 100% hacksicher ist, wenn jemand entschlossen genug ist, wird er hineinkommen und Chaos zerstören.

Die Forschung wird nach Best Practices fortgesetzt.

Vielen Dank für Ihr Feedback

Verwandte Probleme