Redes

SolutionBase: implementar controladores de dominio en la DMZ

Implementar controladores de dominio en la DMZ

A medida que la aplicación continúa mejorando y agregando más
Funciones que requieren una conexión a Internet y como usuario empresarial
Creciente demanda de seguridad empresarial bajo demanda en cualquier momento y en cualquier lugar
Las preocupaciones también están creciendo y dominando las preocupaciones corporativas.Esta preocupación es claramente
Muchas nuevas certificaciones de empresas como Microsoft
Introducido para aumentar la conciencia de seguridad y protección.Hoy se trata de
Seguridad, y la empresa no toca el software hasta que se comprueba el complemento
Cómo se desplegará y cómo se asegurará.

Este frenesí de seguridad es causado por muchos virus
ha surgido y comprometido datos e información de la empresa.también rápido
Un hacker de 14 años de una empresa de garage hacks y obtiene
Acceda a datos confidenciales.

Una de las medidas inmediatas que ha tomado la empresa para estar ordenada
Una forma de aumentar la seguridad es crear una DMZ o «zona desmilitarizada».Zona desmilitarizada
es una red perimetral que aísla la red interna y controla lo que
Permita que ciertos tipos de tráfico, si los hay, pasen a la red interna.atravesar
Cree una DMZ donde limite el daño que un intruso puede causar a
Zona desmilitarizada.Por lo general, el servidor que ingresa a la DMZ es el servidor que debe exponerse
a Internet, como servidores web y servidores de correo electrónico.

Suponga que crea una DMZ y la llena con servidores
Expuesto a Internet y solo puede acceder desde la DMZ
Red interna a puertos muy específicos y muy monitoreados.una
El problema inmediato que enfrenta es cómo autenticar a estos usuarios
servidor. Mejor aún, ¿cómo inicia sesión en estos servidores usted mismo?Te creo
Puede iniciar sesión localmente, pero la mayoría de las aplicaciones que implemente requerirán algunos
Un directorio para la autenticación.

Un ejemplo es su desarrollador y un proyecto.
Las empresas de consultoría están trabajando en ello, estos desarrolladores necesitan una cuenta de usuario para
Inicie sesión en su sistema. ¿Crean cuentas locales para todos?eso podría
Conviértase en una pesadilla administrativa y un problema de seguridad.

Hay diferentes escenarios sobre cómo resolver el problema.
Proporciona autenticación de directorio para servidores y usuarios en la DMZ.por
A los efectos de este artículo, hablaremos de Active Directory.

Un escenario requiere colocar controladores de dominio en
La DMZ sirve a servidores y usuarios en la red perimetral.Este es un trabajo
solución y se puede asegurar hasta cierto punto negando cualquier comunicación directa
utilizarlo desde Internet y permitirlo sólo con determinadas
Controladores de dominio en una red segura usando IPSec.Sin embargo, esto todavía
Existe un riesgo de seguridad porque este controlador de dominio debe ser un catálogo global
servidor.Esto significa que el servidor debe contener todos los objetos en Active
directorio, si la DMZ está comprometida, el atacante puede
este servidor y obtener acceso a Active Directory. (Esto supone que usted es
Agregue controladores de dominio en el mismo bosque que su red de seguridad. )

LEER  Consejos de recuperación de red: participación de expertos

Entonces, ¿cómo adoptar un enfoque más seguro? Dado que el bosque ahora es un límite de seguridad en Active Directory,
La única forma de lograr una seguridad completa es crear una
Forest como DMZ, luego crea confianza entre las redes internas
Bosques y bosques DMZ.Esta confianza permitirá dominios específicos
Los controladores en una red segura solo se comunican con dominios específicos
Controlador en la DMZ.Utilizará IPSec para el cifrado y la protección.
comunicación entre controladores de dominio, o puede configurar reglas de firewall
Para tal fin.

Con este método, puede hacer que sus usuarios internos
Acceda a recursos en la DMZ donde puede crear cuentas de usuario para asesores
O administradores que solo pueden usar recursos en la DMZ.esto negará
Debe copiar el Active Directory de su empresa a
DMZ, solo está en riesgo si la DMZ está comprometida
y Zona desmilitarizada bosque.

Antes de comenzar, describamos los pasos que deben realizarse.
Una vez hecho esto, podemos implementar con éxito este ejercicio.hay cinco
Pasos a completar:

  1. Abierto
    Ciertos puertos en el firewall.
  2. crear
    Lista de filtros.
  3. crear
    acción de filtrado.
  4. crear
    política IPSec.
  5. distribuir
    y activar la estrategia.

El primer paso es abrir algunos puertos en el firewall
Permitir comunicación correcta, también permitir IPSec correcto
Función.Dependiendo de su entorno y de lo que desee proteger, es posible que necesite
Abra puertos específicos de la aplicación o puertos específicos para usted
arquitectura. Al menos los siguientes puertos deben estar abiertos:

  • Kerberos—TCP
    88. UDP 88
  • DNS-TCP
    53, UDP 53
  • LDAP—TCP 389, UDP 389
  • LDAP sobre SSL – TCP 636
  • pymes
    Vía IP – TCP 445, UDP 445

Para el propósito de este ejercicio, usaremos
Los siguientes nombres de máquinas y direcciones IP:

  • CC interna – 172.16.1.2
  • CC externo: 172.16.10.1

Estos pasos deben realizarse en ambos controladores de dominio.a nosotros
Se mostrarán los pasos que deben configurarse en el controlador de dominio.
en la red interna.Tienes que invertir algunos ajustes al configurar
Controladores de dominio en la DMZ.

lista de filtros

Antes de crear una política IPSec, debe crear
Filtrar listas y filtrar acciones.Especificaciones y definiciones de la lista de filtros
Participar en la seguridad entre servidores.es responsable de identificar
Tipos de tráfico de origen, destino e IP
Debe estar encriptado y protegido. Para crear una lista de filtros:

1. Haga clic en
Inicio | Programas | Herramientas administrativas | Política de seguridad del controlador de dominio.

2. en
En el panel de control izquierdo, expanda Configuración de Windows, seleccione Configuración de seguridad y luego
Haga clic en Política de seguridad IP (ver Figura A).

Figura A

3. Encendido
menú Acción, seleccione Administrar lista de filtros IP y
funcionamiento del filtro.

4. Haga clic en
Agregue y escriba un nombre para la lista de filtros.Para el propósito de este ejercicio, vamos a
Seleccione la DMZ y haga clic en Agregar nuevamente, lo que iniciará el asistente de filtro IP.

5. Haga clic en
A continuación, omita la pantalla de bienvenida.

6. Según
Dirección de origen, seleccione una dirección IP específica del menú desplegable.fuente de entrada
Dirección IP – en nuestro caso 172.16.1.2 – luego haga clic en siguiente
(Ver Figura B).

Figura B
1661841270 853 SolutionBase implementar controladores de dominio en la DMZ

7. Ahora,
En Dirección de destino, seleccione una dirección IP específica de la lista desplegable
menú. Ingrese la dirección IP de destino 172.16.10.1 y haga clic en Siguiente.

8. Elige
Seleccione Cualquiera en Tipo de protocolo.haga clic en siguiente, haga clic en
Listo, luego haga clic en Cerrar.

Al crear una política IPSec en un controlador de dominio DMZ,
La dirección de origen aquí se convierte en la dirección IP del controlador de dominio DMZ, y
La dirección IP de destino se convierte en la dirección IP del controlador de dominio de la red interna.

acción de filtro

Filtrar especificaciones de operación y definir seguridad
Cómo manejar las solicitudes de información de diferentes fuentes.acción de filtro
La seguridad se puede permitir, bloquear o negociar.

Permitir significa que el tráfico TCP/IP no está
Interferencia, generalmente para computadoras que no admiten IPSec.bloqueo
Significa que IPSec bloqueará cualquier comunicación con computadoras que no estén instaladas.
Definido explícitamente en la lista de filtros.Negociar la configuración de seguridad para permitir
Puede personalizar lo que IPSec hará en diferentes situaciones, por ejemplo,
Al intentar comunicarse desde una computadora que no es compatible con IPSec.

Para configurar acciones de filtrado:

1. Desde
Selección del menú de acciones Administrar filtros y lista de filtros IP
Haga clic en Acciones y, a continuación, haga clic en la pestaña Administrar acciones de filtro.

2. Haga clic en
Agregar y haga clic en Siguiente.

3. encendido
Página Nombre de la acción de filtrado Ingrese un nombre para la acción de filtrado; en nuestro caso, es
voluntad Zona desmilitarizada. Haga clic en Siguiente.

4. cuando
Aparece la ventana Opciones generales de la acción de filtro, seleccione Negociar seguridad
y haga clic en Siguiente (ver Figura C).

Figura C
1661841270 332 SolutionBase implementar controladores de dominio en la DMZ

5. En
En la siguiente ventana, elija no comunicarse con la computadora
IPSec no es compatible y haga clic en Siguiente.

6. encendido
página Seguridad de tráfico IP, seleccione Alta y haga clic en Siguiente (ver Figura D).

Figura D
1661841270 750 SolutionBase implementar controladores de dominio en la DMZ

7. Asegúrate
Marque la casilla de verificación Editar propiedades y haga clic en Finalizar.

8. Enciende
Nueva ventana Propiedades de la acción de filtro, anule la selección de Aceptar comunicaciones no seguras,
Pero siempre responda con IPSec y haga clic en Aceptar.

9. Haga clic en
cerca.

Crear una política IPSec

Ahora que hemos cumplido con todos los requisitos, estamos
Prepárese para crear una política IPSec de la siguiente manera:

1. Desde
En el menú Acción, seleccione Crear política de seguridad IP.

2. Haga clic en
A continuación, omita la pantalla de bienvenida.

3 en
Ventana Nombre de política de seguridad IP, tipo Zona desmilitarizada.
Presione siguiente para continuar.

4. Desmarque
Active la regla de respuesta predeterminada y haga clic en Siguiente.

5. Hacer
Asegúrese de que la casilla de verificación para Editar propiedades esté marcada, luego
Haga clic en Finalizar.

6. Haga clic en
Agregar y haga clic en Siguiente.

7. Encendido
En la ventana Puntos finales del túnel, seleccione Esta regla no especifica un túnel y haga clic en Siguiente.

8. Según
Seleccione el tipo de red, seleccione LAN
(LAN) y luego haga clic en Siguiente.

9. En
Establezca el método de autenticación inicial para este
ventana Regla de seguridad, seleccione Predeterminado de Windows 2000 (Protocolo Kerberos V5) y haga clic en
siguiente paso (ver Figura E).

Figura E
1661841270 657 SolutionBase implementar controladores de dominio en la DMZ

10. Seleccione
Cree una lista de filtros anteriores, DMZ en nuestro caso, y haga clic en Siguiente.

11. Seleccione
Cree la acción de filtro anterior, DMZ en nuestro caso, y haga clic en Siguiente.

12. Desmarque
Edite las propiedades y haga clic en Finalizar.

13. Haga clic en Aceptar,
Luego haga clic en Cerrar.

estrategia de activación

El paso final es asignar su política IPSec y
Actívelo para que pueda empezar a cifrar y asegurar las comunicaciones entre
computadora especificada. Para asignarlo y activarlo:

1 en
En el panel de control derecho, haga clic con el botón derecho en la Política de seguridad de IP que creó (en
En nuestro caso, DMZ), luego seleccione Asignar.

2. Haga clic derecho
Política de seguridad IP en el panel de control izquierdo y luego seleccione Actualizar.

Al implementar este ejercicio y crear un completo
Con un bosque separado para su red DMZ, puede estar seguro de que
El escenario poco probable de que su red sea pirateada, tiene suficiente
Una capa de seguridad que protege su red interna más valiosa
La información reside.También hace que a los hackers les lleve mucho tiempo sentarse
Esté allí y siga golpeando su red para descifrarla.Recuerda que ellos
También están cronometrando, cuanto más tiempo estén adentro, es más probable
Serán atrapados.

Me parece que aparte de apagar su servidor,
Es difícil evitar que hackers experimentados y talentosos accedan a su
red, pero puede hacer que sus intentos de piratería sean difíciles y complejos
Tanto como sea posible, hasta el punto en que ya no les valga la pena.
Finalmente, al hacerlo más complejo y de más difícil acceso, podrá
De los piratas informáticos experimentados que quieren ser piratas informáticos, esto también
Reduzca sus posibilidades de ser pirateado.

LEER  Recomendaciones de redes ópticas de la organización industrial ON2023

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba