Mejores prácticas del controlador de dominio DMZ

El administrador de TI puede bloquear la DMZ desde una perspectiva externa, pero no puede poner ese nivel de seguridad en el acceso a la DMZ desde una perspectiva interna, ya que tendrá que acceder, administrar y monitorear estos sistemas dentro de la DMZ también, pero en un poco manera diferente a como lo haría con los sistemas en su LAN interna. En esta publicación, analizaremos las prácticas recomendadas del controlador de dominio DMZ recomendadas por Microsoft .

¿Qué es un controlador de dominio DMZ?

En seguridad informática, una DMZ, o zona desmilitarizada, es una subred física o lógica que contiene y expone los servicios externos de una organización a una red más grande y no confiable, generalmente Internet. El propósito de una DMZ es agregar una capa adicional de seguridad a la LAN de una organización; un nodo de red externo tiene acceso directo solo a los sistemas en la DMZ y está aislado de cualquier otra parte de la red. Idealmente, nunca debería haber un controlador de dominio ubicado en una DMZ para ayudar con la autenticación en estos sistemas. Cualquier información que se considere confidencial, especialmente los datos internos, no debe almacenarse en la DMZ ni tener sistemas de DMZ que dependan de ella.

Mejores prácticas del controlador de dominio DMZ

El equipo de Active Directory de Microsoft ha puesto a disposición una documentación con las mejores prácticas para ejecutar AD en una DMZ. La guía cubre los siguientes modelos de AD para la red perimetral:

• Sin Active Directory (cuentas locales)
• Modelo de bosque aislado
• Modelo de bosque corporativo extendido
• Modelo de confianza forestal

La guía contiene instrucciones para determinar si los Servicios de dominio de Active Directory (AD DS) son apropiados para su red perimetral (también conocidas como DMZ o extranets), los diversos modelos para implementar AD DS en redes perimetrales e información de planificación e implementación para solo lectura. Controladores de dominio (RODC) en la red perimetral. Debido a que los RODC brindan nuevas capacidades para las redes perimetrales, la mayor parte del contenido de esta guía describe cómo planificar e implementar esta característica de Windows Server 2008. Sin embargo, los otros modelos de Active Directory presentados en esta guía también son soluciones viables para su red perimetral.

¡Eso es todo!

En resumen, el acceso a la DMZ desde una perspectiva interna debe bloquearse lo más estrictamente posible. Estos son sistemas que potencialmente pueden contener datos confidenciales o tener acceso a otros sistemas que tienen datos confidenciales. Si un servidor DMZ se ve comprometido y la LAN interna está completamente abierta, los atacantes de repente tienen una forma de ingresar a su red.

¿Debería el controlador de dominio estar en DMZ?

No se recomienda porque está exponiendo sus controladores de dominio a cierto riesgo. El bosque de recursos es un modelo de bosque de AD DS aislado que se implementa en su red perimetral. Todos los controladores de dominio, miembros y clientes unidos al dominio residen en su DMZ.

¿Se puede implementar en DMZ?

Puede implementar aplicaciones web en una zona desmilitarizada (DMZ) para permitir que usuarios externos autorizados fuera del firewall de su empresa accedan a sus aplicaciones web. Para proteger una zona DMZ, puede:

• Limite la exposición del puerto frente a Internet en recursos críticos en las redes DMZ.
• Limite los puertos expuestos solo a las direcciones IP requeridas y evite colocar comodines en el puerto de destino o en las entradas del host.
• Actualice regularmente cualquier rango de IP público en uso activo.