Best practices voor DMZ-domeincontrollers

Best practices voor DMZ-domeincontrollers

IT-beheerder kan de DMZ vergrendelen vanuit een extern perspectief, maar slaagt er niet in om dat beveiligingsniveau toe te passen op de toegang tot de DMZ vanuit een intern perspectief, aangezien u deze systemen ook binnen de DMZ moet openen, beheren en bewaken, maar in een enigszins op een andere manier dan u zou doen met systemen op uw interne LAN. In dit bericht bespreken we de door Microsoft aanbevolen best practices voor DMZ-domeincontrollers .

Wat is een DMZ-domeincontroller?

In computerbeveiliging is een DMZ, of gedemilitariseerde zone, een fysiek of logisch subnetwerk dat de naar buiten gerichte services van een organisatie bevat en blootstelt aan een groter en niet-vertrouwd netwerk, meestal internet. Het doel van een DMZ is om een ​​extra beveiligingslaag toe te voegen aan het LAN van een organisatie; een extern netwerkknooppunt heeft alleen directe toegang tot systemen in de DMZ en is geïsoleerd van elk ander deel van het netwerk. Idealiter zou er nooit een domeincontroller in een DMZ moeten zitten om te helpen bij de authenticatie van deze systemen. Alle informatie die als gevoelig wordt beschouwd, met name interne gegevens, mag niet worden opgeslagen in de DMZ of er moeten DMZ-systemen op vertrouwen.

Best practices voor DMZ-domeincontrollers

Het Active Directory-team van Microsoft heeft documentatie beschikbaar gesteld met best practices voor het uitvoeren van AD in een DMZ. De gids behandelt de volgende AD-modellen voor het perimeternetwerk:

  • Geen Active Directory (lokale accounts)
  • Geïsoleerd bosmodel
  • Uitgebreid bedrijfsbosmodel
  • Forest-vertrouwensmodel

De handleiding bevat aanwijzingen om te bepalen of Active Directory Domain Services (AD DS) geschikt is voor uw perimeternetwerk (ook wel DMZ’s of extranetten genoemd), de verschillende modellen voor het implementeren van AD DS in perimeternetwerken en plannings- en implementatie-informatie voor alleen-lezen Domeincontrollers (RODC’s) in het perimeternetwerk. Omdat RODC’s nieuwe mogelijkheden bieden voor perimeternetwerken, wordt in de meeste inhoud van deze handleiding beschreven hoe u deze Windows Server 2008-functie plant en implementeert. De andere Active Directory-modellen die in deze handleiding worden geïntroduceerd, zijn echter ook haalbare oplossingen voor uw perimeternetwerk.

Dat is het!

Samengevat, de toegang tot de DMZ vanuit een intern perspectief moet zo goed mogelijk worden afgesloten. Dit zijn systemen die mogelijk gevoelige gegevens bevatten of toegang hebben tot andere systemen die gevoelige gegevens bevatten. Als een DMZ-server is gecompromitteerd en het interne LAN wijd open staat, hebben aanvallers plotseling toegang tot uw netwerk.

Moet de domeincontroller zich in DMZ bevinden?

Het wordt niet aanbevolen omdat u uw domeincontrollers blootstelt aan een bepaald risico. Resourceforest is een geïsoleerd AD DS-forestmodel dat wordt geïmplementeerd in uw perimeternetwerk. Alle domeincontrollers, leden en domeingebonden clients bevinden zich in uw DMZ.

Kun je inzetten in DMZ?

U kunt webapplicaties implementeren in een gedemilitariseerde zone (DMZ) om externe geautoriseerde gebruikers buiten uw bedrijfsfirewall toegang te geven tot uw webapplicaties. Om een ​​DMZ-zone te beveiligen, kunt u:

  • Beperk blootstelling aan internetgerichte poorten op kritieke bronnen in de DMZ-netwerken.
  • Beperk blootgestelde poorten tot alleen vereiste IP-adressen en vermijd het plaatsen van jokertekens in bestemmingspoort- of hostvermeldingen.
  • Werk regelmatig openbare IP-bereiken bij die actief worden gebruikt.

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *