El administrador de TI puede bloquear la DMZ desde una perspectiva externa, pero no puede poner ese nivel de seguridad en el acceso a la DMZ desde una perspectiva interna, ya que también tendrá que acceder, administrar y monitorear estos sistemas dentro de la DMZ, pero de una manera ligeramente diferente a como lo haría con los sistemas en su LAN interna. En esta publicación, analizaremos las prácticas recomendadas del controlador de dominio DMZ recomendadas por Microsoft.
¿Qué es un controlador de dominio DMZ?
En seguridad informática, una DMZ, o zona desmilitarizada, es una subred física o lógica que contiene y expone los servicios externos de una organización a una red más grande y no confiable, generalmente Internet. El propósito de una DMZ es agregar una capa adicional de seguridad a la LAN de una organización; un nodo de red externo tiene acceso directo solo a los sistemas en la DMZ y está aislado de cualquier otra parte de la red. Idealmente, nunca debería haber un controlador de dominio ubicado en una DMZ para ayudar con la autenticación en estos sistemas. Cualquier información que se considere confidencial, especialmente los datos internos, no debe almacenarse en la DMZ ni tener sistemas de DMZ que dependan de ella.
Mejores prácticas del controlador de dominio DMZ
El equipo de Active Directory en Microsoft ha puesto a disposición un documentación con las mejores prácticas para ejecutar AD en una DMZ. La guía cubre los siguientes modelos de AD para la red perimetral:
Sin Active Directory (cuentas locales)Modelo de bosque aisladoModelo de bosque corporativo extendidoModelo de confianza del bosque
La guía contiene instrucciones para determinar si Active Directory Domain Services (AD DS) es apropiado para su red perimetral (también conocida como DMZ o extranet), los diversos modelos para implementar AD DS en redes perimetrales e información de planificación e implementación para controladores de dominio de solo lectura (RODC) en la red perimetral. Debido a que los RODC brindan nuevas capacidades para las redes perimetrales, la mayor parte del contenido de esta guía describe cómo planificar e implementar esta característica de Windows Server 2008. Sin embargo, los otros modelos de Active Directory presentados en esta guía también son soluciones viables para su red perimetral.
¡Eso es todo!
En resumen, el acceso a la DMZ desde una perspectiva interna debe ser cerrado con la mayor fuerza posible. Estos son sistemas que potencialmente pueden contener datos confidenciales o tener acceso a otros sistemas que tienen datos confidenciales. Si un servidor DMZ está comprometido y la LAN interna está completamente abierta, los atacantes de repente tienen una forma de ingresar a su red.
Leer a continuación: Falló la verificación de los requisitos previos para la promoción del controlador de dominio
¿Debería estar el controlador de dominio en DMZ?
No se recomienda porque expone sus controladores de dominio a cierto riesgo. El bosque de recursos es un modelo de bosque de AD DS aislado que se implementa en su red perimetral. Todos los controladores de dominio, miembros y clientes unidos al dominio residen en su DMZ.
Leer: No se pudo contactar al controlador de dominio de Active Directory para el dominio
¿Puede implementar en DMZ?
Puede implementar aplicaciones web en una zona desmilitarizada (DMZ) para permitir que usuarios externos autorizados fuera del firewall de su empresa accedan a sus aplicaciones web. Para asegurar una zona DMZ, puede:
Limitar la exposición del puerto frente a Internet en recursos críticos en las redes DMZ. Limitar los puertos expuestos solo a las direcciones IP requeridas y evitar colocar comodines en el puerto de destino o en las entradas del host. Rangos de IP en uso activo.
Leer: Cómo cambiar la dirección IP del controlador de dominio.