L’amministratore IT può bloccare la DMZ da una prospettiva esterna ma non riesce a mettere quel livello di sicurezza sull’accesso alla DMZ da una prospettiva interna poiché dovrai accedere, gestire e monitorare anche questi sistemi all’interno della DMZ, ma in un modo leggermente diverso da come faresti con i sistemi sulla tua LAN interna. In questo post discuteremo le best practice consigliate da Microsoft per i controller di dominio DMZ.
Cos’è un controller di dominio DMZ?
Nella sicurezza informatica, una DMZ, o zona demilitarizzata, è una sottorete fisica o logica che contiene ed espone i servizi rivolti all’esterno di un’organizzazione a una rete più ampia e non affidabile, in genere Internet. Lo scopo di una DMZ è aggiungere un ulteriore livello di sicurezza alla LAN di un’organizzazione; un nodo di rete esterno ha accesso diretto solo ai sistemi nella DMZ ed è isolato da qualsiasi altra parte della rete. Idealmente, non dovrebbe mai esserci un controller di dominio in una DMZ per assistere con l’autenticazione a questi sistemi. Qualsiasi informazione considerata sensibile, in particolare i dati interni, non deve essere archiviata nella DMZ o avere sistemi DMZ che si basano su di essa.
Best practice per controller di dominio DMZ
Il team di Active Directory di Microsoft ha reso disponibile un documentazione con le best practice per l’esecuzione di AD in una DMZ. La guida copre i seguenti modelli AD per la rete perimetrale:
Nessun Active Directory (account locali)Modello di foresta isolataModello di foresta aziendale estesaModello di trust della foresta
La guida contiene indicazioni per determinare se Active Directory Domain Services (AD DS) è appropriato per la rete perimetrale (nota anche come DMZ o extranet), i vari modelli per la distribuzione di Servizi di dominio Active Directory nelle reti perimetrali e le informazioni di pianificazione e distribuzione per i controller di dominio di sola lettura (RODC) nella rete perimetrale. Poiché i controller di dominio di sola lettura forniscono nuove funzionalità per le reti perimetrali, la maggior parte del contenuto di questa guida descrive come pianificare e distribuire questa funzionalità di Windows Server 2008. Tuttavia, anche gli altri modelli di Active Directory introdotti in questa guida sono valide soluzioni per la tua rete perimetrale.
Ecco fatto!
In sintesi, l’accesso alla DMZ da una prospettiva interna dovrebbe essere bloccato il più strettamente possibile. Si tratta di sistemi che possono potenzialmente contenere dati sensibili o avere accesso ad altri sistemi che dispongono di dati sensibili. Se un server DMZ è compromesso e la LAN interna è completamente aperta, gli aggressori riescono improvvisamente a entrare nella tua rete.
Leggi avanti: Verifica dei prerequisiti per la promozione del controller di dominio non riuscita
p>
Il controller di dominio dovrebbe trovarsi in DMZ?
Non è consigliato perché esponi i controller di dominio a un certo rischio. La foresta di risorse è un modello di foresta di servizi di dominio Active Directory isolato distribuito nella rete perimetrale. Tutti i controller di dominio, i membri e i client aggiunti al dominio risiedono nella tua DMZ.
Leggi: Impossibile contattare il controller di dominio di Active Directory per il dominio
Puoi distribuire in DMZ?
Puoi distribuire applicazioni Web in una zona demilitarizzata (DMZ) per consentire agli utenti autorizzati esterni al di fuori del firewall aziendale di accedere alle tue applicazioni Web. Per proteggere una zona DMZ, puoi:
Limitare l’esposizione delle porte Internet sulle risorse critiche nelle reti DMZ.Limitare le porte esposte solo agli indirizzi IP richiesti ed evitare di inserire caratteri jolly nella porta di destinazione o nelle voci host.Aggiorna regolarmente qualsiasi Intervalli IP in uso attivo.
Leggi: Come modificare l’indirizzo IP del controller di dominio.
