web-dev-qa-db-ja.com

DMZに拡張されたドメイン内のドメインメンバーに対するリスク

私はADの管理者であり、アプリケーションサーバーの所有者の観点から物事を確認しようとしています。

ADドメインが企業LANとDMZの両方で認証をカバーするシナリオを想像してみてください。 LANにはRWDCがありますDMZにはRODCがあり、標準のファイアウォールサンドイッチがあります。

RODCは強化されています。アカウントはキャッシュされず、フィルター処理された属性セット(FAS)が適用され、委任されたRODC管理アカウントがあり、ファイアウォールが設置されており、AVがあり、サーバーにパッチが適用されています。

DMZのアプリケーションサーバーの場合、ADで許可されている範囲でしか管理できません。サーバーへの管理者権限を持つユーザーの数を制限します。ファイアウォールが適切に配置されていることを確認します。サーバーにはパッチが適用され、AVがインストールされています。アカウントにKerberosの制限がある可能性があります。

DMZには他にも防御策があります。例えばネットワークチームにはネットワークファイアウォールがありますが、それを制御することはできず、アプリケーションの所有者が上記で述べた以外のことを制御することはできません。

DMZ=内のサーバーのセキュリティはどのように見えますか、それらは良好な状態にありますか?サーバーがDMZで侵害された場合、それからの爆発範囲は何ですか;脅威になっているドメインです、 DMZにある他のサーバーとLANが脅威にさらされていますか?

妥協の最も可能性の高いエスカレーションパスは何ですか?

用語集:

AD: Active Directory
DMZ: demilitarized zone; location for internet facing servers
LAN: (internal network; separated from DMZ by firewall
RWDC: read/write domain controller
RODC: read only domain controller
4
idarryl

参考のために ISC2 を使用します。

セキュリティの焦点となっている10の一般ドメインがあります。参考のために overview を以下に示します。

あなたはたくさん議論しました、そしてこの答えのために私はあなたに最も関係しているように見える(3)に焦点を合わせます:

  • アクセス制御
  • 暗号化
  • セキュリティのアーキテクチャと設計

セキュリティドメイン

これに入る前に、セキュリティドメインは幅広く、特定されたドメインのさまざまな側面に焦点を当てています。私は私のポイントを制限しています、そしてそれらは一般化されています。人々はリスクを広く特定できますが、そのリスクが環境へのアクセスなしでどれほど制限されているかを知ることは困難です。

アクセス制御

あなたのシナリオに基づいて、RODCが認証や承認に使用されていると思います。そうでなければ、なぜそこに座っているのか分かりません。 DCを安全にセットアップすることについて十分に理解しているようですが、ここでの大きなリスクには、アプリケーションがその義務を実行するために必要な/持っている権利が含まれます。このアプリケーションのロックダウンされたサービスアカウントで十分だと思います。アプリに必要なものをアプリ所有者に確認します

暗号化

特に説明はしていませんが、安全な通信を使用することを常にお勧めします(またはシナリオによっては要求されます)。 LDAPS、TLSなどが一般的である必要があります。これらのシステムに外部からアクセスしている場合は、内部CA証明書よりも常にサードパーティの署名付き証明書を優先します。

セキュリティアーキテクチャと設計

これはおそらくあなたのより大きな質問です。あなたが設計したものは良い実装ですか?手短に言えば、あなたが説明したことは問題なく、標準的です(私は多くの類似した設定のようです)。

このトピックは非常に広範であり、それについて多くの質問をすることができます。

  • 管理者向けのプロビジョニング/プロビジョニング解除のプラクティスは何ですか?
  • どのユーザーがアプリケーションにアクセスしますか?
  • 他のDCは同じ方法で保護されていますか?
  • 再構成されたDCが別のDMZで侵害された場合、ROこのDMZでアクセスできますか?

私は続けることができました。 (一般的に、これが私たちがスコープで作業する理由です。これらの質問をすることは無限です。).

それで、エスカレーションの可能性が高い経路は何ですか?

一般的な経験から、外部の妥協は通常次のとおりです。

  • アプリケーション開発の欠陥(E.G SQLインジェクション)
  • アプリケーションサーバーの欠陥(例:誤って構成された.htaccessファイル)
  • ファイアウォール上の公開サービス(ファイアウォールを介して開かれたE.G Telnet)

他のチームがシステムを設定するのに十分な自信がある場合は、あなたがDMZ=安全であると確信しています。 DMZ妥協されていますが、内部ネットワークに対する私のリスクは何ですか?

おそらくRODCはファイアウォールを介してRWDCに戻る必要があります。 RODC以外のコンピューターがRWDCに接続している場合はどうなりますか?赤い旗かもしれません。

0
Shane Andrie

ファイアウォールで何が許可されているか、内部マシンでDMZで使用されているアカウントの特権は何ですか?攻撃者は、DMZサーバー上で実行されているアプリケーションのセキュリティを破壊する可能性があります。

  • ファイアウォールはそのサーバーから内部LANへの接続を許可しますか?
  • 内部サーバー(または共有リソースを保持するクライアントマシン)は、DMZで使用されているユーザーの1人からの接続を受け入れますか?

上記のリスク(DMZ->内部ゾーン)がすでにカバーされている場合は、DMZ-> DMZ、つまりDMZ= 、このアカウントは同じサーバーから他のアプリケーションで何でも実行でき、他のサーバーはどうですか。

それらは単なるヒントであることはわかっていますが、コメントでpaj28が気付いた細かい詳細を含め、実際の構成にこれ以上の要素がない場合は、これが最善です。

2
Serge Ballesta