У нас есть VPN-соединение типа «сеть-сеть» между нашим главным офисом и нашими производственными веб-серверами в нашем месте расположения с использованием двух устройств SonicWall. По умолчанию туннель VPN разрешает весь трафик между двумя сайтами. Я хочу ограничить это, чтобы мы блокировали весь ВХОДЯЩИЙ трафик из совместного размещения в офис, чтобы наша частная сеть была более защищена в случае взлома наших производственных серверов.
Однако проблема, которую я вижу, заключается в том, что наши серверы, которые мы присоединили к домену, по-прежнему должны иметь возможность связываться с DC в нашем офисе для получения групповой политики, информации ldap и т. Д. После небольшого поиска все службы и порты, используемые AD, я обнаружил, что служба RPC использует случайные порты, что затрудняет пробивание дыры в брандмауэре, чтобы заставить его работать. я нашел этот kb статья, в которой описывается, как изменить его на определенный порт на всех ваших контроллерах домена, что затем позволит мне открыть один порт на брандмауэре. В этой статье не рассматриваются недостатки. Я полагаю, что у них порты рандомизированы по какой-то причине ... и удаление этого лишает их всех преимуществ.
Что я потеряю, переключив это на определенный порт? Инструкции заставляют меня редактировать реестр на всех моих контроллерах домена, чего я бы хотел избежать. Кроме того, будет ли это хорошим случаем, когда нам будет выгодно иметь RODC на нашем сайте?
Я просто хочу уточнить, что Windows Server 2003 имеет динамический диапазон портов 1025-5000 и не 1024-65535. С исправлением Windows Server 2003 получает стандарт IANA 49152-65535, который есть в Windows Server 2008 и новее из коробки.
Источники см. На странице поддержки MS ниже и в статье в Википедии (и цитируемых в ней источниках).
Обзор службы и требования к сетевому порту для Windows http://support.microsoft.com/kb/832017
Эфемерные порты https://en.wikipedia.org/wiki/Ephemeral_port
По моему опыту, многие организации создают правила доступа для нижних портов конкретных приложений (например, 389, 88 и т. Д.) И правила брандмауэра для «высоких портов». Для Windows Server 2003 максимальное количество портов составляло 1024–65535. Это было явно не очень хорошее число, поэтому для Windows Server 2008 его объем был сокращен до 49152–65535.
Более безопасное решение - использовать подход IPSec Tunnel. Многие правительственные учреждения США используют IPSec при обмене данными между доверенными доменами или корнем леса.
Различные плюсы и минусы подробно описаны в следующей статье. Ограничение RPC должно быть реализовано на всех контроллерах домена, поэтому вы не можете просто включить один и посмотреть, как он работает. Реализация этого в крупной организации с большим количеством контроллеров домена и сайтов может потребовать большого планирования.
Репликация Active Directory через брандмауэры
https://social.technet.microsoft.com/wiki/contents/articles/active-directory-replication-over-firewalls.aspx