В настоящее время мы стремимся немного сгладить нашу структуру AD, чтобы сделать вещи немного более управляемыми, но мы по-прежнему хотим сохранить нашу позицию безопасности как можно ближе к той, где она находится сейчас.
В настоящее время у нас есть лесные острова AD, разделенные брандмауэрами, и ни один из лесов не взаимодействует друг с другом, за исключением нескольких исключений для репликации вне сайта для целей аварийного восстановления.
Мы хотим перейти к единому проекту леса AD с корневым доменом и не более чем двумя другими доменами.
Вопрос в том, как лучше всего защитить трафик DC-DC, проходящий через границу межсетевого экрана?
Вот кикер. Наша текущая позиция заключается в том, что никакая зона с более низким уровнем безопасности не может инициировать входящий трафик (без входа) в зону с более высоким уровнем безопасности, поэтому двусторонняя связь между контроллерами домена будет происходить только тогда, когда контроллер домена в зоне с более высоким уровнем безопасности хочет поговорить с контроллером домена в нижняя зона безопасности (только исходящий трафик).
Я знаю, что с помощью сайтов мы можем управлять репликацией, поэтому она инициируется только в одном направлении, но я хочу быть уверенным, что это контролирует поток всех портов, необходимых для трафика между двумя DC.
Я также знаю, что мы можем использовать туннели IPSEC, чтобы ограничить количество портов, которые необходимо открыть на брандмауэре, и сделать туннель незашифрованным, чтобы IDS / IPS все еще могла анализировать трафик.
Учитывая это, я хотел знать, есть ли у вас какие-либо мысли о том, как лучше всего это сделать. Я очень сомневаюсь, что мы единственная поддерживаемая вами организация, у которой есть эти требования.
Несколько лет назад у меня было подобное требование в одном проекте. Было принято решение поместить контроллеры домена в зону нижнего уровня в своего рода DMZ. Мы тогда ограничил порты, используемые репликацией Active Directory, настройте политику IPSEC для этих портов и и другие порты при разговоре с некоторыми предопределенными IP-адресами контроллеров домена в домене более высокого уровня. Клиенты в нижнем домене должны были пройти через прозрачный брандмауэр, чтобы общаться с контроллерами домена в DMZ.
Подумайте на мгновение нестандартно - не могли бы вы иметь VPN-сервер в нижнем домене, к которому могли бы подключаться только контроллеры домена верхнего уровня? Т.е. DC с более высоким уровнем будут клиентами VPN. Вы можете использовать незашифрованный транспорт для удовлетворения ваших требований IDS / IPS. После подключения контроллеров домена более высокого уровня может быть установлена двусторонняя связь, и AD сможет работать как обычно. Или это инкапсулирует проблему ?! :)